Anteproyecto para la transposición de la directiva “Whistleblower” o canal de denuncias internas


¿Tienes más de 50 trabajadores? ¿Eres un sindicato a fundación que recibe y gestiona fondos públicos? Si es así sigue leyendo, los cambios que prevé el anteproyecto para la transposición de la directiva “Whistleblower” te interesan.

Índice
1. Canal de denuncias internas
2. Delegado de Protección de datos
3. ¿Cuándo empezará a ser obligatoria esta normativa?

Esta nueva ley pretende transponer la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Esta directiva regula los canales de denuncias internas dentro del ámbito empresarial e impone, dentro de las obligaciones que se le imponen, tener la figura del Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés). En las siguientes líneas veremos las principales características del canal de denuncias internas y los principales puntos de la nueva obligación de nombrar un DPD.

  1. Canal de denuncias internas:

Cuando en el seno de una empresa se detecten irregularidades, los trabajadores de la misma tienen el derecho y la empresa la obligación de disponer de un canal interno de comunicación para dichas irregularidades. El anteproyecto enumera las entidades que tienen esta obligación. De esta forma se pretende alcanzar el objetivo de prevenir o corregir los incumplimientos normativos. Se prevé que todas las entidades que deban tener un canal de denuncias internas deban también tener un DPD.

Esta normativa, asimismo, regula también las medidas de protección para las personas que usen este canal de comunicación para que, de esta forma, se cree un espacio de comunicación confidencial y seguro.

  1. Delegado de Protección de Datos:

¿Quién está obligado a nombrar un DPD?

Como ya sabéis, y hemos comentado en anteriores noticias, el DPD es el garante del cumplimiento de la normativa de protección de datos. Aunque su designación puede ser voluntaria, el art. 34 de la LOPDGDD y el 37 RGPD establecen qué responsables y encargados están obligados a nombrarlo. Con la transposición de la directiva Whistleblower la lista de obligados se amplía quedando también obligadas al nombramiento de un DPD todas aquellas entidades obligadas a disponer de un canal de denuncias interno y las entidades externas que se encargan de su gestión.

¿Qué tipo de infracción implica no nombrar un Delegado de Protección de Datos cuando es obligatorio por ley?

No tener nombrado un DPD, cuando la ley obliga a ello, supone una infracción grave (art. 73 LOPDGDD), así como también lo supone interferir en el desarrollo de sus funciones (art. 73 LOPDGDD).

A continuación, os indicamos algunos procedimientos que han tenido lugar precisamente por incumplir, entre otras, la obligación de nombrar un DPO:

  • Expediente nº: PS/00445/2020: en este supuesto nos encontramos con una reclamación dirigida a una entidad de servicios de inversión que se fundamenta, entre otras, en que no tiene DPD. Una vez estudiadas las características del supuesto la agencia impone a la empresa un apercibimiento.
  • Procedimiento nº: PS/00231/2021: en este procedimiento se sanciona con una multa de 10.000 euros a una empresa dedicada a los juegos online por no tener nombrado DPD. En la reclamación inicial se indica también que no se atiene un derecho de supresión en el tiempo legalmente establecido.
  • Procedimiento nº PS/00251/2020: en este procedimiento nos encontramos ante una reclamación contra una empresa de seguridad privada que no tiene nombrado un DPD. Una vez estudiado el caso, la entidad resulta sancionada con una multa de 50.000 euros.

Os enlazamos nuestra noticia sobre la importancia de nombrar un Delegado de Protección de Datos.

¿Cuándo empezará a ser obligatoria esta normativa?

Cuando este anteproyecto de ley se apruebe como tal y entre en vigor será de obligado cumplimiento para todas las empresas españolas. De momento está en fase de Anteproyecto presentado por el Consejo de Ministros. Para poder ser finalmente como Ley deberá pasar por todos los actos establecidos por el legislativo hasta que llegue a ser publicada en el BOE.

Desde PymeLegal os mantendremos informados sobre su evolución.

En conclusión,

Aunque el Anteproyecto aún no es obligatorio nos tenemos que ir preparando. En PymeLegal estamos certificados como DPD, lo que nos acredita la cualificación y capacidad profesional para prestar el servicio de forma externalizada garantizando los conocimientos necesarios en la materia, ¿os ayudamos?

Si tenéis dudas o necesitáis más información al respecto, estamos a vuestra disposición.

El Equipo de PymeLegal.