¿Quién es el responsable del correcto tratamiento de los datos personales del Canal Ético/Canal de Denuncias?
Una cuestión controvertida que suscitó el artículo 5.1 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, fue establecer que el órgano de administración u órgano de gobierno (ej.: patronato en el caso de una fundación) de una organización, es el responsable de la implantación del Canal Ético/Canal de Denuncias y que, a su vez, tiene la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa de protección de datos.
Esta consideración deriva del Informe 20/2022, el cual fue elaborado por la Agencia Española de Protección de Datos (en adelante, AEPD), y comporta que el órgano de administración o de gobierno pueda tener una responsabilidad civil y/o administrativa ante una supuesta vulneración de la normativa de protección de datos personales a través del canal, aun y cuando este no haya realizado ningún hecho reprobable.
Ante esta problemática, la AEPD ha emitido el Informe 54/2023, para aclarar si, efectivamente, el órgano de administración o de gobierno tiene algún tipo de responsabilidad por un inadecuado tratamiento de los datos personales a través del canal o, por el contrario, es la propia entidad (sociedad, fundación, entre otros) quien responde de un incumplimiento.
En este sentido, el nuevo informe destaca que “(…) teniendo en cuenta que el artículo 5 resulta de aplicación tanto al sector público como al sector privado, la finalidad perseguida con nuestro Informe 20/2022 era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, pero sin que fuera la intención de atribuir al Consejo de Administración de una sociedad mercantil una responsabilidad respecto del tratamiento de los datos personales.
Del mismo modo, en el sector público, la condición de responsable del tratamiento corresponderá a la entidad u organismo obligado por la ley y no a su órgano de gobierno (…).
Por todo ello, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno”.
Por lo tanto, y pese a que el artículo 5.1 de la Ley 2/2023, de 20 de febrero establezca que será responsable del tratamiento de los datos del Canal Ético/Canal de Denuncias el órgano de administración u el órgano de gobierno, realmente lo es la entidad u organismo la responsable, por lo que el órgano de administración o de gobierno no responderá directamente de cualquier incumplimiento en materia de protección de datos.
Se facilita el Informe 54/2023 de la AEPD para una mayor información: consultar
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.