Áreas en las que se puede ver implicada la protección de datos personales
a) Determinación de quién autoriza el acceso a los expedientes e identificación de las personas con capacidad de aceso
b) Gestión de datos ( seguridad, retención, eliminación, acceso, modificación de información personal identificable y transferencias internacionales de datos)
c) Derechos de protección de datos de todas las partes interesadas (informante, implicados, testigos y otros)
d) Comunicaciones a las partes interesadas y acceso de éstos a los expedientes.
e) Comunicación a departamentos internos y organismos externos a la organización.
f) Modalidad anónima o no anonima.
g) Registro, conservación y cancelación de datos
Licitud del tratamiento de datos personales en el canal de denuncia
.Los tratamientos de datos personales que deriven de la aplicación de esta ley se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y su fines serán el tratamiento para la prevención, detección,
investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Debienso ser eliminados si no son pertinentes.
Se considera lícito el tratamiento en base al cumplimiento de una obligación legal (Art. 6.1c RGPD) para las organización obligadas a disponer de un sistema interno de denuncias.
En el caso de no estar obligada la organización el tratamiento se presumirá amparado en el artículo 6.1.e) del citado reglamento. También se fundamenta en el mismo artículo el tratamiento por revelación publica.
Ante el ejercicio de oposición al tratamiento de los denunciados se presumen savlvo prueba en contrario que existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales (Art. 31.4 L2/2023).
El tratamiento de las categorías especiales de datos personales requiere (art.9.2g RGPD) que existan razones de interés públicos esenciales, que sea r proporcional al objetivo perseguido y se debe establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
Buzón de denuncia e Información sobre protección de datos personales y ejercicio de derechos.
Cuando se obtengan directamente de los interesados sus datos personales se lesfacilitará la información a que se refieren los artículos 13 del Reglamento (UE) 2016/679.
También se informará a los informantes de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.
Pudiendo ejercer los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
La aplicación web Respetalia cumple con todos los requisitos legales.
Personas autorizadas al tratamiento de los datos en el sistema de gestión de las denuncias
Sólo están autorizadas a acceder a los datos personales, dentro del ámbito de sus competencias y funciones, a:
- El Responsable del Sistema y a quien lo gestione directamente.
- El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador.
- En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.
- El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
- Los encargados del tratamiento que eventualmente se designen.
- El delegado de protección de datos.
- Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan
Plazos de conservación de los datos en el sistema de gestión del canal de denuncia
Supresión inmediata de datos personales:
- Que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere el artículo 2 L 2/2023, procediéndose, en su caso, a su inmediata supresión.
- Pertenecientes a categorías especiales y que no se justifique su tratamiento por motivos de la investigación.
Supresión tras decidir la no continuidad del expediente, salvo considerar que es necesario comunicar la comisión de un delito a las autoridades. Se conservarán durante la tramitación de procedimieno judicial.
Supresión transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.
Confidencialidad y comunicación limitada de los datos de las partes interesadas
Obligación de Preservación de la identidad del informante y de las personas afectadas.
Los canales externos y quienes reciban revelaciones públicas no obtendrán datos que permitan la identificación del informante y
deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora
