| Informe | 2023-0060 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD (Informe 2023-0060)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico (Expediente 2023-0060) que analiza la interpretación de los artículos 26, 32.3 y 32.4 de la Ley 2/2023 (reguladora de la protección de los informantes de corrupción) en relación con los plazos y formas de conservación de los datos personales derivados de su aplicación, así como su compatibilidad con otras normativas, como el Código Penal (artículos 31 bis.2 y 31 quarter.1. d).
Principales conclusiones del informe
Dos repositorios diferenciados para la información:
Sistema Interno de Información (Título II, artículos 4-15): Aquí se gestionan las comunicaciones recibidas. Los plazos de conservación de datos son máximos de 3 meses si no se inician actuaciones, o hasta 6 meses (o 9 en casos complejos) si se inicia una investigación. Tras estos plazos, los datos deben suprimirse, salvo que se conserven anonimizados para demostrar el funcionamiento del sistema o para cumplir con la Ley 2/2023. El acceso está limitado a los sujetos autorizados (artículo 32).
Libro-registro (Título IV, artículo 26): Incluye tanto las comunicaciones como las investigaciones realizadas. Es un registro no público, con acceso restringido a la autoridad judicial (mediante auto). Los datos se conservarán durante hasta 10 años, siempre que sea necesario para cumplir con la ley.
Sobre la conservación de datos personales:
Si la investigación concluye sin iniciarse actuaciones, los datos deben suprimirse en 3 meses (salvo anonimización para fines estadísticos).
Si la investigación se lleva a cabo, los datos pueden conservarse hasta su finalización (máximo 6-9 meses), y luego deben eliminarse, salvo que se guarden de forma anonimizada para acreditar el funcionamiento del sistema.
El formato del libro-registro (ej. «gestor documental») no afecta a estos plazos, pero el responsable del tratamiento debe garantizar el cumplimiento de la minimización de datos y los principios del RGPD.
Compatibilidad con otras normativas (Código Penal):
La AEPD reconoce que la Ley 2/2023 no impide que, para cumplir con modelos de «compliance» (artículo 31 bis.2 del Código Penal), los responsables conserven datos en un espacio separado al sistema interno de información o libro-registro.
Sin embargo, esta conservación debe basarse en otra base jurídica (artículo 6 del RGPD) y cumplir con los principios de proporcionalidad, limitación de la finalidad y transparencia. El responsable debe:
Incluir esta actividad en el Registro de Actividades de Tratamiento (RAT).
Garantizar que solo se conserven los datos estrictamente necesarios para los fines del «compliance» penal.
Evaluar los riesgos asociados (especialmente si hay datos sensibles o relacionados con infracciones administrativas).
Obligaciones adicionales:
La AEPD insiste en que, aunque se permita esta conservación paralela, no exime al responsable de cumplir con la normativa de protección de datos. Deben aplicarse medidas de seguridad, transparencia y responsabilidad proactiva (artículos 24 y 28.2.c de la LOPDGDD).
Recomendaciones prácticas
Diferenciación clara entre los datos del sistema interno (sujetos a plazos cortos) y los del libro-registro (hasta 10 años).
Anonimización cuando los datos ya no sean necesarios para la investigación, pero sí para acreditar el sistema.
Auditoría periódica para verificar el cumplimiento de los plazos y la minimización de datos.
Documentación detallada de cualquier conservación adicional de datos con fines de «compliance», incluyendo su base legal y riesgos asociados.
Este informe refuerza el equilibrio entre la lucha contra la corrupción y el derecho a la protección de datos, garantizando que la conservación de información sea proporcional y limitada a los fines establecidos por la ley.