El pasado 4 de marzo de 2022, el Consejo de Ministros presentó el anteproyecto de la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la denominada Directiva de la Unión Europea 2019/1937, también conocida como “Directiva sobre canales de denuncias” o “Directiva whistleblowing””. Dicho anteproyecto incorpora la obligación de nombrar un Delegado de Protección de Datos para aquellas empresas que tengan a más de 50 trabajadores, por ser sujetos obligados a tener un canal de denuncias (“whistleblowing”).
*Puede acceder al contenido íntegro de los citados textos legales en los siguientes links:
– Anteproyecto de ley
– Directiva
¿Qué es whistleblowing?
El canal de denuncias, también conocido como “whistleblowing”, es un medio de comunicación creado para permitir que, tanto empleados como directivos, de modo confidencial, seguro e independiente, comuniquen información sobre infracciones legales, conductas o comportamientos irregulares cometidos tanto en la propia empresa como por los terceros que se relacionen con ella.
La finalidad principal es, por tanto, la prevención de incumplimientos normativos y la corrección de aquellos que ya se hayan producido.
¿Las empresas obligadas a tener un canal de denuncias (whistleblowing) deben nombrar a un Delegado de Protección de Datos de conformidad con el Anteproyecto de Ley?
Si, de conformidad con la “Directiva Whistleblowing” y el Anteproyecto de ley que la transpone en el ámbito nacional que fue presentado por el Consejo de Ministros el pasado 4 de marzo.
Lo explicamos:
- Por una parte, el artículo 8.3º de la “Directiva Whistleblowing”, dispone que las empresas que empleen a 50 personas o más, tienen la obligación de disponer de un canal de denuncias.
- Por otra parte, el artículo 34 del Anteproyecto de ley establece que las empresas que estén obligadas a disponer de un canal de denuncias así como los terceros externos que lo gestionen, deben nombrar un Delegado de Protección de Datos.
Por tanto, el Anteproyecto de ley, amplía los supuestos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) en los que es necesario nombrar a un Delegado de Protección de Datos. Debemos entonces verificar estas tres normativas, para comprobar si, como empresa, tenemos la obligación de nombrar un Delegado de Protección de Datos:
- PRIMERO: Comprobar si nuestra empresa emplea a 50 o más trabajadores (artículo 34 del Anteproyecto de la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción que transpone la “Directiva whistleblowing”) porque, en tal caso, automáticamente seremos sujetos obligados a nombrar a un Delegado de Protección de Datos.
- SEGUNDO: En caso de nuestra empresa emplee a menos de 50 trabajadores, comprobar si no nos encontramos ante alguno de los supuestos genéricos del RGPD y de los supuestos específicos de LOPDGDD:
- Supuestos genéricos del artículo 37 RGPD:
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
- Supuestos específicos del artículo 34 LOPDGDD:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
- Las entidades y/o prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de las personas usuarias del servicio.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, que presten servicios de ordenación, supervisión y solvencia de entidades de crédito.
- Las entidades cuya actividad sea establecimientos financieros de crédito.
- Las entidades que presten servicios como aseguradoras y reaseguradoras.
- Las entidades que sean empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
- Las entidades cuyas actividades sean la prestación de servicios de distribución y comercialización de energía eléctrica y los distribuidores y comercializadores de gas natural.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades y servicios de publicidad y prospección comercial, incluyendo las entidades de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de las personas afectadas o realicen actividades y servicios que impliquen la elaboración de perfiles de las mismas.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
- Las entidades que tengan como uno de sus objetos y servicios la emisión de informes comerciales que puedan referirse a personas físicas.
- Las personas operadoras que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
- Las entidades o empresas cuya actividad sean servicios de seguridad privada.
- Las federaciones deportivas cuando traten datos de menores de edad.
- Supuestos genéricos del artículo 37 RGPD:
¿Hay que cumplir con el Anteproyecto de ley?
El anteproyecto de la ley es, como su propio nombre indica, un anteproyecto. Debe pasar posteriormente por la fase de proyecto y finalmente aprobarse como ley. Hasta que no se apruebe como ley y ésta entre en vigor, las obligaciones no surtirán efectos.