¿Es posible el tratamiento de los datos personales contenidos en las comunicaciones recibidas a través del Sistema de Información Interno (SII) para otras finalidades distintas de la prevista por la Ley 2/2023?

La Agencia Española de Protección de Datos (AEPD) analiza esta cuestión en su Dictamen 77/2023, a raíz de una consulta en la que se planteaba la viabilidad de utilizar para otras finalidades la información recibida a través del Sistema de Información Interno (SII), tras comprobar que la misma no quedaba dentro del ámbito material de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Al tratarse de comunicaciones que pueden contener datos personales, el tratamiento de las mismas entra dentro del ámbito de aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales.

De forma previa, se ha de diferenciar cual es la base de legitimación para el tratamiento que se quiere realizar en función de si se es o no sujeto obligado por la Ley 2/2023:

  • Entidades obligadas: la base de legitimación para el tratamiento de los datos personales es elcumplimiento de una obligación legal aplicable al Responsable, art. 6.1.c) del RGPD, en tanto que la misma viene prevista en el artículo 30.2 de la propia Ley 2/2023.
  • Por el contrario, para las entidades no sujetas por la Ley 2/2023, el tratamiento de los datos personales contenidos en las comunicaciones se presumirá amparado en el interés legítimo.

La AEPD parte del hecho de que existe una base jurídica y una finalidad prevista expresamente por la Ley 2/2023, y además una nueva finalidad cuya base jurídica se ha de determinar. A estos efectos, la AEPD destaca lo siguiente:

  • Las comunicaciones recibidas por el SII que no queden comprendidas dentro del ámbito de aplicación subjetivo u objetivo de la Ley 2/2023, ostentan las mismas garantías previstas por dicha normativa, y por tanto se exigen las mismas obligaciones al Responsable del tratamiento.
  • El principio de limitación de la finalidad se manifiesta también en la Ley 2/2023 a través de un numerus clausus en cuanto a las personas que pueden acceder al contenido de la comunicación, y ello continúa aplicando a aquellas comunicaciones que no entren en el ámbito de aplicación de la Ley.
  • La Ley 2/2023 establece qué hacer con las comunicaciones que quedan fuera de su ámbito de aplicación, que al igual que lo que prevé el principio de limitación de la finalidad en materia de protección de datos personales, se procederá su eliminación por cuanto escapan al ámbito subjetivo o material.
  • La Ley 2/2023 establece una limitación temporal, indicando que las comunicaciones a las que no se haya dado curso, se deberán suprimir, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema.

Por tanto, las comunicaciones que no pasen el trámite de admisibilidad por no quedar comprendidas dentro del ámbito subjetivo u objetivo no quedan excluidas de la finalidad del tratamiento previsto en el art. 1 de la Ley 2/2023, por lo que la base jurídica para tratar los datos personales en ellas contenidas, sigue siendo la misma, esto es el cumplimiento de una obligación legal.

Nueva Finalidad.

En caso de que se quiera tratar los datos personales contenidos en las comunicaciones recibidas a través del SSI, tal y como indica la AEPD se “debe acomodar este nuevo tratamiento al principio de finalidad y encontrar otra base jurídica de legitimación”.

Asimismo, la AEPD incide en que si se quiere utilizar como base jurídica de legitimación para el nuevo tratamiento, otra obligación legal, como la planteada en la consulta origen de este Dictamen, esta ha de cumplir con los requisitos necesarios que justifiquen la injerencia en el derecho a la protección de datos personales, siendo que la base jurídica que se alegue ha de prever tal injerencia, justificar la obligación legal o el interés público de un tratamiento distinto al previsto por la Ley 2/2023, así como el establecimiento de garantías o límites necesarios para el tratamiento que se proponga.

Respecto de una posible base de legitimación al amparo del interés legítimo del Responsable, la AEPD resalta que corresponde al Responsable del tratamiento la realización de un juicio de ponderación o prueba de sopesamiento entre sus intereses y los derechos del interesado.

A tal efecto, de acuerdo con el Considerando 47 del RGPD se ha de tener “en cuenta las expectativas razonables de los interesados basados en su relación con el responsable (…)”, siendo esa nota de previsibilidad en ese tratamiento ulterior que se quiere llevar a cabo, el elemento determinante en la compatibilidad de finalidad y en la prueba de sopesamiento.

Asimismo, siguiendo con lo que indica el Considerando 47 del RGPD, “los intereses y los derechos fundamentales del interesado pueden, en particular prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de datos personales en circunstancias en las que el interesado no espera razonablemente que se realice tal tratamiento”.

Por consiguiente, la AEPD considera que “difícilmente un hipotético informante que acude al Sistema Interno de Información, revestido por la ley de notas de confidencialidad y anonimato, puede esperar razonablemente que la información que aporta pueda usarse para otra finalidad como la que pretende la consultante”.

Compatibilidad de finalidades.

Para poder analizar el ulterior tratamiento se ha de partir del principio de limitación de la finalidad, puesto que en atención a los principios previstos por el RGPD los datos personales han de ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

La finalidad del tratamiento de los datos personales contenidas en las comunicaciones, independientemente de que estas hayan sido o no admitidas, viene prevista por la Ley 2/2023, además del procedimiento a seguir, el deber de confidencialidad y el plazo, de conservación. Ello se aplica a todas las comunicaciones que se reciban a través del SII, incluso cuando queden fuera del ámbito material de la misma.

Teniendo en cuenta los parámetros previstos por el Dictamen 3/2013 del Grupo de Trabajo del Artículo 29, actualmente Comité Europeo de Protección de Datos, sobre la “Limitación de la Finalidad”, el responsable del SII que quiera hacer un uso distinto al de la finalidad indicada por la Ley 2/2023, ha de realizar una evaluación de compatibilidad con esa nueva finalidad, teniendo en cuenta factores como los siguientes:

  • La relación entre los fines para los que se recogieron los datos personales y los fines de su tratamiento ulterior.
  • El contexto en el que se recogieron los datos personales y las expectativas razonables de los interesados en cuanto a su uso ulterior.
  • La naturaleza de los datos personales y el impacto del tratamiento ulterior en los interesados.
  • Las garantías adoptadas por el responsable del tratamiento para garantizar un tratamiento equitativo y prevenir cualquier repercusión indebida en los interesados.

Resulta por tanto imprescindible analizar la viabilidad de un tratamiento ulterior, valorando la necesidad del mismo, así como la determinación de la adecuada base jurídica que legitime el tratamiento en cuestión.

Asimismo, es esencial realizar una evaluación de compatibilidad de fines, en caso de que se quiera utilizar los datos personales previamente recogidos, para una finalidad ulterior distinta por tanto de la inicial.  

Por último, en caso de que la evaluación realizada manifieste una falta de compatibilidad entre finalidades, en atención a la responsabilidad proactiva que corresponde al Responsable del tratamiento, se tendrán que valorar otras vías y mecanismos que compensen el cambio de finalidad y que por tanto garanticen la protección del interesado en el ámbito de la protección de sus datos personales y de lo previsto por la Ley 2/2023.

Melanie Díaz

Departamento de Compliance de Molins Defensa Penal.

compliance@molins.eu

Update cookies preferences