Buscando categoría

Redes Sociales

CANAL DE DENUNCIAS OBLIGATORIO

Como muchos sabéis, desde el pasado mes de diciembre es de obligado cumplimiento la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, y al amparo del artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 (Directiva Whistleblowing), para la implementación de un canal de denuncias interno o, también denominado, canal ético de información. En este artículo, queremos hacer un breve resumen sobre quién tiene la obligación de implementarlo, cómo debe gestionarse, qué y quién puede denunciar y demás obligaciones establecidas por la normativa citada.

¿Quién está obligado?

El canal de denuncias es una acción de compliance penal, obligatoria para las empresas que se acogen a determinadas normas ISO y para empresas públicas o privadas en los siguientes casos:

  • Empresas de 50 o más trabajadores
  • Empresas, con independencia del número de trabajadores, sujetos obligados o que aplican la normativa en materia de servicios, productos y mercados financieros; prevención del blanqueo de capitales; seguridad del transporte y; protección del medio ambiente.
  • Partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos
  • Fundaciones o asociaciones sostenidas con fondos públicos
  • Todas las entidades que integran el sector público
  • Empresas que contemplan los artículos 10, 11 y 13 de la Ley 2/2023

Para el resto de empresas el canal tiene carácter voluntario, cuyo objetivo principal es la protección de las personas informantes sobre las infracciones que puedan cometer las empresas o personas vinculadas a éstas.

Ámbito de aplicación material, ¿qué se puede denunciar?

En general, establece el artículo 2 de la Ley 2/2023 en relación con el anexo de la Directiva, cualquier incumplimiento de la normativa vigente que afecte directa o indirectamente a una empresa, sus empleados o terceros colaboradores:

  • Contrataciones irregulares,
  • Incumplimiento de normas de seguridad,
  • Fraude,
  • Incumplimiento de códigos o normas éticas,
  • Tratos vejatorios,
  • Vulneración de normativa medioambiental,
  • Protección y bienestar de los animales,
  • Derechos de los pacientes,
  • Derechos de los consumidores y usuarios,
  • Servicios financieros,
  • Seguridad del transporte,
  • Delitos contra los trabajadores,
  • Delitos contra la Hacienda Pública y Seguridad Social.

Ámbito de aplicación personal, ¿quién puede hacer uso del canal?

La Ley establece en su artículo 3 quién puede hacer uso del canal de denuncias, sin embargo, cualquier persona podrá hacer uso del canal debido a que debemos garantizar la posibilidad de presentar una denuncia de forma anónima: becarios, voluntarios, empleados, clientes, proveedores, colaboradores, trabajadores autónomos, familiares y, en definitiva, cualquier persona que tenga conocimiento de alguna vulneración por parte de la empresa o contra ella, sus directivos, empleados o cualquier persona física o jurídica relacionada con éstos.

Los artículos 7.3 y  17 de la Ley 2/2023, establecen que el informante, aunque sea anónimo, podrá facilitar un medio de comunicación. En todo caso se deberá comunicar al denunciante o afectado la resolución del procedimiento, debiendo garantizar el anonimato del infórmate en todo momento. Plazo de días 10 para resolver desde que se registra la denuncia y comunicación en plazo de 5 desde la resolución.

¿Cómo se puede denunciar?

Se podrán presentar denuncias por escrito o de forma verbal. Asimismo, estas podrán ser de manera física o telemática, incluida la vía telefónica o mediante entrevista personal reservada. La legislación establece la obligación de establecer al menos un modo, siempre que podamos garantizar el acceso al canal a las personas con discapacidad.

Protocolo interno

Será obligatorio disponer de un protocolo interno en el que se establezca la normativa de aplicación, personal designado para la gestión ya sea interno o empresa externa, procedimiento de actuación frente a denuncias, acuerdos de confidencialidad y demás obligaciones recogidas por el art. 9 de la Ley 2/2023

Contacte con LegalDPO si necesita gestionar el canal de denuncia, escribiendo a hola@legaldpo.es o llamando al 912 300 312. Asimismo, visite nuestra web www.legaldpo.es para conocer más información sobre nuestros servicios.

Aplicaciones móviles para luchar contra el COVID-19

Que el COVID-19 ha cambiado nuestra forma de vivir por completo no es ninguna novedad. El mundo se ha visto paralizado por una pandemia y todos hemos tenido que afrontar un desafío sin precedentes. Ha sido en una situación como esta cuando se ha vuelto a demostrar que la tecnología, bien utilizada, puede ser de gran ayuda. Por esta razón, a lo largo de estas semanas hemos ido viendo como diferentes países de todo el mundo (no solo de la Unión Europea) han ido creando y lanzando al mercado numerosas aplicaciones con un fin común: colaborar en la lucha contra el coronavirus.

Ante este nuevo panorama, a principios de abril la Comisión Europea decidió adoptar lo que llamaron ‘Recomendación’ sobre la utilización de la tecnología y los datos, con el objetivo de combatir el virus. ¿La finalidad? Crear un enfoque común, entre los miembros de la Unión Europea, para el uso de estas aplicaciones.

Una vez han estado sentadas las bases con esa ‘Recomendación’, la Comisión ha publicado las Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia del COVID-19. Con esto pretende ayudar a las autoridades sanitarias de cada país de la Unión Europea a la contención y el seguimiento, sobre todo en el proceso de desescalada del confinamiento. Además, desde la Comisión consideran que algunas de estas aplicaciones pueden ayudar a los ciudadanos con consejos y hacer más sencillo su día a día.

Características y requisitos

Una de las primeras cosas en las que se centra la Comisión en estas ‘Orientaciones’ es en el cumplimiento de la legislación de la UE en cuanto a la protección de la intimidad y los datos personales. Para ello establece cuáles deben ser las características y los requisitos de las aplicaciones móviles (aunque estos no son vinculantes jurídicamente).

 

Por lo tanto, las aplicaciones móviles para luchar contra el COVID-19 deben tener una o varias de las siguientes funciones:

  • Facilitar información exacta a las personas sobre la pandemia de COVID-19.
  • Cuestionarios para la comprobación de síntomas.
  • Avisar a los usuarios de si han estado cerca de una persona con el virus y darles información de cómo deben actuar (rastreo de contactos).
  • Foro para médicos y pacientes para que puedan comunicarse de forma telemática.

 

Aportación de las apps a la lucha contra el COVID-19

De las funciones anteriormente señaladas hay dos que son muy útiles en cuanto a su aportación. Es el caso de la herramienta de comprobación de síntomas o la de rastreo. En ambos casos, las autoridades sanitarias pueden dar información a los ciudadanos sobre cómo actuar, cuándo deben solicitar atención sanitaria o cómo evitar la propagación del virus.

 

Pero no es la única aportación. Por otro lado, estas funciones también actúan como grandes fuentes de datos. De esta forma las autoridades sanitarias pueden intercambiar esta información con las autoridades epidemiológicas nacionales, así como con el Centro Europeo para la Prevención y el Control de las Enfermedades.

 

Sin intrusión y cumpliendo la protección de datos

 

Aunque todo esto tiene grandes beneficios, también hay que aumentar el control en lo respectivo a la intrusión de dichas aplicaciones y a que estas cumplan con la ley de protección de datos de la Unión Europea. Para ello, la Comisión establece los elementos que orientarán esas limitaciones:

 

  • Las autoridades sanitarias nacionales (o entidades con esa misión) serán las responsables del tratamiento de los datos, así como de que se cumpla el Reglamento General de Protección de Datos.
  • Las aplicaciones deberán garantizar que cada usuario tenga el control de sus datos, para así generar más confianza. Y para que esto se cumpla la Comisión establece las siguientes condiciones:

 

  1. La descarga de la aplicación será voluntaria.
  2. Cada función de la aplicación requerirá el consentimiento específico por parte del usuario.
  3. Si se usan datos de proximidad (que son aquellos que se generan a través de señales de Bluetooth) estos se tendrán que almacenar en el móvil del usuario y que sea este el que de su permiso para que se compartan con las autoridades sanitarias.
  4. Cada individuo deberá tener toda la información que necesite sobre el tratamiento de sus datos.
  5. Todos los usuarios podrán ejercer sus derechos derivados del Reglamento General de Protección de Datos 2016.
  6. Cuando la pandemia se declare como ‘controlada’ las aplicaciones se desactivarán solas.

 

  • En cuanto al tratamiento de los datos por parte de las autoridades sanitarias nacionales, la Comisión dice que cada país debe establecer medidas concretas que protejan los derechos y libertades de los titulares de los datos.
  • Por último, la Comisión refleja la importancia de que las autoridades de protección de datos estén involucradas y se acuda a ellas siempre que sea necesario para cumplir correctamente con la ley.

La Agencia Española de Protección de Datos multa con 10.000€ a un particular por difundir fotos en WhatsApp

Con fecha 18 de diciembre de 2019, la Agencia Española de Protección de Datos (en adelante, AEPD) hacía uso de su potestad sancionadora y multaba con 10.000€ a un particular que, a través de los ‘’estados de WhatsApp’’ publicó fotos personales de dos compañeros de su trabajo y que, previamente, obtuvo de un dispositivo USB que había sustraído. Aunque no es el primer caso en el que la AEPD sanciona a un particular como veremos más adelante, si es un caso especial por la polémica generada por la aplicación del RGPD (Reglamento Europeo de Protección de Datos 2016/679, de 27 de abril) y de la LOPDGDD (Ley Orgánica de Protección de Datos y garantía de los derechos digitales 3/2018, de 5 de diciembre) a una actividad personal o doméstica, como se deduce de la resolución y que, por lo tanto, queda excluida su aplicación al caso que nos ocupa, debiendo haber actuado la jurisdicción penal.

¿Puede la AEPD multar a particulares?

La polémica que ha generado este caso deriva de lo establecido en el artículo 2.2.c) del RGPD, así como en su considerando 18 y el 2.2.a) de la LOPDGDD. Ambos artículos establecen que ninguna de las dos normas será de aplicación ‘’al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas’’. Sin embargo, estos preceptos chocarían con el objeto principal del propio Reglamento que en su artículo 1.2 establece el objeto principal: proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos. A esta protección hay que añadir el derecho fundamental de las personas físicas en los que respecta al tratamiento de sus datos personales, amparado por el artículo 18.4 de la Constitución Española.

La opinión generalizada es que la AEPD no puede sancionar a particulares puesto que el RGPD fue concebido para proteger a los ciudadanos del tratamiento de datos que realizan las empresas, ya sea en el marco de una relación contractual o no. Sin embargo, la AEPD ya dejó claro en varias ocasiones que si era competente para conocer y resolver estos casos.

Precedentes

Hay que remontarse al año 2017 para encontrar un caso similar. En este caso, una mujer grabó con su teléfono móvil a un agente de la policía local que, supuestamente, estaba realizando un acto de violencia de género durante la prestación de los servicios policiales. La mujer alegó que grabó el vídeo con la única pretensión de que la agredida pudiera utilizar el vídeo como prueba en un proceso judicial, hecho que no ocurrió. La mujer autora del vídeo envió el mismo a varios de sus contactos vía WhatsApp, con lo que infringió el deber de solicitar el consentimiento del afectado y siendo sancionada por ello con multa de 2.000 euros. Estando todavía vigente la LOPD 15/1999 para este caso concreto, recordemos que en su artículo 2.2.a) establecía que la LOPD no sería de aplicación a los, tan famosos, ficheros mantenidos por personas en el ejercicio de actividades meramente personales o domésticas. Pese a ello, en este procedimiento sancionador PS/00576/2017 la AEPD se consideró plenamente competente para resolver el caso, al amparo del artículo 37 de la antigua LOPD en el que se establecen las funciones de la AEPD que, entre otras, recoge la atención de las reclamaciones y peticiones formuladas por las personas afectadas.

Nuevo Reglamento, pero pocos cambios

En la actualidad hemos sufrido un cambio normativo muy grande en materia de protección de datos, sin embargo, los preceptos antes mencionados se mantienen prácticamente iguales. El caso que nos ocupa, sobre la sanción de 10.000 euros impuesta al hombre que difundió por WhatsApp mensajes íntimos de dos compañeros de trabajo, la AEPD ha hecho uso de los mismos fundamentos ya mencionados. La Directora de la AEPD se considera competente al amparo de los artículos 58.2 del RGPD y 47 y 48 de la actual LOPDGDD. En este sentido, termina por sancionar con 10.000 euros por infringir el artículo 6.1 del RGPD conforme a los establecido en el 83.5.b) del mismo reglamento y difundir los mensajes sin el consentimiento de los afectados.

¿Sanción administrativa o delito?

Otro debate que genera este caso es la vulneración del artículo 197.1 del Código Penal, relativo al descubrimiento de secretos o violación de la intimidad. Aunque no es nuestra materia, este es un delito privado y que se persigue a instancia de parte, por lo que es necesaria la interposición de querella por parte del agraviado, salvo lo dispuesto en el artículo 201 del Código Penal que podrá actuar el Ministerio Fiscal: cuando se trate de menores de edad o se vean afectados los intereses generales o una pluralidad de personas.

Canales de denuncia

La Agencia dispone, además de un canal ordinario, de un canal urgente de denuncia, cuya finalidad es que personas que vean perjudicados sus derechos a la intimidad o al honor, por publicaciones en Internet o redes sociales cuyo contenido tenga carácter violento o sexual, puedan solicitar la eliminación del mismo de forma ‘’inmediata’’.

En relación con este canal urgente de denuncia, junto al ordinario, comprenden herramientas eficaces para que los ciudadanos puedan protegerse ellos mismos por violaciones de sus derechos en materia de protección de datos. Pero hay que recordar que la AEPD puede iniciar de oficio procedimientos sancionadores y viendo que las sanciones a particulares prosperan, es razón de peso ahora más que nunca cuidar todo aquello que compartimos en la red, WhatsApp o cualquier red social. Las sanciones de la AEPD no tienen bonificación como otras que muchos conocemos, además de que el impago de la posible multa impuesta será causa de embargo de la cantidad requerida.

¿Telefónica conseguirá que Google o Facebook pague por el uso de los datos de los usuarios?

La empresa española Telefónica lleva años luchando contra las compañías Over The Top (OTT) como fue Skype, whatsapp, Facebook o Google. Los servicios Over The Top (OTT) tienen a las operadoras de telefonía en una encrucijada viendo a los usuarios hacer cada vez menor uso de sus servicios y preferir el uso de servicios externos en los que el operador de telefonía no forma parte del negocio más allá de proveer la conexión de Internet.