Miguel Recio
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, introduce una regulación específica en materia de protección de datos personales. Una de las cuestiones más notorias que se introducen ahora es la consideración del Consejo de Administración como responsable del tratamiento del Sistema de información interna. Y vinculado a esto se plantean numerosas cuestiones que será necesario analizar caso por caso.
El Consejo de Administración de las entidades obligadas por la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, “Ley 2/2023”), “tendrá la condición de responsable del tratamiento de los datos personales” del Sistema interno de información.
La figura del responsable del tratamiento está definida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, “RGPD”). La definición comienza indicando que el responsable del tratamiento puede ser una “persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”.
En relación con esta figura es necesario tener en cuenta que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros” (art. 4.7). Cabe señalar que el Gabinete Jurídico de la Agencia Española de Protección de Datos (en adelante, “AEPD”) ha aplicado este criterio en varios informes jurídicos en el ámbito de las Administraciones Públicas, tales como en el informe jurídico nº 0079/2022.
En el presente caso, la Ley 2/2023 establece los fines y medios del tratamiento de datos personales de manera que tendrá la condición de responsable del tratamiento el Consejo de Administración, con independencia, a su vez, de que la entidad obligada por la Ley 2/2023 sea también responsable del tratamiento para el cumplimiento de las obligaciones que le sean exigibles en virtud de esta.
Cabe destacar que el Gabinete Jurídico de la Agencia Española de Protección de Datos (“AEPD”), en su informe jurídico nº 0020/2022, que da repuesta a la solicitud de informe preceptivo sobre el Anteproyecto de Ley, indicó que “en virtud de las funciones que se le atribuyen legalmente, corresponde al órgano de administración u órgano de gobierno de cada entidad u organismo obligado ostentar la condición de «responsable del tratamiento» de los datos personales, de conformidad con lo dispuesto en la normativa sobre protección de datos personales, lo que debería recogerse en texto del propio artículo 5”. La AEPD llega a esta conclusión dado que los medios y los fines están establecidos en la ley y “en virtud de las funciones que se le atribuyen legalmente”.
Ahora bien, esta designación por ley del Consejo de Administración como responsable del tratamiento del Sistema interno de información implica, por una parte, que este tenga que cumplir con todas las obligaciones que le son exigibles en virtud de la normativa sobre protección de datos personales y demás normativa aplicable, debiendo tener en cuenta, en particular, la Ley 2/2023. Y, por otra parte, que deba tenerse en cuenta que quien tiene la obligación de tener un Sistema interno de información es, en el caso del sector privado, la persona jurídica de manera que esta también será responsable del tratamiento.
La consideración del Consejo de Administración como responsable del tratamiento lo es como consecuencia de lo previsto en la Ley 2/2023, pero cuando no exista este Consejo de Administración, el sujeto obligado será el responsable del tratamiento, ya sea en el sector privado o en el público. En este sentido, el apartado 2 del artículo 10 de la Ley 2/2023 prevé que las personas jurídicas que no estén obligadas a disponer de un Sistema interno de información podrán establecerlo voluntariamente y este “deberá cumplir, en todo caso, los requisitos previstos en esta ley”, así como de la normativa sobre protección de datos personales en virtud de la remisión que se hace en el artículo 29.
La consideración del Consejo de Administración como responsable del tratamiento de datos personales; plantea importantes y numerosas cuestiones que deberán analizarse caso por caso con la finalidad de adoptar las medidas apropiadas para cumplir con la normativa sobre protección de datos. A modo de ejemplo, entre estas cuestiones están si la condición de responsable del tratamiento es aplicable también al órgano de administración, en aquellos casos en los que se adopte una forma distinta (v.gr., administrador único o varios solidarios) o a si entre el Consejo de Administración y la entidad obligada por la Ley 2/2023 son corresponsables del tratamiento o si esta última actúa como encargado del tratamiento de aquél cuando le proporciona servicios de TI.
Corrección (9/6/2023): Con respecto a la publicación inicial, se suprime el siguiente párrafo debido a que, si bien el G.P Popular presentó una enmienda al apartado 1 del artículo 5, en la publicación del Proyecto de Ley ya se encontraba la previsión relativa al responsable del tratamiento: “Durante la tramitación parlamentaria del Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, el G.P. Popular en el Congreso introdujo una enmienda al apartado 1 del artículo 5 (publicada en el Boletín Oficial de las Cortes Generales Serie A núm. 123-3, de 28 de noviembre de 2022) que, tras su aprobación, es la que ha dado lugar a la redacción final de dicho artículo en la Ley 2/2023.”
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
_840x420.jpg?v=3)
(W).jpg?v=1)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.