Tal y como informamos en la circular anterior, el pasado 13 de marzo entró en vigor la Ley 2/2023 de 20 de febrero Reguladora de la Protección de las Personas que Informen sobre Infracciones Normativas y de Lucha contra la Corrupción (en adelante, la “Ley del Informante”) que tiene por finalidad facilitar un canal de comunicación, en concreto, un Sistema Interno de Información (SII) a cualquier persona – trabajadores, funcionarios, familiares, clientes o proveedores – para que pueda informar sobre presuntas infracciones, en un contexto laboral o profesional en vigor, finalizado o incluso nunca iniciado, tanto del sector privado como del público.
Plazos de implementación:
- Empresas con plantilla de entre 50 y 249 trabajadores a 1/12/2023.
- Empresas con plantilla de 250 o más trabajadores a 13/06/2023.
Principales obligaciones en materia de protección de datos impuestas por la Ley del Informante en la implantación y mantenimiento del canal:
- El tratamiento de datos personales se debe regir por la normativa aplicable en protección de datos.
- Nombrar un comité de personas autorizadas que tendrán acceso exclusivo a las informaciones remitidas a través del SII, compuesto entre otros, por el Delegado de Protección de Datos y los encargados del tratamiento contratados.
- Suscribir un contrato de tratamiento de datos con los encargados del tratamiento que puedan intervenir.
- Realizar formaciones a las personas trabajadoras para garantizar la confidencialidad cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos.
- Cumplir con el principio de privacidad desde el diseño y por defecto del canal.
- Garantizar la anonimidad del informante en las comunicaciones.
- Ofrecer garantías adecuadas de respeto de la independencia y el secreto de las comunicaciones y medidas técnicas y organizativas para preservar la identidad y garantizar la confidencialidad de los datos de las personas afectadas, así como, para evitar su acceso no autorizado o su destrucción accidental o ilícita.
- Cumplir con el deber de información, facilitando al informante la información relativa al tratamiento de sus datos.
- Aplicar el principio de minimización de los datos.
- Facilitar un canal para el ejercicio de derechos en protección de datos.
Régimen sancionador:
En caso de no cumplir con lo dispuesto en la Ley del Informante la autoridad competente, esto es, la Autoridad Independiente de Protección del Informante, puede imponer sanciones económicas desde 1.001€ (sanción mínima) hasta 1.000.000€ así como, perdida del derecho a recibir subvenciones o a contratar con la AAPP.
Si quiere ampliar esta información o realizar consultas concretas acerca de las medidas a adoptar en su organización para dar cumplimiento a la Ley, no dude en contactar con nuestro equipo.
Carme Setó
Socia y directora del Área IT & IP y protección de datos.
Cuenta con una amplia experiencia tanto en operaciones multidisciplinares como para empresas públicas o privadas de ámbito nacional e internacional y de distintos sectores de actividad.