Canal de Denuncias
La Agencia Española de Protección de Datos se ha pronunciado sobre la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, concretamente a través de su Informe Jurídico 0054/2023 en el que analiza e interpreta lo dispuesto en el artículo 5.1 de la citada ley. En dicho artículo se viene a establecer lo siguiente:
“Artículo 5. Sistema interno de información.
- El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales”
La cuestión principal que nos llegamos a plantear a través de la lectura de este artículo es que pudieran llegar a existir dos responsables del tratamiento, uno de ellos, el sujeto obligado y por otra parte, el propio organismo de la entidad obligado a gestionar las denuncias que se presenten en el sistema interno de información. Pues bien, la Agencia Española de Protección de Datos haciendo uso de sus funciones y poderes, ha resulto esta duda de interpretación jurídica.
La consideración del órgano de administración u órgano de gobierno de cada entidad u organismo como responsable del tratamiento de los datos personales viene derivado por la propia Agencia Española de Protección de Datos en su opinión sobre el anteproyecto de ley del gobierno a través de su Informe Jurídico 0020/2022 , en el que se venía a indicar lo siguiente:
“Comenzando con la posición jurídica de los intervinientes en el tratamiento de los datos personales, debe partirse de la definición de «responsable del tratamiento» contenida en el artículo 4.7. del RGPD. Por consiguiente, en virtud de las funciones que se le atribuyen legalmente, corresponde al órgano de administración u órgano de gobierno de cada entidad u organismo obligado ostentar la condición de «responsable del tratamiento» de los datos personales, de conformidad con lo dispuesto en la normativa sobre protección de datos personales, lo que debería recogerse en texto del propio artículo 5”
Con el Informe Jurídico realizado al anteproyecto de ley, lo que trataba la Agencia Española de Protección de Datos era clarificar las distintas posición jurídica que podrían ostentar, desde la perspectiva de la normativa sobre protección de datos personales, los diferentes sujetos que podían intervenir en los tratamientos del sistema interno de información.
Hay que hacer alusión también al Dictamen 1/2010 del Grupo del artículo 29 sobre “responsables y encargados del tratamiento”. En este Dictamen el Grupo del artículo 29 reconoce que “la aplicación concreta de los conceptos de responsable del tratamiento de datos y encargado del tratamiento de datos se está haciendo cada vez más compleja. Esto se debe ante todo a la creciente complejidad del entorno en el que se usan estos conceptos y, en particular, a una tendencia en aumento, tanto en el sector privado como en el público, hacia una diferenciación organizativa, combinada con el desarrollo de las TIC y la globalización”.
Según la Agencia Española de Protección de Datos, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
En el sector público, la condición de responsable del tratamiento corresponderá a la entidad u organismo obligado por la ley y no a su órgano de gobierno, sin perjuicio de que en este ámbito sea una práctica frecuente en la elaboración de los registros de las actividades de tratamiento, la de identificar como responsable del tratamiento al órgano superior o directivo que ostenta las correspondientes competencias, contribuyendo, de este modo, a facilitar la identificación del órgano administrativo que adopta las correspondientes decisiones sobre el tratamiento de los datos personales y el ejercicio de los derechos de los afectados, práctica admitida y seguida por la AEPD, pero sin que excluya la condición de responsable del tratamiento de la entidad u organismo correspondiente.
No te pierdas toda la actualidad en Protección de Datos & Cumplimiento Normativo de la mano de los mejores profesionales del sector en nuestro Máster Profesional en Dirección de Compliance & Protección de Datos