La consulta plantea si es conforme al RGPD, a la Ley Orgánica 3/2018 de protección de datos y a la Ley 2/2023 de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción el tratamiento “de aquellas informaciones recibidas al amparo de dicha ley y que no entren dentro de su ámbito de aplicación para cumplir otras finalidades como la eficiencia, transparencia y buen gobierno”. Estas finalidades vienen recogidas en el artículo 112 de la Ley 40/2015 de 1 de octubre de Régimen Jurídico del Sector Público que establece que las entidades integrantes del sector público ”perseguirán la eficiencia, transparencia y buen gobierno en la gestión” de las sociedades mercantiles estatales respecto de las cuales son titulares del capital social.
Afirma la autoridad de control, en primer lugar, que la finalidad de la Ley 2/2023 consiste en proteger a las personas indicadas en su artículo tercero de las represalias que puedan sufrir con ocasión de la comunicación a la empresa de la comisión de las conductas a las que se refiere el ámbito objetivo de aplicación, siendo la base jurídica que legitima el tratamiento de los datos de los informantes y afectados el cumplimiento de una obligación legal.
En este sentido, se expone que la citada Ley resulta también de aplicación, no desapareciendo “las garantías y salvaguardas para tratar la información y tampoco las obligaciones del responsable”, a aquella información recibida a través del canal interno que no entra dentro de su ámbito de aplicación, estando vigente la finalidad del tratamiento. Habida cuenta de ello, dicha información debe ser tratada también conforme a lo dispuesto en la normativa.
Respecto a quién puede acceder al contenido del canal, la AEPD afirma que la normativa recoge en su artículo 32 las personas que pueden tratar la información obrante en el sistema interno, siendo un numerus clausus que permite dar cumplimiento al principio de limitación de la finalidad ya que “los destinatarios que se incluyen en el precepto ostentan unas competencias en el contexto de la propia ley, que coadyuvan a cumplir la finalidad prevista […] y que no desaparecen en aquellas informaciones que no pasen el filtro de los artículos 2 y 3, precisamente porque las mismas […] se encuentran incluidas en el Sistema Interno de información”.
El apartado segundo de dicho artículo 32 recoge que los datos personales que se refieran a conductas no incluidas en el ámbito de aplicación de la ley deberán ser suprimidos, de modo que se establece una previsión en la normativa relativa al uso de información que está fuera del ámbito de aplicación de la ley. Asimismo, el apartado cuarto recoge que, si no se hubieran iniciado actuaciones de investigación en tres meses desde la recepción de la comunicación, no sirviendo el tratamiento de los datos al propósito previsto en la norma, también se deberá proceder a la supresión de la información.
Una vez expuesto lo anterior (respecto a que la Ley 2/2023 resulta de aplicación a toda la información obrante en el canal interno, con independencia de que entre dentro de su ámbito de aplicación), se analiza por la autoridad de control el artículo en el que la consultante fundamenta el tratamiento de los datos incluidos en el canal interno para otras finalidades. En este sentido, se declara que no se cumplen los requisitos que la jurisprudencia exige para que se pueda justificar la injerencia en el derecho a la protección de datos, por cuanto ni se prevé dicha injerencia, ni se justifica “la obligación legal o el interés público que justificarían un tratamiento de datos personales diferente al previsto por la propia ley 2/2013”, ni tampoco se recogen las garantías o límites en la norma para el tratamiento propuesto. Es por ello por lo que el cumplimiento de esta obligación legal no serviría como base jurídica.
En relación con el interés legítimo del responsable para tratar estos datos con las finalidades indicadas (como base legitimadora del tratamiento), afirma la autoridad de control que se debe llevar a cabo un juicio de ponderación. Así, respecto a este análisis que se debe efectuar, se destaca por la AEPD la nota de previsibilidad del afectado de cara a poder justificar el tratamiento, puesto que, en este caso, “difícilmente un hipotético informante que acude al Sistema interno de información, revestido por la ley de notas de confidencialidad y anonimato, puede esperar razonablemente que la información que aporta pueda usarse para otra finalidad como la que pretende la consultante”.
Así, a la vista de que se pretende tratar la información para una finalidad distinta de la prevista en la propia ley, la AEPD evalúa los parámetros que el Dictamen del Grupo de Trabajo del Artículo 29 3/2013 sobre la limitación de la finalidad propone al responsable al analizar esta nueva finalidad.
De este modo, se concluye por la Agencia que, entre otras cuestiones, “no hay relación de suficiente entidad [entre ambos fines] para valorar positivamente dicha compatibilidad”, puesto que la intención del informante es poner en conocimiento de la compañía la comisión de determinadas conductas, pero no que se dé traslado de esa información a otros departamentos con otros fines que “si bien pueden ser indirectamente beneficiosas para la entidad, -como la eficiencia o el buen gobierno- están alejadas del fin último de la norma que es la lucha contra la corrupción”.
Asimismo, se declara que resulta coherente considerar que este tratamiento posterior para otras finalidades no se espera por los informantes, pudiendo ser considerado sorpresivo, por cuanto el afectado acude al canal “con la confianza en las garantías y salvaguardas que la norma otorga, y para un propósito concreto”; que los datos que se pueden aportar son de muy diversa índoles, pudiendo ser considerados sensibles o que las garantías impuestas por la norma, consideradas muy estrictas (relativas a la confidencialidad, el anonimato, el acceso no autorizado o la supresión), “podrían verse afectadas”.
Es por lo anterior por lo que se considera que “el nuevo tratamiento de datos propuesto no encontraría base jurídica suficiente y tendría una finalidad incompatible con la inicial.”
Puede acceder al informe de la autoridad de control aquí.