El BOE de 21 de febrero del presente año publicaba la “Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción”. Esta norma supone la transposición tardía al Derecho español de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, y tiene como fin la protección de aquellas personas que informen sobre alguna infracción del Derecho de la Unión Europea o de infracciones graves o muy graves en el ámbito administrativo y penal. Con ello se persigue fomentar la cultura de la proactividad en la información y comunicación como mecanismo para prevenir y detectar amenazas al interés público, tal y como expresa su artículo 1.
Como es de suponer, estamos ante una normativa de importante repercusión en la protección de la privacidad de las personas, y concretamente de los datos personales de los posibles “informantes” (denunciantes), de las personas denunciadas y de aquellos otros que pudieran estar implicados de una u otra forma en los hechos objeto de denuncia. De hecho, ya la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se adelanta a la norma que estamos comentando y contempla en su artículo 24 una regulación específica de los sistemas de información de denuncias internas, en la línea posteriormente marcada por la Directiva (UE) 20219/1937.
Resumiendo, para no extendernos excesivamente, de la lectura del “Título VI. Protección de datos personales” de la Ley, quedan claras las siguientes cuestiones:
- La remisión expresa, como no podía ser de otra manera, al Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo y a la Ley Orgánica 3/2018 mencionada anteriormente, así como a la Ley Orgánica 7/2021, de 26 de mayo, en lo referente a la protección de los datos tratados en el ámbito del derecho penal, para la regulación de las implicaciones sobre la privacidad que puedan dimanar de esta Ley 2/2023;
- La mención expresa al cumplimiento de principios como el de minimización en el tratamiento (debiendo tratar solo y exclusivamente aquellos datos personales que sean totalmente necesarios para el fin previsto en la Ley y eliminar de inmediato los que no lo sean); a la transparencia en relación a los interesados (garantizando el derecho a la información sobre sus datos) con una excepción clave y fundamental para garantizar la protección que supone el fundamento de esta Norma, como es el respeto al anonimato del denunciante, para el que en los artículos 31.2, 32.1 y en especial el 33, se despliega una regulación detallada que extiende la preservación de la confidencialidad sobre los datos personales también a aquellos que pertenezcan a cualquiera de las personas afectadas; y, finalmente, a la limitación del plazo de conservación de los datos tratados, planteando el plazo específico de tres meses desde la recepción de la comunicación sin que no se hubieran iniciado actuaciones de investigación.
- Igualmente, en cuanto a las categorías especiales de datos, se establece la obligación de su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos, aunque previamente plantea una excepción sobre la licitud de dicho tratamiento cuando lo sea por razones de interés público esencial, remitiendo en su base jurídica al artículo 9.2.g) del Reglamento (UE) 2016/679.
Para finalizar, queremos destacar una clara incongruencia entre el artículo 34 de la Ley y el texto del párrafo último de la Exposición de Motivos dedicado al análisis del Título VI sobre la protección de los datos personales. Nos estamos refiriendo a la exigencia de nombrar un delegado de protección de datos por parte de los sujetos obligados de la Ley, que en el mencionado artículo 34 limita “a la Autoridad Independiente de Protección del Informante, A.A.I., y a las autoridades independientes que en su caso se constituyan”, mientras que en la Exposición de Motivos se extiende también, sorprendentemente, dicha obligación a todas “las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen…”. La explicación no es otra que la pérdida de calidad en la redacción normativa que viene caracterizando últimamente a nuestros legisladores, en este caso provocada por un cambio de última hora del texto del artículo 34, que en el Proyecto de Ley incluía a todos los sujetos obligados en esta exigencia de nombramiento, siendo eliminada en la versión definitiva sin acordarse de que también debían revisar las menciones recogidas en la Exposición de Motivos. A la fecha de redacción de este artículo aún no se ha producido rectificación alguna en el BOE.