La Ley 2/2023, de 20 de febrero, regula la protección de las personas que informan sobre infracciones normativas y de lucha contra la corrupción, y establece un marco sólido para la protección de los datos personales. Esta ley se rige por varias normativas europeas y nacionales, incluyendo el Reglamento (UE) 2016/679, la Ley Orgánica 3/2018, y la Ley Orgánica 7/2021.
En términos de protección de datos, la ley establece que no se recopilarán datos personales a menos que sean manifiestamente pertinentes para tratar una información específica. Si se recopilan datos por accidente, deben ser eliminados sin dilación indebida.
Los tratamientos de datos personales necesarios para la aplicación de esta ley se considerarán lícitos. Esto incluye los tratamientos de datos en los supuestos de comunicación internos y externos, así como el tratamiento de datos derivado de una revelación pública. Además, el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el Reglamento (UE) 2016/679.
Cuando se obtengan datos personales directamente de los interesados, se les facilitará la información pertinente y se les informará de que su identidad será reservada. Los interesados podrán ejercer los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679.
El acceso está limitado a ciertos roles dentro de la organización, incluyendo el Responsable del Sistema, el responsable de recursos humanos, el responsable de los servicios jurídicos de la entidad, los encargados del tratamiento que eventualmente se designen, y el delegado de protección de datos. Este control estricto ayuda a garantizar que los datos personales se manejen de manera segura y confidencial.
Además, la ley establece reglas claras sobre la conservación de datos. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. Si se acredita que la información facilitada no es veraz, se procederá a su inmediata supresión. En todo caso, si no se han iniciado actuaciones de investigación en tres meses desde la recepción de la comunicación, se procederá a su supresión.
La ley también establece medidas para preservar la identidad del informante y de las personas afectadas. Quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas. La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
Finalmente, la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan, deberán nombrar un delegado de protección de datos, de acuerdo con lo que dispone el Reglamento (UE) 2016/679.
En resumen, la Ley 2/2023 establece un marco sólido para la protección de los datos personales en el contexto de la denuncia de infracciones normativas y de lucha contra la corrupción.
Términos relacionados: Whistleblowing, Canal de denuncias