Es indiscutible que la protección de datos se ha convertido en un pilar del cumplimiento normativo de todas las empresas, de ahí la aparición de la figura del Delegado de Protección de datos.
La aprobación del RGPD y la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales trajeron consigo nuevas obligaciones que a día de hoy parecen interiorizadas en las compañías. Hoy muy acostumbradas a contar con servicios de protección de datos profesionalizados.
Estas normas establecen la obligación de nombramiento de un Delegado de Protección de datos en supuestos tasados tanto en el RGPD como en la Ley. Estos tienen relación directa con el tipo de actividad de la empresa y el tratamiento de datos especialmente sensibles.
No obstante, la obligación de nombramiento de Delegado de Protección de datos se extenderá a todas las empresas con 50 o más empleados en virtud de una nueva ley que se está tramitando, y que impone el nombramiento de esta figura antes del 1 de enero de 2023.
Whistleblowing: proteger a las personas que denuncian la corrupción
El pasado mes de marzo, el Consejo de Ministros aprobó el anteproyecto de ley para proteger a las personas que informen sobre corrupción. Este anteproyecto de ley -que está en tramitación, y cuyo texto definitivo puede ser distinto del que conocemos- se aprueba para trasponer al ordenamiento español la Directiva europea conocida como «Whistleblowing». Dicha directiva está centrada en la protección de las personas que informen sobre infracciones del Derecho de la Unión Europea (UE).
La Directiva, aprobada en octubre de 2019, debía trasponerse en los estados miembros antes del 17 de diciembre de 2021. No obstante, solo Portugal, Malta y Suecia lo hicieron en tiempo .
El objeto de la futura ley es, como indica su nombre, proteger a las personas que detecten infracciones en empresas, entidades públicas y otras organizaciones de posibles represalias, de forma que se genere la confianza suficiente para que puedan denunciarlas.
Mecanismos para crear un clima de confianza
Con las medidas impuestas en la ley, se pretende que las personas se sientan suficientemente amparadas para decidirse a denunciar posibles fraudes o corrupción, que son perjudiciales para la empresa u organización particular, pero también para la sociedad y la economía en general.
Para crear este clima de confianza, la ley prevé dos mecanismos principales:
- La creación de Sistemas internos de comunicaciones, que se consideran la vía preferente para las denuncias de infracciones. Estos sistemas deben permitir realizar comunicaciones por escrito, verbalmente o de las dos formas. Estos canales internos también deberán permitir la presentación y posterior tramitación de comunicaciones anónimas.
- La creación de un Canal externo de comunicaciones que permita informar a la Autoridad Independiente de Protección del Informante, una nueva institución.
¿A quién se aplicará la nueva ley?
Aparte de ser aplicable a todo el sector público, esta ley se aplicará a:
- Todas las empresas que tengan 50 o más empleados.
- Personas jurídicas de determinados sectores privados regulados, que deberán regirse por la ley en aquellos aspectos no regulados por su normativa específica. Estos sectores aparecen en las Partes I.B y II del Anexo de la Directiva Whistleblowing y son los siguientes:
- Servicios, productos y mercados financieros.
- Prevención del blanqueo de capitales o la financiación del terrorismo.
- Seguridad del transporte.
- Protección del medio ambiente.
- Partidos políticos, sindicatos, patronales y fundaciones creadas por cualquiera de los anteriores, siempre que reciban o gestionen fondos públicos.
El Delegado de Protección de datos
El Anteproyecto dedica su Título VI a la Protección de datos, con el objeto de proteger los datos personales de los denunciantes. Y como mecanismo para asegurar dicha protección, en su artículo 34, establece la obligación, para todas las entidades obligadas por la ley, de designar un Delegado de Protección de datos ante la Agencia Española de Protección de Datos.
El texto de dicho artículo en el anteproyecto es el siguiente:
Artículo 34. Delegado de protección de datos. 1. Las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, cuando, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, no tuvieran la obligación previa de su designación, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho sistema interno de comunicaciones. 48 2. Asimismo, de acuerdo a lo que dispone el artículo 37.1.a) del Reglamento (UE) 2016/679, deberán nombrarlo la Autoridad Independiente de Protección del Informante y las autoridades independientes que en su caso se constituyan.
Como consecuencia de este artículo, todas las empresas con 50 trabajadores o más tendrán que designar a un Delegado de Protección de datos, aunque no tuvieran la obligación de hacerlo por la actual normativa de protección de datos. Y éste será la persona competente en lo que respecta al sistema interno de comunicaciones de la empresa.
El plazo para que las empresas de entre 50 y 249 trabajadores implanten las medidas de la Ley, incluida la designación de un Delegado de Protección de datos, acaba el 31 de diciembre de 2022.
En caso de dudas puede contactar con el área especializada en Protección de Datos de Vento en el siguiente email: protecciondedatos@vento.es.
Descubra nuestro trabajo en https://vento.es/