Proteger los datos en los Canales de Información interna - Ley 2/2023


Acaba de publicarse la nueva Ley 2/2023 que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Con ella se pretende dotar de canales seguros de información en cierto tipo de organizaciones públicas y privadas, para que aquellas personas conocedoras de infracciones cometidas por estas y en las que trabajan o para las que prestan servicios, puedan denunciarlas sin represalias y siempre bajo los principios de:

  1. Uso asequible
  2. Garantías de confidencialidad
  3. Prácticas correctas de seguimiento, investigación y protección del informante.


Esta norma entrará en vigor el 13 de marzo de 2023 (aunque hay ciertos supuestos en los que es posible ir adaptando la organización hasta finales de 2023), y es obligatoria para entidades:

  1. Públicas (todo el sector público al completo, es decir, toda la Administración Pública, corporaciones de derecho público, universidades, fundaciones del sector público, etc.)
  2. Privadas (con 50 personas empleadas o más, o aquellas con este volumen de plantilla o inferior en sectores objetivo vinculados al mercado financiero, prevención de blanqueo de capitales y financiación del terrorismo, algunas empresas del sector de la seguridad del transporte y protección del medio ambiente, partidos políticos, sindicatos, organizaciones empresariales y sus fundaciones, grupos de sociedades y en general las que voluntariamente pongan en marcha su propio sistema de información interno).


Para la gestión del procedimiento de dar curso a una información a través del canal de denuncias interno de cualquier organización, se prevé:

  1. El derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída
  2. Remisión de la información al Ministerio Fiscal inmediatamente, si los hechos indiciariamente pudieran ser constitutivos de delito


En materia de protección de datos, es imprescindible maximizar el cuidado, por lo que se han incorporado los artículos 29 a 34 que en resumen recogen que la base de legitimación principal para el tratamiento de los datos, se encuentra en la obligación legal a cumplir, en la misión realizada de interés público o en ejercicio de una poder público y se obliga a que:


  • A la persona informante se le comunique (además de la legitimación, motivo, tiempo de conservación, destino de sus datas, ejercicio de derechos, etc.), que su identidad será en todo caso reservada y que no se comunicará a las personas a las que se refieren los hechos relatados, ni a terceros.


  • Para el caso de que la persona a la que se refiere la información comunicada ejercitara su derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales. 



#RGPD #LOPD #Canalinternodeinformacion



CURIOSIDADES & NOTICIAS

Eliminación de datos de autónomos de bases de datos empresariales

21 de mayo de 2025
La Agencia Española de Protección de Datos (AEPD) ha ordenado el cese de la comunicación de datos personales de miles de autónomos por parte de la Cámara de España a la empresa Camerdata, tras el ciberataque sufrido y detectarse que el flujo de la información no estaba autorizado por los autónomos, ya que se utilizaban datos provenientes de la Agencia Tributaria que posteriormente eran comunicados a terceros, cuando el interesado en momento alguno otorgó su consentimiento.

Una inmobiliaria fotografiaba buzones de edificios y es sancionada

16 de mayo de 2025
Recientemente, una inmobiliaria ha sido sancionada por la AEPD por captar los datos de propietarios e inquilinos de edificios que visitaba uno de sus trabajadores, al que obligaba a capturar fotografía de los buzones de estos inmuebles con la finalidad de utilizarlos para sus pesquisas y ofrecer a titulares, ponerlos a la venta o alquiler en el mercado. Tras el proceso de investigación de la AEPD se constató que la empresa disponía de una ingente cantidad de datos personales sin autorización o en espera de ella. El trabajador que venía captando las fotografías fue despedido cuando se negó a llevar a cabo las prácticas descritas.

Sanción a Generali e ING por filtración de datos

13 de mayo de 2025
Estos leones gigantes, también sufrieron un ciberataque en el que quedaron vulnerados sus sistemas y se pudo acceder indebidamente a los datos personales de miles de clientes. Ahora, a AEPD le ha impuesto unas sanciones muy cuantiosas por no haber implementado las medidas acordes a sus capacidades y sistemas, en base a que se ha considerado por esta entidad que el tratamiento no garantizaba una seguridad "adecuada" de los datos personales. En particular, se les ha impuesto sanciones de 4 y 1,6 millones, por infringir la normativa sobre medidas técnicas y organizativas para proteger los datos, la seguridad del tratamiento y no contar con la adecuada evaluación de un impacto relativa a la protección de datos.
¿Tienes más interés?