El Gabinete Jurídico de la Agencia Española de Protección de Datos ha analizado determinadas cuestiones de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, a raíz de una consulta que plantea dudas sobre la interpretación que hace la AEPD del art. 5.1 de la Ley 2/2023 “que atribuye la condición de responsable del tratamiento de los datos personales al órgano de administración y órgano de gobierno de cada entidad u organismo obligado”:
Artículo 5. Sistema interno de información. 1. El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales
De la consulta se extraen las siguientes conclusiones:
“Considerando el artículo 5 de la Ley de Protección al Informante con el conjunto del Ordenamiento Jurídico, entendemos que la intención del legislador no es exonerar de responsabilidad a la propia Sociedad, sino garantizar la participación activa del Consejo de Administración en la gestión del canal de denuncias y, especialmente, en su implantación, haciéndole responsable del mismo, a fin de garantizar la protección máxima de las personas físicas que informen de las acciones u omisiones que puedan constituir infracciones conforme a lo establecido en el artículo 2 de la Ley 2/2023.
1. El Consejo de Administración es responsable -no del tratamiento de los datos personales incorporados en el canal de denuncias- en lo que se refiere al desarrollo de las funciones que tiene atribuidas para asegurar la implantación de un canal de denuncias que cumpla con los requisitos establecidos por la Ley.
2. La Empresa obligada a disponer del sistema interno de información en los términos previstos en la Ley es la responsable del tratamiento de los tratamientos de datos derivados de la gestión diaria y habitual del canal de denuncias, atendiendo a la definición de responsable del tratamiento del artículo 4.7 del RGPD.”
En primer lugar, la Agencia considera necesario partir de las definiciones que contempla el RGPD en su artículo 4:
“7) «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros; 8) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.”
Identificar y diferenciar al «responsable del tratamiento» y al «encargado del tratamiento», es determinante, por ejemplo, para saber a quién deben dirigirse para ejercer sus derechos, para establecer la legislación nacional aplicable y para el ejercicio eficaz de las tareas de supervisión concedidas a las autoridades de protección de datos.
Sin embargo, en la práctica, resulta complejo diferenciar la aplicación concreta de ambos conceptos «responsable del tratamiento de datos y encargado del tratamiento de datos», y esto se debe “a la creciente complejidad del entorno en el que se usan estos conceptos y, en particular, a una tendencia en aumento, tanto en el sector privado como en el público, hacia una diferenciación organizativa, combinada con el desarrollo de las TIC y la globalización, lo cual puede dar lugar a que se planteen cuestiones nuevas y difíciles y a que, en ocasiones, se vea disminuido el nivel de protección de los interesados”.
Si bien, debemos tener en cuenta que el RGPD ha supuesto un cambio de paradigma al abordar la regulación del derecho a la protección de datos personales, que pasa a fundamentarse en el principio de «accountability» o «responsabilidad proactiva» tal y como ha señalado la Agencia en reiteradas ocasiones, e incluso la propia Exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); partiendo de dicho principio de responsabilidad proactiva, dirigido esencialmente al responsable del tratamiento, el RGPD ha introducido nuevas obligaciones exigibles no sólo al responsable, sino también al encargado del tratamiento, quien podrá ser sancionado en caso de incumplimiento.
A este respecto, las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD no han cambiado en comparación con la Directiva 95/46/CE y que, en general, los criterios sobre cómo atribuir los diferentes roles siguen siendo los mismos, reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes, lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a sus actividades reales en lugar de la designación formal de un actor como "responsable" o "encargado" (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales, y teniendo en cuenta que la necesidad de una evaluación fáctica también significa que el papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades concretas en un contexto específico, por lo que la misma entidad puede actuar al mismo tiempo como responsable del tratamiento para determinadas operaciones de tratamiento y como encargado para otras, y la calificación como responsable o encargado debe evaluarse con respecto a cada actividad específica de procesamiento de datos.
En el caso de organismos públicos, teniendo en cuenta que el artículo 5 resulta aplicable tanto en el ámbito público y en el privado; en el sector público, “la condición de responsable del tratamiento corresponderá a la entidad u organismo obligado por la ley y no a su órgano de gobierno, sin perjuicio de que en este ámbito sea una práctica frecuente en la elaboración de los registros de las actividades de tratamiento, la de identificar como responsable del tratamiento al órgano superior o directivo que ostenta las correspondientes competencias, contribuyendo, de este modo, a facilitar la identificación del órgano administrativo que adopta las correspondientes decisiones sobre el tratamiento de los datos personales y el ejercicio de los derechos de los afectados, práctica admitida y seguida por esta Agencia, pero sin que excluya la condición de responsable del tratamiento de la entidad u organismo correspondiente”.
En definitiva, la Agencia Española de Protección de Datos concluye que la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde el punto de vista de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones y/o gestiones necesarias para la correcta implantación del Sistema interno de información o “canal de denuncias” deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
Realice su consulta de forma totalmente gratuita. Nos pondremos en contacto con usted