El pasado 17 de diciembre de 2021 venció el primer plazo para la transposición de la Directiva (UE) 2019/1937 de 23 de octubre de 2019, del Parlamento Europeo y del Consejo, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, también conocida como Directiva Whistleblowing, que entró en vigor el 17 de diciembre de 2019.
El objetivo de la citada Directiva es proteger de forma efectiva, frente a represalias, a las personas que informen sobre hechos que afecten al interés público de la Unión Europea, es decir, a los denominados “denunciantes” o, en inglés, “whistleblower”, mediante la obligación del establecimiento de canales de denuncia efectivos, confidenciales y seguros en empresas y en las administraciones públicas. Con estos canales de denuncia se pretende que aquellas empresas donde ocurren irregularidades puedan investigar dichos actos y actuar en consecuencia.
¿La medida ya es efectiva?
La Directiva ya es aplicable a las empresas a partir de 250 trabajadores, no obstante, se establece un segundo tramo de trasposición para las entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores que tendrán como plazo máximo hasta el 17 de diciembre de 2023 para dar cumplimiento a la misma.
Por su parte el Consejo de Ministros aprobó el pasado 4 de marzo de 2022 el anteproyecto de la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, la cual establece un régimen jurídico que garantiza la protección efectiva de aquellas personas que, tanto en el seno de organizaciones públicas como privadas, comuniquen información relativa a infracciones del Derecho de la Unión y del Derecho nacional, obligando a las empresas de más de 50 trabajadores al establecimiento de un canal interno de denuncias.
En esta línea se dispone que la identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad solo a la autoridad judicial, el Ministerio Fiscal o a la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma.
Obligatoriedad del nombramiento de un DPO
Como consecuencia de dicha obligación y tratándose de datos que afectan a la privacidad de las personas y en particular a la identidad de los informantes y de las personas investigadas, se impone una nueva obligación a las empresas que afecta al ámbito de la privacidad, la obligación de nombrar un Delegado de Protección de datos o “Data Protection Officer” (“DPO”).
Así pues, más allá de los supuestos regulados por el Reglamento Europeo de protección de datos (RPGD) y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, este nuevo anteproyecto obligará a las empresas que deban incorporar un canal interno de denuncias a nombrar un DPO, lo que de facto, supondrá que todas las empresas de más de 50 trabajadores deberán disponer de un Delegado de protección de datos personales.
Sobre Metricson
Metricson es una firma de servicios legales integrales con más de 10 años de experiencia y trabajamos con los mejores en el cumplimiento de la normativa vigente en materia de protección de datos y representación frente a autoridades y organismos públicos. Si crees que tu empresa puede verse afectada y no cuenta con un Delegado de Protección de Datos puedes escribirnos a contacto@metricson.com.
Artículo escrito por:
Teresa Miquel Romera
Directora general Metricson y especialista en privacidad y protección de datos