El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la interpretación del artículo 5.1 de la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción. Este artículo atribuye la responsabilidad del tratamiento de datos personales al órgano de administración u órgano de gobierno de cada entidad u organismo obligado por la ley.
La consulta planteada analiza el nuevo régimen jurídico del sistema interno de información, la responsabilidad patrimonial de los administradores según el Real Decreto Legislativo 1/2010, y el concepto de responsable del tratamiento conforme al artículo 4.7 del Reglamento General de Protección de Datos (RGPD). La AEPD concluye que la intención del legislador no es exonerar de responsabilidad a la sociedad, sino garantizar la participación activa del Consejo de Administración en la gestión del canal de denuncias, haciéndolo responsable de su implantación para asegurar la protección máxima de los informantes.
El informe destaca que el Consejo de Administración es responsable de asegurar la implantación de un canal de denuncias que cumpla con los requisitos legales, pero no del tratamiento de los datos personales incorporados en el canal. La empresa obligada a disponer del sistema interno de información es la responsable del tratamiento de los datos derivados de la gestión diaria del canal de denuncias.
La AEPD también analiza la posición jurídica de los intervinientes en el tratamiento de datos personales, identificando al «responsable del tratamiento» y al «encargado del tratamiento» según las definiciones del RGPD. Se subraya que los fines y medios del tratamiento están determinados por la ley, y que el órgano de administración u órgano de gobierno de cada entidad u organismo obligado debe ostentar la condición de responsable del tratamiento.
El informe aborda la posibilidad de externalización de la gestión del sistema interno de información, señalando que debe existir un acuerdo claro entre el responsable y el encargado del tratamiento. Se menciona la necesidad de clarificar en la ley las actuaciones que pueden ser objeto de externalización y la obligación de suscribir un contrato que detalle las responsabilidades y obligaciones de ambas partes.
Finalmente, la AEPD insiste en la importancia de identificar adecuadamente el papel de los intervinientes en los tratamientos de datos personales, diferenciando entre responsables y encargados del tratamiento. Se destaca el principio de «responsabilidad proactiva» del RGPD, que exige al responsable del tratamiento garantizar la protección de los datos personales mediante la adopción de medidas adecuadas y la documentación de todas las decisiones tomadas.