La AEPD aclara que el responsable del tratamiento de los datos a efectos de los canales de denuncia es la sociedad y no el órgano de administración
En un reciente informe, la Agencia Española de Protección de Datos rectifica su posición inicial y exime a los órganos de gobierno de las compañías de cualquier responsabilidad relacionada con la privacidad a la hora de aplicar la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (la ley que ha traspuesto en España la Directiva Whistleblowing).
La Agencia Española de Protección de Datos (AEPD) acaba de publicar el informe 54/2023 en el que analiza y clarifica el contenido del artículo 5.1. de la Ley 2/2023, según el cual el órgano de administración tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.
Esta calificación del órgano de administración como responsable del tratamiento se introdujo en la conocida como Ley de Whistleblowing a solicitud de la AEPD en su informe preceptivo relativo al Anteproyecto de la Ley 2/2023.
Pues bien, la AEPD rectifica ahora su posición inicial que dio lugar a dicha redacción y viene a aclarar en el Informe 54/2023 que el responsable del tratamiento a efectos de protección de datos en los canales de denuncia es la sociedad y no el órgano de administración. En concreto, la AEPD lo indica así:
- “Por consiguiente, partiendo de dichos criterios, y teniendo en cuenta que el artículo 5 resulta de aplicación tanto al sector público como al sector privado, la finalidad perseguida con nuestro Informe 20/2022 era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, pero sin que fuera la intención de atribuir al Consejo de Administración de una sociedad mercantil una responsabilidad respecto del tratamiento de los datos personales en el Sistema interno de información diferenciada respecto de la que corresponde a la propia sociedad con relación a los restantes tratamientos de datos personales conforme al artículo 4.7. del RGPD, ni alterar el régimen de responsabilidad previsto en la normativa sobre protección de datos personales para adecuarlo al régimen de responsabilidad solidaria de los administradores recogido en el artículo 236 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital”.
- “Por todo ello, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero, desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno”.
Por tanto, tras la autocorrección de la AEPD, y aunque el texto del artículo 5.1 de la ley sigue siendo el mismo, con este informe hay argumentos suficientes para defender que la sociedad es la única responsable del tratamiento a efectos de la normativa de protección de datos y que el órgano de administración no tiene ningún tipo de responsabilidad directa en este ámbito.
Profesional de contacto
