Las denuncias internas, una ayuda en la LOPD
El nuevo sistema previsto por la ley contribuye al cumplimiento de la normativa
La tan esperada nueva Ley Orgánica de Protección de Datos (LOPDGDD) vio la luz el día 5 de diciembre del pasado año 2018, bajo la denominación “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales”. Si bien el 25 de mayo de 2018, la entrada en fase de obligatorio cumplimiento del Reglamento General de Protección de Datos europeo (RGPD) generó gran revuelo, en esta ocasión la nueva LOPD está pasando desapercibida en las organizaciones tanto públicas como privadas. Error. La nueva ley es algo más que una continuación del reglamento. Aporta sus propias novedades.
Permítame el lector, antes de entrar en materia, acercarle brevemente a la figura del delegado de protección de datos. Creado por el RGPD, su origen se encuentra en la normativa de protección de datos alemana de 1977 (Bundesbeauftragten für den Datenschutz; Ley Federal de Protección de Datos de 27 de enero 1977). En el citado reglamento se regula que el delegado de protección de datos que se designe debe contar con unas cualidades determinadas para poder desarrollar unas funciones concretas.
Básicamente, se trata de tener experiencia suficiente en la protección de los datos personales. La nueva ley española determina que los colegios profesionales y sus consejos generales deben proceder a designar su delegado de protección de datos e inscribirlo en el registro habilitado a tal efecto en la Agencia Española de Protección de Datos, organismo público responsable de velar por el cumplimiento de esta materia.
Desde mi posición como delegado de protección de datos de colegios profesionales, encuentro especialmente relevante la novedad aportada en el artículo 24 de la nueva LOPD. Se trata del “sistema de información de denuncias internas”.
Hechas las presentaciones, veamos por qué es tan importante este sistema, en qué consiste, qué función desempeña y, sobre todo, qué puede aportar a organizaciones con responsabilidad penal, como es el caso de los colegios profesionales.
El sistema de información de denuncias internas ha sido introducido en la nueva LOPD por la propia Agencia Española de Protección de Datos para facilitar la responsabilidad proactiva (accountability) de las personas jurídicas en el cumplimiento de la normativa de protección de datos. Creado principalmente para prevenir la comisión de delitos relacionados con esta materia, se pensó en un mecanismo que pudiese exonerar la responsabilidad penal de aquellas entidades que mostrasen suficiente diligencia. No olvidemos que nos encontramos ante uno de los derechos fundamentales reconocidos en la Constitución española.
La implantación de este sistema es de carácter voluntario, pero aconsejable, dado que se trata de una medida técnica y organizativa a través de la cual se ponen en conocimiento del propio colegio profesional posibles infracciones de la normativa de protección de datos, tanto desde su propio seno, por parte de cualquiera de los miembros que lo integran, como por parte de terceros (el caso de los encargados del tratamiento de los datos personales).
Para favorecer esta colaboración es indispensable que el colegio profesional informe previamente a empleados, miembros de los órganos de gobierno del consejo general y terceros de la implantación del sistema de información de denuncias internas.
Todo ello garantizando la confidencialidad de la identidad del denunciante, permitiendo realizar la denuncia de forma anónima y restringiendo el acceso, dentro y fuera de la organización, a la información que dicha denuncia aporte.
Encuentro muy recomendable integrar este sistema como mecanismo de ayuda para el delegado de protección de datos en el desarrollo de sus funciones, concretamente, en la supervisión del cumplimiento de la normativa y de las políticas de privacidad implantadas, en la concienciación dentro del colegio profesional e incluso como un punto relevante en el temario de la formación para su personal.
Igualmente destacaría la importancia de llevar el sistema de información de denuncias internas como una de las instrucciones para el encargado en el “contrato de tratamiento de datos personales por parte de terceros y por cuenta del responsable”. Con estas medidas haremos tanto de los empleados y miembros de los órganos de gobierno como de terceros fieles aliados en la lucha contra el uso fraudulento de los datos.
Me atrevería a proponer a los colegas delegados de protección de datos, empleados, miembros de los órganos de gobierno y colaboradores de los colegios profesionales que tengamos una visión positiva de la nueva Ley de Protección de Datos que obligatoriamente debemos cumplir.
Los colegiados, si se respetan sus derechos al tratar sus datos personales, apreciarán nuestra labor.
Y es que esta ley nos ayuda a hacer de la necesidad virtud.
María Delgado es delegado de protección de datos de colegios profesionales