En el presente número de Breves, analizamos las novedades introducidas por la nueva directiva ‘whistleblowing’ desde el punto de vista de protección de datos y su aplicación en los programas de Compliance penal.
Igualmente, con la mirada puesta en la evolución de la tramitación legislativa del Reglamento europeo de ePrivacy, trasladamos el estudio sobre la Propuesta de modificación realizada por parte de la Presidencia croata del Consejo de la UE a la propuesta del Reglamento ePrivacy.
Al respecto analizaremos la principal novedad que introduce dicha propuesta, ya que, por primera vez, se contempla el interés legítimo como base lícita para el tratamiento de metadatos de comunicaciones electrónicas, así como para la utilización de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios.
Principales consideraciones de la directiva ‘whistleblowing’
La nueva Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, obliga a las entidades jurídicas de 50 o más trabajadores – o aquellas que sean requeridas debido a su actividad y el correspondiente nivel de riesgo (en particular, para el medio ambiente y la salud pública) – a incorporar canales de denuncia interna y de seguimiento de las mismas.
La directiva entró en vigor el pasado 16 de diciembre de 2019, y los Estados miembros deben llevar a cabo su trasposición. En este sentido, respecto a los plazos de adaptación por parte de las empresas, se establece que aquellas empresas con más de 250 trabajadores deberán dar cumplimiento a las disposiciones legales que el correspondiente Estado Miembro haya transpuesto, a más tardar el 17 de diciembre de 2021, y las que tengan entre 50 y 250 empleados deberán transponerlas, antes del 17 de diciembre de 2023.
La directiva exige a los Estados Miembros que incorporen un régimen sancionador en la normativa de trasposición, para aquellas empresas que impidan o intenten impedir denuncias, adopten medidas de represalia o promuevan procedimientos abusivos contra los denunciantes, incumplan el deber de confidencialidad de la identidad de los denunciantes o respecto de denunciantes que comuniquen o releven públicamente informaciones falsas siempre que éstos conozcan la no veracidad de las informaciones divulgadas.
Requisitos del Canal de Denuncias
La Directiva 2019/1937 establece los siguientes requisitos mínimos que, para la protección de las personas que informen sobre diversos tipos de infracciones que se pueden producir en el ámbito laboral, deben cumplir los canales de denuncias:
- Asegurar la identidad y confidencialidad, tanto del denunciante como del denunciado, para lo cual resulta fundamental implementar una serie de medidas de seguridad mínimas al respecto.
- Designar a una persona u órgano autónomo e imparcial, encargado del seguimiento, comunicación e investigación de la denuncia.
- Enviar un acuse de recibo en el plazo máximo de 7 días desde la recepción de la denuncia y, garantizar que el denunciante no sufra represalias directas o indirectas motivadas por su denuncia.
- Garantizar que únicamente acceden a los datos relacionados con las denuncias aquellas personas de la compañía estrictamente necesarias, evitando el acceso de personal no autorizado, para lo cual será fundamental implementar un mecanismo de control de accesos al buzón que centraliza la gestión del canal de denuncias.
- Garantizar que todo sujeto legitimado puede hacer uso del mismo.
Tipo infracciones que podrán comunicarse a través del Canal de Denuncias
Las infracciones que podrán ser objeto de comunicación a través del canal de denuncias serán las relacionadas con:
- La protección de la privacidad, de los datos personales, seguridad en las redes y los sistemas de información.
- La protección de consumidores y salud pública. También incluye denuncias en materia de competencia y de prácticas fiscales desleales.
- Los servicios, productos y mercados financieros, respecto de las normas que supervisan la protección de consumidores: productos bancarios, de crédito, inversión…
- La contratación pública, prevención del blanqueo de capitales, seguridad de los productos y del transporte, protección del medio ambiente, etc.
Sujetos legitimados para presentar denuncias
- Los trabajadores y funcionarios públicos.
- Los accionistas y miembros del Órgano de Administración, dirección o supervisión de una empresa, incluyendo miembros no ejecutivos.
- Los voluntarios o trabajadores en prácticas, perciban o no remuneración, así como personas que participen en un proceso de selección o negociación precontractual.
- Los denunciantes que revelen públicamente información sobre infracciones cometidas en el marco de una relación laboral ya finalizada.
- Los terceros relacionados con el denunciante que pudieran sufrir represalias en el ámbito laboral, tales como familiares del denunciante o compañeros de trabajo.
- Las entidades jurídicas propiedad del denunciante, para las que trabaje, o con las que tenga relación en un contexto laboral.
- Contratistas, subcontratistas, proveedores, etc.
Medidas de protección para el denunciante
- Información y asesoramiento completo, independiente y gratuito respecto de los procedimientos y recursos disponibles para la interposición de denuncias.
- Medidas de apoyo y protección para garantizar la confidencialidad de los denunciantes, de manera que estén protegidos frente a represalias. Se podrán adoptar medidas para garantizar vías de indemnización íntegra de daños y perjuicios sufridos por denunciantes.
- Asistencia efectiva por parte de las autoridades competentes implicadas en protección frente a represalias. Asistencia jurídica en procedimientos judiciales.
- Asistencia financiera y medidas de apoyo, incluyendo psicológico en el marco de un eventual proceso judicial. Estas medidas se prestarán por autoridades administrativas o centros de información.
Requisitos adicionales derivados de la normativa española de protección de datos
La LOPD establece requisitos adicionales para la creación de los sistemas de información de denuncias internas, tales como:
- Preservar la identidad y la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, lo que requiere la aplicación de medidas de anonimización y control de accesos al propio canal de denuncias.
- Conservar los datos en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados (con un máximo de 3 meses desde la introducción de los datos).
- Anonimización de aquellas denuncias a las que no se haya dado curso.
Teniendo en cuenta todo lo anteriormente indicado, sería recomendable que las empresas elaborasen un procedimiento o protocolo que regule correctamente la gestión del Canal de Denuncias.
Propuesta de la Presidencia del Consejo de la UE a la propuesta de Reglamento ePrivacy
El pasado 21 de febrero, la presidencia del Consejo de la Unión Europea, que este semestre corresponde a Croacia, presentó su propuesta de enmiendas a la Propuesta de Reglamento de privacidad y Comercio electrónico, las cuales tienen como finalidad simplificar el texto de determinadas disposiciones y alinearlo aún más con el Reglamento General de Protección de Datos (RGPD).
Modificaciones introducidas
- Tratamiento de metadatos
La primera de las disposiciones respecto de las que se han introducido enmiendas es el artículo 6 y sus correspondientes considerandos, que regula el “Tratamiento autorizado de datos de comunicaciones electrónicas”, y en concreto, el relativo al tratamiento de metadatos de comunicaciones electrónicas, al objeto de posibilitar el tratamiento de los mismos en dos nuevos supuestos:
- si dicho tratamiento es necesario para la prestación de un servicio de comunicaciones comerciales previamente contratados por el usuario final, habiendo suscrito éste un contrato a tales efectos.
- si el citado tratamiento es necesario para los intereses legítimos pretendidos por el servicio de comunicaciones electrónicas o por el proveedor de red, excepto cuando dicho interés sea anulado por los intereses o derechos y libertades fundamentales del usuario final, en particular cuando el usuario final es un niño.
En este sentido, la propia Presidencia considera que los intereses del usuario anularían el posible interés legítimo si el proveedor utiliza los metadatos de las comunicaciones electrónicas para determinar la naturaleza y características del usuario final o para construir un perfil individual del mismo, o cuando los metadatos contengan categorías especiales de datos personales (a menos que su tratamiento sea necesario por razones de interés público).
Respecto al segundo supuesto, cabe señalar que, a pesar de que el interés legítimo es una de las bases legitimadoras reconocidas por el RGPD, no cabe olvidar que esta novedad dista del posicionamiento mantenido hasta ahora por parte del Parlamento Europeo, que no contempla la aplicación de la mencionada base legitimadora para este tratamiento.
- Tratamiento de los datos de los terminales de los usuarios
La segunda de las disposiciones respecto de las que la Presidencia ha propuesto modificaciones es el artículo que regula la «Protección de la información almacenada en los equipos terminales de los usuarios finales y relativa a dichos equipos«, introduciendo nuevas condiciones en las que el tratamiento de los datos de los terminales de los usuarios resulta lícito.
El nuevo supuesto, de excepción a la prohibición general, se refiere a aquél en el que el tratamiento resulte necesario para los intereses legítimos pretendidos por el proveedor de servicios, siempre y cuando, no prevalezcan los intereses o derechos y libertades fundamentales del usuario final, teniendo en cuenta las expectativas razonables de éste en función de su relación con el proveedor.
Así, por lo tanto, esta modificación afecta a la instalación de cookies y al tratamiento de los datos personales recabados mediante las mismas.
Algunos de los supuestos concretos que se contemplan como ejemplos en los que se podría aplicar el mencionado interés legítimo sería:
- cuando el usuario final pueda esperar razonablemente dicho almacenamiento, tratamiento o recopilación de información en o desde su equipo terminal en el marco de una relación de cliente existente con el proveedor de servicios. Por ejemplo, mantener o restaurar la seguridad de los servicios de la sociedad de la información o del equipo terminal de los usuarios finales, o prevenir el fraude o detectar fallos técnicos, etc.
- cuando tenga por finalidad reparar vulnerabilidades de seguridad u otros errores de seguridad, siempre que dichas actualizaciones no cambien de ninguna manera la funcionalidad del hardware o software o la configuración de privacidad elegida por el usuario final y el usuario final tenga la posibilidad de posponer o desactivar la instalación automática de dichas actualizaciones.
- cuando el contenido o servicios del sitio web son accesibles sin pago monetario directo y financiados total o principalmente por publicidad, siempre que estos servicios salvaguarden la libertad de expresión e información, incluso para fines periodísticos, como periódicos u otras publicaciones de prensa, o servicios de medios audiovisuales.
En cualquier caso, en estos supuestos, se requiere que el usuario final haya sido informado previamente, de manera clara, precisa y fácil, acerca del propósito de la instalación de las cookies (o técnicas similares) y éste haya aceptado dicha instalación.
Por el contrario, no deberíamos basarnos en intereses legítimos si, el almacenamiento o el tratamiento de la información en el equipo terminal del usuario final o, la información recopilada de este fuera utilizada para determinar la naturaleza o características de un usuario final, o para construir un perfil individual de un usuario final (por ejemplo, cuando se usa con fines de segmentación, para monitorizar el comportamiento de un usuario final específico o para sacar conclusiones sobre su vida privada).
En tales casos, se considera que los intereses y las libertades y derechos fundamentales del usuario final anulan el interés del proveedor del servicio, ya que tales operaciones de tratamiento pueden interferir seriamente en la vida privada del usuario.
Así, por ejemplo, no podrá basarse en el interés legítimo la instalación de las cookies de rastreo, las cuales requerirían del previo consentimiento del interesado.
Tampoco, podría alegarse un interés legítimo si la información almacenada, tratada o recopilada incluye categorías especiales de datos personales.
Como hemos comentado, la propuesta de la Presidencia tiene por objeto acercar el nuevo reglamento de ePrivacy al RGPD y en este sentido, podría entenderse que el hecho de aceptar como valido el interés legítimo en los supuestos concretos mencionados, resultaría coherente en relación con el considerando 49 del RGPD, que contempla la aplicación del interés legítimo como base adecuada para el tratamiento de datos personales para, por ejemplo, garantizar la seguridad de la red y de la información y de los servicios conexos ofrecidos por, o a través de, estos sistemas y redes.
En cualquier caso, en ambos supuestos (tratamiento de metadatos y de los datos de los terminales de los usuarios), será preciso que se cumplan las salvaguardas y garantías establecidas por el RGPD, de modo que se garantice que no prevalecen los intereses o derechos y libertades del interesado, por encima del interés legítimo pretendido, debiendo, por tanto, realizar la correspondiente ponderación.
Asimismo, la citada Presidencia establece que en ambos supuestos:
- no podrán compartirse los metadatos ni los datos obtenidos, con ningún tercero, salvo que los mismos se anonimicen, teniendo en cuenta que, para que el proceso de anonimización sea acorde con el RGPD, debe realizarse con carácter previo a la comunicación pretendida.
- antes del realizar el tratamiento de metadatos de comunicaciones comerciales y antes de cualquier uso de procesamiento o instalaciones de almacenamiento o recopilación de información del terminal del usuario, se requiere:
a. Realizar previamente la correspondiente evaluación de impacto en la privacidad del usuario final, de conformidad con lo establecido en el artículo 35 RGPD.
b. Informar al usuario final respecto al tratamiento, así como de su derecho de oposición.
c. Implementar medidas técnicas y organizativas apropiadas, como seudonimización y cifrado.