Nos encontramos a la espera de la transposición de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, que deberá hacerse antes del 17 de diciembre de este año. Su impacto será importante, y conviene anticiparse y prestar atención a algunas novedades que, desde luego, van a cambiar rutinas en los ámbitos empresarial, administrativo y profesional.

En materia de privacidad y protección de datos, esta directiva va a suponer un importante reto para los que nos dedicamos a esta materia, así como, según es de esperar, un gran avance en el respeto real de las exigencias legales. Para los más apresurados, recomiendo especialmente la lectura de los considerandos (1), (3), (14), (36), (56), (74), (76), (82), (83), (84), (85), (91), (92), (93), (94) y (98). Son varios los aspectos sobre los que ya deberíamos estar reflexionando quienes profesionalmente nos dedicamos a este ámbito.

1. a) En primer lugar, las infracciones en materia de protección de datos es una de las materias contempladas expresamente por la directiva dentro de su ámbito objetivo de aplicación. Cualquier infracción, mala práctica o práctica abusiva en esta materia puede dar lugar a una denuncia por parte del personal de la empresa a través de los canales internos, los externos, o incluso mediante una comunicación pública, sin temor a represalias. Piensen, por ejemplo, en las deficiencias advertidas por los empleados en el caso de que la empresa no las atienda debidamente; o en los defectos de seguridad de las redes y sistemas de información, servicios de computación en nube o servicios digitales de uso generalizado.
2. b) En segundo lugar, los delegados de protección de datos o “responsables de privacidad” son expresamente mencionados como personas idóneas para ser designados responsables o integrantes del departamento encargado de la recepción y seguimiento de las denuncias efectuadas a través del canal interno, lo que abre un nuevo abanico de funciones de gran interés;
3. c) En tercer lugar, la configuración y gestión de los canales internos (y también externos) de denuncia, en la medida en que a través de éstos se tratarán datos personales, han de ser objeto muy especialmente de un control de conformidad con las exigencias legales, habida cuenta de la gran importancia de la confidencialidad, tanto del denunciante, como también de las personas mencionadas en la denuncia. La recopilación de datos personales ha de ser vigilada, pues con toda lógica, y en virtud del principio de minimización, el art. 17 de la directiva establece que “no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una denuncia específica o, si se recopilan por accidente, se eliminarán sin dilación indebida”. Igualmente, el registro, actas y grabación (en su caso) de denuncias (escritas o verbales) y de reuniones habidas con motivo de la misma, habrán de respetar la normativa de privacidad (art. 18 de la directiva).
4. d) En cuarto lugar, la directiva prevé una obligación de formación profesional para el personal encargado de tratamiento de las denuncias, haciendo referencia expresa a la formación en materia de normas aplicables en materia de protección de datos.

Ignoro si en el Ministerio de Justicia se está trabajando ya en la adaptación del Derecho español a esta directiva. Confiemos en que sí. El plazo empieza a apretar: 17 diciembre 2021. Mientras tanto, en el ámbito de las empresas, en particular las de más de 250 trabajadores (para las de 50 a 249 hay dos años más de margen), ya deberían estar preparándose protocolos y avisos legales, revisándose las cláusulas de confidencialidad en los contratos de trabajo, y diseñando los canales o procedimientos para la recepción, seguimiento y registro de las denuncias. El artículo 24 de la LOPDGDD 3/2018 ya nos da ciertas pautas de cómo ha de gestionarse el canal interno, aun cuando el mismo se limita a indicar la licitud de este tipo de canales, en vez de la obligatoriedad a la que vamos abocados.

Nos queda mucho trabajo por hacer.

Maite Sanz de Galdeano Arocena

Equipo Govertis (Colaboradora)