El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la conformidad de la utilización de informaciones recibidas al amparo de la Ley 2/2023 de protección de informantes con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). La consulta plantea la viabilidad de tratar datos personales recibidos a través del Sistema Interno de Información para fines distintos a los previstos en la Ley 2/2023, como la eficiencia, transparencia y buen gobierno.
El informe destaca que el tratamiento de datos personales debe cumplir con los principios de protección de datos establecidos en el artículo 5 del RGPD, incluyendo la licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad. Además, el responsable del tratamiento debe ser capaz de demostrar el cumplimiento de estos principios.
La Ley 2/2023 tiene como finalidad proteger a las personas que informen sobre infracciones normativas y fomentar la cultura de la información. La base jurídica para el tratamiento de datos en el Sistema Interno de Información se encuentra en el artículo 6.1.c) del RGPD y el artículo 8.1 de la LOPDGDD, que permiten el tratamiento de datos personales cuando es obligatorio disponer de un sistema interno de información.
El informe analiza la posibilidad de utilizar datos personales recibidos a través del Sistema Interno de Información para fines distintos a los previstos en la Ley 2/2023, como la eficiencia y el buen gobierno. Sin embargo, se concluye que esta utilización no sería conforme al principio de limitación de la finalidad, ya que los datos fueron recogidos con fines específicos y no pueden ser tratados ulteriormente de manera incompatible con dichos fines.
Además, el informe subraya que cualquier tratamiento de datos personales debe estar basado en una norma con rango de ley que establezca claramente las condiciones y garantías para la injerencia en el derecho fundamental a la protección de datos. En este caso, el artículo 112 de la Ley 40/2015 no cumple con estos requisitos, ya que no prevé directamente la injerencia ni establece garantías específicas para el tratamiento de datos personales.
Finalmente, el informe concluye que el nuevo tratamiento de datos propuesto no encontraría base jurídica suficiente y tendría una finalidad incompatible con la inicial. Por lo tanto, la utilización de datos personales recibidos a través del Sistema Interno de Información para fines distintos a los previstos en la Ley 2/2023 no sería conforme al RGPD y la LOPDGDD.