La Directiva Whistleblowing, ¿Cuándo es obligatorio un delegado de privacidad?

la directiva whistleblowing

El Anteproyecto de Ley que traspone la Directiva Whistleblowing determina la obligación de que todas las organizaciones que tengan más de 50 trabajadores designen a un delegado de Protección de Datos. El 4 de marzo del presente año se aprobó dicho Anteproyecto de Ley reguladora de la protección de las personas que notifiquen sobre infracciones normativas. Además de infracciones contra la corrupción, el cual traspone al ordenamiento jurídico español la Directiva 2019/1927. Esta es conocida como la Directiva de Whistleblowing.

Una de las obligaciones establecidas es la de implementar un sistema interno de información, algo que será obligatorio para las empresas con más de 50 trabajadores. Dicha obligación ha arrastrado un aspecto importante el cual traspasa el ámbito del compliance penal y deteriora al compliance en cuanto a temas de protección de datos.

¿Qué obligaciones establece la Directiva Whistleblowing para las empresas?

¿Cómo debe cumplir la empresa con la Directiva Whistleblowing?

  1. Poseer un canal de denuncias interno.
  2. Dar respuesta a dichas denuncias.
  3. Garantizar el anonimato de la persona denunciante.

En pocas palabras, la Directiva Whistleblowing impone a empresas y a organismos públicos la responsabilidad de implementar canales de denuncias internos. Además de ejecutar medidas de protección para los denunciantes que quieran utilizar estos mecanismos internos para denunciar infracciones internas empresariales. Ampliando así este ámbito de aplicación a aquellas infracciones o irregularidades que afecten directamente sobre el interés general.

De la misma forma, y conforme al artículo 9 de la Directiva, la respuesta a las denuncias se deberá dar en un lapso de tiempo razonable. Sin que dicho lapso de tiempo pueda superar, en ningún momento, el plazo de tres meses desde que la denuncia la haya recibido el responsable de la empresa. O, por otro lado, de siete meses desde que se haya llevado a cabo la denuncia en caso de que no se haya remitido. Además de todo esto, la Directiva también impone que las denuncias pueden realizarse tanto verbal como de manera escrita.

Finalmente, otras de las obligaciones es la de ofrecer garantías de anonimato de los denunciantes y su consecuente protección. Siempre y cuando, legalmente hablando, no se presente la obligación necesaria de tener que revelar su identidad.

¿Quiénes deben cumplir con la Directiva Whistleblowing?

Dicha Directiva determina como sujetos obligados que deben cumplir con sus obligaciones a los siguientes:

  • Como ya lo mencionamos, todas las empresas con más de 50 trabajadores.
  • Todas las empresas del sector público.
  • Empresas de determinados sectores, independientemente del número de empleados (salud pública, sector medioambiental, y otros sectores establecidos en el anexo de dicha Directiva).

La figura de Protección de Datos

En el artículo 34 del Anteproyecto se establece que todas las compañías que se vean obligadas a disponer de un canal de denuncias, tendrán la obligación de colocar a un Delegado de Protección de Datos. Dicho delegado también es conocido por sus siglas ‘DPD’. De esta manera, todas las empresas con más de 50 empleados estarán bajo la obligación de nombrar a un DPD. Si es que aún no tenían la obligación de hacerlo debido a lo que corresponde a la normativa en materia de protección de datos.

El DPD deberá ejercer sus funciones para todos los tratamientos de datos que ejecute la empresa. No sólo para el tratamiento de datos que se deriva de un canal de denuncias.

En resumen, un DPD es un profesional previsto tanto en la RGPD (legislación europea) como en la LOPD GDD (legislación nacional). En este caso, puede tratarse de una persona física o jurídica, externa o interna a la empresa. Pero en todo caso debe reflejar un carácter independiente. Entre sus funciones podemos encontrar las siguiente:

  • Actuar como punto de contacto de la autoridad de control. En el caso de nuestro país, la Agencia Española de Protección de Datos.
  • Asesorar, notificar y supervisar el cumplimiento de la normativa de protección de datos.

Sanciones que recaen por no tener un Delegado de Privacidad

Toda empresa puede verse expuesta a sanciones de hasta 1.000.000 de euros si no cumplen con los requisitos. Por mencionar un ejemplo, algunas de las cantidades por el incumplimiento de dicha normativa son:

  • 25.000 euros por no disponer de un canal de denuncia interno en la empresa.
  • 50.000 euros por dificultar o impedir el seguimiento de la denuncia. También por no cumplir con el derecho de la confidencialidad o por practicar ciertas represalias.

En todo caso, es importante que las empresas que deban cumplir con las normativas de la Directiva Whistleblowing tengan todo esto en consideración. El tener a un delegado de privacidad ya es una realidad a la cual los empresarios deben adaptarse.

Regístrate en menos de 5 minutos y descubre cómo puedes digitalizar la gestión de empleados con SesameHR y optimizar tu día a día.