Imagen de freepik

Con la entrada en vigor de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante Ley 2/2023), se pretendía poner a disposición de las personas físicas una herramienta fiable y de garantía para comunicar, de forma anónima o personal, cualquier acción u omisión que se hubiera cometido en un contexto laboral susceptibles de constituir una infracción del Derecho de la Unión Europea o cualquier otra de índole penal o administrativa.

En tal sentido, desde el pasado 13 de junio resulta obligatorio, tanto para el sector público como para los organismos privados, la habilitación de un Sistema Interno de Información para la comunicación de estos incidentes.

Este mandato legal no ha pasado desapercibido para la AEPD, que ha emitido un informe advirtiendo de los riesgos que puede llevar aparejado el tratamiento de esta información en otros contextos y fuera del ámbito de aplicación de la Ley 2/2023.

La AEPD ha reafirmado su postura respecto a la salvaguarda de la confidencialidad y el anonimato en el tratamiento de la información recibida a través de Sistemas Internos de Información en el ámbito de dicha ley. De hecho, en su Informe 60/2023, la AEPD destacó que estas garantías no se desvanecen, ni se ven comprometidas las responsabilidades del responsable del tratamiento. Pero, ¿qué ocurre si esos datos son tratados con otra finalidad?

En esta línea, la AEPD ha evaluado alternativas para legitimar el tratamiento de dichos datos, concluyendo que ni la obligación legal ni el interés legítimo del responsable del tratamiento pueden ser considerados como bases jurídicas suficientes. Por un lado, porque la utilización de la información para fines distintos a los inicialmente previstos no encuentra arropo en ningún cuerpo legal, pese a que muchos de ellos fomentan los canales internos de denuncia, las buenas prácticas y los códigos de conducta. Y, por otro lado, porque los intereses de organismos y entidades no deben prevalecer sobre los derechos y libertades de los interesados, debiendo tener en cuenta las expectativas razonables basadas en la relación con el responsable. Resulta difícilmente concebible que el informante que acude a un sistema interno de información, caracterizado por la confidencialidad y el anonimato, pueda esperar que la información se utilice con un propósito diferente.

En consecuencia, la AEPD concluye que el tratamiento de datos para la finalidad pretendida carece de una base jurídica suficiente y representa una finalidad incompatible con la original. El informe enfatiza la importancia de respetar la legalidad y los límites en el uso de los datos, así como considerar las expectativas razonables del informante respecto al uso previsible de la información.

Puede consultar el informe de la Agencia en el enlace que se facilita a continuación: 2023-0077.pdf (aepd.es).