En l’apunt precedent vaig començar una visió panoràmica de la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció, que culminaré en aquest apunt destacant alguns aspectes de la Llei que considero més rellevants. Com comentava en l'apunt, la Llei 2/2023 estableix un canal intern i un canal extern d’alertes sobre possibles vulneracions.
El canal extern s’assigna a una autoritat independent. En l'àmbit estatal, la Llei crea l'Autoritat Independent de Protecció de l’Informant, que també pot tramitar les informacions que afectin l’àmbit autonòmic i local a les comunitats autònomes que així ho decideixin, prèvia subscripció del conveni corresponent.
La Llei també obre la porta que cada comunitat autònoma pugui designar la seva pròpia autoritat independent de protecció de l'informant, que ha de ser competent respecte de les informacions que afectin el sector públic autonòmic i local del seu territori, les institucions autonòmiques i les entitats que formin part del sector privat, però únicament quan l’incompliment se circumscrigui a l’àmbit territorial de la comunitat autònoma.
És meritori destacar que, en menys d’un mes des de l’aprovació de la Llei 2/2023, el legislador català ha designat l’Oficina Antifrau de Catalunya (OAC) com a Autoritat Independent de Protecció de l'Informant mitjançant la Llei 3/2023, del 16 de març, de mesures fiscals, financeres, administratives i del sector públic per al 2023 (disposició addicional setena). D’aquesta manera, l’OAC esdevé la primera autoritat independent que assumeix, en l'àmbit autonòmic, les competències per a la protecció de les persones alertadores.
En la Llei 3/2023 hi ha un altre aspecte rellevant: el legislador català anuncia la propera elaboració d'una llei catalana en matèria de protecció de les persones que alertin d'infraccions normatives.
Per tant, correspon a l’Autoritat Independent de Protecció de l'Informant competent l’exercici de la potestat sancionadora. La mateixa Llei 2/2023 estableix el règim sancionador i s’adreça tant a les persones físiques com jurídiques que duguin a terme alguna conducta que estigui tipificada com a infracció en l’article 63. De conformitat amb el principi de tipicitat regulat a l’article 27 de la Llei 40/2015, les infraccions es classifiquen en lleus, greus o molt greus, i prescriuen al cap de 6 mesos, 2 anys i 3 anys, respectivament.
Escau destacar que el legislador ha establert la imposició de multes, tant a les persones físiques com a les persones jurídiques, siguin públiques o privades. Pel que fa a la quantia de les multes, varien en funció de si el responsable de la infracció és una persona jurídica o una persona física; en aquest darrer cas les sancions són inferiors. Així, una infracció molt greu comesa per una persona jurídica es pot sancionar amb una multa de fins a 1 milió d’euros. En canvi, si el responsable és una persona física, la multa màxima que es pot imposar són 300.000 euros.
Sorprèn que, per a les sancions lleus, la Llei determina que si les infraccions són comeses per una persona física, es poden sancionar amb una multa de 1.001 a 10.000 euros, és a dir, que s'estableix una sanció mínima de 1.001 euros. Per contra, en el cas de les infraccions lleus comeses per persones jurídiques, no s’estableix una quantia mínima de la sanció a imposar, sinó només un màxim de fins a 100.000 euros, de manera que, segons la literalitat del precepte, seria possible imposar a una persona jurídica una sanció per un import inferior a 1.001 euros.
Addicionalment a la imposició d’una multa, l’Autoritat Independent de Protecció de l'Informant també pot acordar l’amonestació pública de la persona infractora, la prohibició d’obtenir subvencions o altres beneficis fiscals fins a un màxim de 4 anys o la prohibició de contractar amb el sector públic fins a un màxim de 3 anys. A més, en el cas de les infraccions molt greus en què s’imposi a una persona jurídica una multa igual o superior a 600.001 euros (quantia mínima per a les infraccions molt greus), s’estableix la publicitat de la sanció a través del Butlletí Oficial de l’Estat, on s’ha d’especificar el tipus i la naturalesa de la infracció comesa i, si escau, la identitat de les persones responsables d’acord amb el que estableix la normativa sobre protecció de dades. Aquesta remissió a la normativa de protecció de dades sembla que s'efectuï a la disposició addicional setena de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), que fixa unes regles sobre la identificació de persones físiques incloses en actes administratius a publicar. Però aquesta remissió genera dubtes, atès que la publicació es té en compte en el cas de sancions imposades a persones jurídiques, a les quals no s’aplicaria la regla de la disposició addicional setena de la LOPDGDD.
Seguidament analitzaré les repercussions de la Llei 2/2023 des de la perspectiva de la protecció de dades personals.
Una de les afectacions més rellevants és que la Llei 2/2023 modifica l’article 24 de la LOPDGDD, que en la redacció original regulava de manera extensa els sistemes d’informació de denúncies. Amb el nou redactat que dona la Llei 2/2023, l’article 24 de la LOPDGDD es limita a posar de manifest que els tractaments de dades personals necessaris per garantir la protecció de les persones que informin sobre infraccions es consideren lícits i s’han de regir per la normativa sobre protecció de dades personals. L’article 30 de la Llei 2/2023 concreta que la base jurídica que ha de legitimar el tractament de dades en el supòsit de comunicacions internes és el compliment d’una obligació legal (art. 6.1.c del RGPD) quan sigui obligatori disposar d’aquest sistema intern d’informació. Si no ho és, el tractament s'ha de fonamentar en el compliment d’una missió en interès públic o l’exercici de poders públics (art. 6.1.e del RGPD).
Quan s’utilitzi un canal de comunicació extern, també ha de ser el compliment d’una obligació legal la base jurídica que legitimi el tractament. I els tractaments efectuats per les persones informants que duguin a terme una revelació pública s'han de considerar que se sustenten en la base jurídica establerta a l’article 6.1.e del Reglament General de Protecció de Dades (RGPD).
Què succeeix si algun d'aquests tractaments afecta categories especials de dades? Com és sabut, llavors cal recórrer també a alguna de les circumstàncies establertes a l’article 9.2 del RGPD que permeten el tractament de categories especials de dades. Doncs bé, d’acord amb l’article 30.5 de la Llei 2/2023, aquesta circumstància és que el tractament de categories especials de dades és necessari per satisfer un interès públic essencial (art. 9.2.g del RGPD).
Com hem vist, la regulació dels sistemes interns d’informació passa establir-se en la Llei 2/2023, que admet les comunicacions d’infraccions de manera anònima amb independència que aquesta s'adreci al sistema intern d’informació o al canal extern de l’autoritat independent competent.
El caràcter anònim de les comunicacions pot entrar en conflicte amb altres normes, com la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades, que disposa que la persona denunciant s’ha d’identificar en el moment de fer la denúncia. Aquesta determinació sectorial s’hauria d’entendre superada per la Llei 2/2023, que inclou la privacitat i la protecció de dades personals en l'àmbit material d’aplicació en consonància amb la Directiva (UE) 2019/1937. Així doncs, en els supòsits de vulneració de la normativa sobre protecció de dades, si la persona no vol fer ús del sistema intern d’informació, s’ha d’interpretar que pot formular una denúncia o comunicació anònima a l’Autoritat Independent de Protecció de l'Informant a través del canal extern, la qual s’ha de derivar a l’autoritat de protecció de dades competent, d’acord amb l’article 18.2.d de la Llei 2/2023.
D’altra banda, en relació amb el sistema intern d’informació, se'n permet la gestió per un tercer extern que té la consideració d’encarregat del tractament, i és necessari subscriure el corresponent contracte d’acord amb les determinacions de l’article 28 del RGPD.
Una altra situació que es pot donar en la gestió del sistema intern d’informació és l’existència de diversos corresponsables. En aquesta situació, la Llei 2/2023 recorda la necessitat de subscriure el corresponent acord de corresponsabilitat, tal com exigeix l’article 26 del RGPD.
Vinculat al sistema intern d’informació en el sector públic, tot i que no és una qüestió que afecti estrictament la normativa de protecció de dades, destaco que l’article 13.5 de la Llei 2/2023 determina que les decisions adoptades pels organismes públics amb funcions de comprovació o investigació en relació amb les informacions no són recurribles en via administrativa ni en via contenciosa administrativa. Ara bé, s’ha de considerar que aquesta determinació només afectaria les persones informants, a les quals l’article 13.4 obliga a comunicar el resultat de la investigació oberta de resultes de la seva informació. En aquest punt cal recordar la determinació de l’article 62.5 de la Llei 39/2015, conforme que la presentació d'una denúncia no confereix, per si sola, la condició de persona interessada en el procediment.
Altres qüestions que afecten la normativa de protecció de dades, i que seguidament enumero de manera resumida, són les següents:
- Quan es faci efectiu el dret d'informació a les persones informants o que duguin a terme una revelació pública (art. 27 i 28 de la Llei 2/2023), al marge de facilitar la informació que preceptua l’article 13 del RGPD, el responsable del tractament els ha d’informar que no es revelaran les seves dades a la persona denunciada ni a terceres persones (art. 31.1 de la Llei 2/2023), tot i que s’ha de remarcar que en l’article 33.3 de la Llei 2/2023 s’estableixen alguns supòsits en què sí que es revelarà la identitat a determinades categories de destinataris, com ara l’autoritat judicial, el Ministeri Fiscal o l'autoritat administrativa competent en el marc d'una investigació penal, disciplinària o sancionadora. Per tant, caldria informar de l’existència d’aquestes categories de destinataris.
- Quan la persona a la qual es refereixen els fets informats a la comunicació o revelació pública exerceixi el dret d’oposició, es determina que el responsable del tractament el pugui denegar, amb caràcter general, fonamentant-ho en la concurrència de motius legítims imperiosos que legitimen el tractament de dades personals (art. 31.4 de la Llei 2/2023).
- En relació amb el sistema intern d’informació es concreten els subjectes que poden accedir-hi i es limita el període de conservació de les dades a 3 mesos a comptar des de la recepció de la comunicació, si no s’ha iniciat cap actuació d’investigació, llevat que la finalitat de la conservació de les dades sigui tenir una evidència del funcionament del sistema intern (art. 32 de la Llei 2/2023).
- S’estableix un termini de conservació de 10 anys com a màxim per a les dades personals relatives a les informacions rebudes i a les investigacions internes incloses en el llibre registre de què han de disposar tots els subjectes obligats a tenir un canal intern d’informacions (art. 26 de la Llei 2/2023).
Fins aquí la segona part d’aquesta visió panoràmica de la Llei 2/2023, norma que tindrà un impacte evident en les nostres organitzacions.