Protección de datos personales en los canales internos de información

Régimen jurídico

Los tratamientos de datos personales que deriven de la aplicación de esta ley se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y, en todo caso, por lo previsto en el Título VI de la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, sobre protección de datos personales.

Proporcionalidad

La Ley 2/2023, en su art. 29, indica que “No se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”. Se advertirá al informante de que no debe proporcionarse ningún dato de categoría especial y se recomendará comunicar únicamente aquella información relevante y que resulte necesaria para la investigación de los hechos informados.

Finalidad del tratamiento

Los datos proporcionados en las comunicaciones por los informantes a través del Canal Interno de Información y aquellos derivados de las investigaciones sobre las mismas serán tratados con la finalidad de gestionar la información aportada y llevar, tras su análisis, la correspondiente investigación. En caso de que el informante proporcione datos de contacto, estos podrán ser usados para notificar sobre cambios o solicitudes en relación con los trámites en curso.

Licitud del tratamiento

De acuerdo con lo que establece el artículo 6 del Reglamento general de protección de datos, los tratamientos se entenderán necesarios para el cumplimiento de una obligación legal cuando deban llevarse a cabo en los supuestos en que sea obligatorio disponer de un sistema interno de información y en los casos de canales de comunicación externos, mientras que se presumirán válidos, al amparo de lo que establece el artículo 6.1.e) del Reglamento general de protección de datos, cuando aquel sistema no sea obligatorio o el tratamiento se lleve a cabo en el ámbito de la revelación pública que regula el título V de la Ley 2/2023.

Responsable del tratamiento

El responsable del tratamiento, de conformidad con la Ley 2/2023, es la directora gerente de Unión de Mutuas como órgano de gobierno responsable de la implantación del Sistema Interno de Información.

Información a los interesados

Los interesados podrán ejercer los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Sin embargo, en ningún caso se podrá tener acceso a la información del informante por parte de terceros que ejercieran este derecho y, en caso de que la persona a la que se refieran los hechos relatados en la comunicación o a la que se refiera la revelación pública ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales, por lo que no podrá atenderse dicho derecho.

Quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas.

También se informará a las personas afectadas por la información comunicada cuando no suponga un perjuicio para la investigación.

Tratamiento de datos personales en el sistema interno de información

El acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a:

  • El responsable del sistema y a quien lo gestione directamente.
  • El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador.
  • El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
  • Los encargados del tratamiento que eventualmente se designen.
  • El delegado de protección de datos (DPD).

Comunicaciones a terceras personas

Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

La identidad del informante solo podrá ser comunicada a la autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

Dichas revelaciones se trasladarán al informante antes de revelar su identidad, salvo que pudieran comprometer la investigación o el procedimiento judicial.

En relación con la información contenida en el libro-registro a que refiere el art. 26 de la ley, únicamente a petición razonada de la autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquella, podrá accederse total o parcialmente al contenido del referido registro y proceder a su comunicación.

Conservación de la información

El canal de información en Unión de Mutuas es un mero cauce telemático que consiste en una pasarela de acceso a través de la cual la información se comunica securizada, pero no se almacena, y se registra finalmente en un entorno interno seguro (con acceso únicamente por el responsable del sistema), donde  puede ya realizarse el análisis y la gestión de las investigaciones cuando proceda.  Los datos que sean objeto de tratamiento podrán conservarse en el sistema de información únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. Por ello:

  • Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
  • En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia el funcionamiento del sistema.
  • Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.

NOTA: por una actuación garantista, y dado que no queda aclarada la distinción entre comunicación a la que no se ha dado curso y la comunicación sobre la que no se hubiesen iniciado actuaciones de investigación, para ambas situaciones su permanencia en el canal se mantendrá de forma anonimizada.

Las investigaciones llevadas a cabo se mantendrán durante el tiempo necesario para cumplir con la normativa de aplicación y la prueba de evidencia de funcionamiento del sistema.

Los datos personales relativos a las informaciones recibidas y a las investigaciones internas a que se refiere el apartado anterior solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con la normativa, y en ningún caso podrán conservarse los datos por un período superior a diez años.

Medidas de seguridad y garantías para la protección del informante

El DPD de Unión de Mutuas forma parte de la comisión responsable del sistema interno de información y, entre otras funciones, tendrá la de velar por el cumplimiento de la normativa en materia de protección de datos por parte del sistema, mantener actualizado con la información requerida por estos nuevos tratamientos el registro de actividades de tratamiento, así como la realización de la evaluación de impacto correspondiente a este nuevo tratamiento para la detección de riesgos de privacidad y protección de datos y, en consecuencia, la adopción de todas aquellas medidas, técnicas y operacionales, encaminadas a dotar de la mayor seguridad y protección al sistema y al informante.

Se ha llevado a cabo por la entidad una evaluación de impacto sobre la protección de datos (EIPD) atendiendo a los riesgos detectados y adoptando las medidas de seguridad necesarias en cada caso y supervisadas por el DPD.

Unión de Mutuas se encuentra certificada en el Esquema Nacional de Seguridad en nivel ALTO, con un alcance global para todos sus sistemas.

Más información en la Política de Privacidad y Protección de Datos de Carácter Personal.