Nou mesos per a la transposició de la directiva sobre protecció de persones alertadores: tenim alguna feina feta?

Una qüestió que hem d'abordar des de diferents perspectives jurídiques

Rosa Maria Pérez, cap de l'Àrea de Legislació i Assumptes Jurídics

Durant els darrers anys les persones al servei dels diferents ens públics hem incorporat al nostre dia a dia una reflexió profunda sobre l’aplicació de la nova normativa sobre transparència i accés a la informació pública; potser un dels reptes a què ens hem hagut d’enfrontar és com harmonitzar-la adequadament amb les previsions de la normativa sobre protecció de dades personals.

L’objecte d’aquest breu article no és escriure específicament sobre dret de protecció de dades personals i dret d’accés a la informació pública, qüestió sobre la qual ja disposem de molta i molt bona doctrina, sinó afegir a aquell inicial binomi un altre element, el dret que tenen les persones alertadores de ser protegides de qualsevol forma de represàlia, incloses les amenaces i les temptatives de represàlia. I això perquè haurem de començar a reflexionar seriosament també sobre aquest dret, i específicament a partir de la Directiva (UE) 2019/1937, del Parlament Europeu i del Consell, de 23 d’octubre de 2019, relativa a la protecció de les persones que informen sobre infraccions del Dret de la Unió que s’haurà de transposar al Dret intern com a molt tard el 17 de desembre, tret de les excepcions previstes en la mateixa Norma. Tot i que aquesta Directiva té un àmbit d’aplicació molt determinat, possiblement no ens equivocarem si intuïm que el Dret intern ampliarà la protecció que s’hi preveu.

Hem començat aquest article parlant de protecció de dades personals perquè, amb independència dels treballs de transposició de la Directiva en curs i al marge de l’evident connexió dels drets de les persones alertadores amb alguns drets fonamentals, potser pot ser útil aprofundir sobre el que ja tenim incorporat al nostre ordenament jurídic a nivell legal directament relacionat amb la Directiva esmentada. En relació amb això, en aquest article volem plantejar quatre punts de reflexió i concretament a partir de diverses previsions de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals.

Les previsions d’aquesta Llei orgànica són al nostre judici indicatives que en la protecció de les persones alertadores estan implicades diferents perspectives jurídiques i que, al marge del resultat dels treballs actuals de transposició de la Directiva, en aquest moment ja hi ha dret vigent i aplicable que protegeix de manera directa qui alerta de la comissió en el si dels ens públics d’infraccions de la normativa general o sectorial aplicable.

Primera reflexió: L’article 24 de la Llei orgànica de protecció de dades personals protegeix qui alerta de la comissió d’infraccions en el si dels ens públics i prohibeix específicament la revelació de la seva identitat, excepció feta de supòsits específicament previstos. Efectivament, aquest precepte, amb el nom sistemes d’informació de denúncies internes, i des de la perspectiva de la protecció de dades personals, és absolutament rellevant en relació amb aquesta qüestió.

El precepte que ara s’analitza es refereix a la creació i al manteniment, tant a les entitats privades com a les administracions públiques (ex art. 24.5) de sistemes d’informació mitjançant els quals es pugui posar en coneixement d’aquests ens, fins i tot anònimament, que s’hi han produït actes o conductes que puguin esdevenir contraris a la normativa general o sectorial que fos aplicable. Constatarem que s’està fent referència als canals de denúncia interna que la Directiva obliga que es creïn en un gran nombre d’entitats dels sectors privat i públic (específicament art. 8 de la Directiva).

L’article 24.3 estableix de manera taxativa que s’hauran d’adoptar les mesures necessàries per preservar la identitat i garantir la confidencialitat de les dades corresponents a les persones afectades per la informació subministrada, especialment la de la persona que hagués posat els fets en coneixement de l’entitat, en el cas que s’hagués identificat.

Aquest article que, insistim, ja constitueix dret vigent, estableix, doncs, dues obligacions de protecció de les persones que alertin una entitat pública o privada que s’hi han comès determines actuacions contràries a dret i els correlatius drets de la persona alertadora:

  • se n’ha de preservar la identitat
  • i, de manera més general, se n’ha de garantir la confidencialitat de les dades.

Segona reflexió. La Llei orgànica de protecció de dades personals preserva especialment les dades en el cas que no es dugui a terme cap investigació com a conseqüència de la denúncia.

En coherència amb el mandat de l’article 5 del Reglament (UE) 2016/679, del Parlament Europeu i del Consell, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD), la Llei de protecció de dades personals és especialment rigorosa pel que fa al període temporal en què es poden conservar les dades de les persones alertadores; segons el que determina l’article 24.4 de la Llei:

  • les dades de qui formuli la comunicació (i també dels empleats i tercers) s’han de conservar en el sistema de denúncies únicament durant el temps imprescindible per decidir sobre la procedència d’iniciar una investigació sobre els fets denunciants.
  • un cop transcorreguts tres mesos des de la introducció de les dades s’han de suprimir del sistema de denúncies, tret que la finalitat de la conservació sigui deixar evidència del funcionament del model de prevenció de la comissió de delictes per la persona jurídica.
  • les denúncies a què no s’hagi donat curs només podran constar de manera anonimitzada.
  • un cop transcorregut aquest termini de tres mesos, si s’hagués iniciat una investigació, l’òrgan a què correspongui la investigació dels fets denunciants pot continuar tractant les dades, però no es poden conservar en el sistema d’informació de denúncies internes.

Tercera reflexió. Les previsions de la Llei orgànica de protecció de dades personals enllacen directament amb la Directiva: la revelació de la identitat de la persona alertadora està prevista com a excepció i l’ha de fer “l’autoritat competent”.

Efectivament, s’ha de constatar que la Directiva conté previsions sobre les denúncies internes i externes i els canals corresponents, i també conté determinades disposicions comunes aplicables a totes les denúncies; la primera d’aquestes disposicions comunes és relativa al deure de confidencialitat (art. 16 de la Directiva).

La regla general que estableix l’art. 16.1 de la Directiva és determinant: els estats membres tenen l’obligació de vetllar perquè la identitat de la persona denunciant no es reveli sense el seu consentiment exprés a cap persona que no sigui un membre autoritzat del personal competent per rebre o seguir denúncies; aquesta obligació també s’aplica a qualsevol altra informació de la que es pugui deduir, directament o indirecta, la identitat de la persona denunciant.

D’altra banda, tot i que es preveu la revelació en circumstàncies específicament taxades per la Directiva (art. 16.2), l’art. 16.3 determina que:

  • les revelacions fetes en virtut d’aquesta excepció han d’estar subjectes a salvaguardes adequades;
  • en particular, abans de revelar-ne la identitat, se n’haurà d’informar la persona alertadora (tret que aquesta informació pogués comprometre la investigació o el procediment judicial);
  • és més, quan s’informi la persona alertadora, se li ha de trametre una explicació escrita dels motius de la revelació de les dades confidencials en qüestió.

Finalment, quant a aquestes circumstàncies que permeten excepcionar l’obligació general de reserva, la revelació de la identitat només es preveu quan constitueixi una obligació necessària i proporcionada imposada pel Dret de la Unió i en el context de dos procediments també específicament previstos: la revelació només és possible, en particular per salvaguardar el dret de defensa de la persona afectada:

  • en el context d’una investigació que duguin a terme les autoritats nacionals,
  • o en el marc d’un procés judicial.

Les previsions de la Llei orgànica de protecció de dades són coherents, doncs, amb les de la Directiva: les denúncies a què no s’hagi donat curs (i que, per tant, no han desembocat en procediments posteriors) només poden constar en el sistema de denúncies internes de manera anonimitzada.

Quarta i darrera reflexió. Les previsions de la Llei orgànica de protecció de dades personals ja són aplicables als sistemes de denúncies internes de què disposen els ens del sector públic.

Els ens públics ja disposen de canals mitjançant els quals reben denúncies sobre il·lícits o males pràctiques produïts en el si de l’ens públic en qüestió, canals a partir dels quals es tracten dades personals. L’activitat de tractament corresponent haurà de constar en el registre d’activitats de tractament de l’ens (art. 30 de l’RGPD).

A data d’avui ja s’haurien d’aplicar a l’activitat de tractament corresponent les previsions de l’art. 24 de la Llei orgànica de protecció de dades personals i específicament les relatives a la preservació de la identitat i la més general de garantia de la confidencialitat de les dades de la persona alertadora.

L’aplicació simultània de la normativa sobre transparència i accés a la informació pública, la de protecció de dades personals i també la que regula el procediment administratiu pot esdevenir una tasca no exempta de complexitat i obligarà en molts casos a fer una rigorosa tasca d’anàlisi jurídica. Entenem que quan el que estigui en joc siguin les dades de les persones alertadores, esdevé absolutament necessari incloure en aquesta anàlisi jurídica la perspectiva de la protecció d’aquesta persona.

I aquesta perspectiva ni es pot ni s’ha d’ajornar a la transposició de la Directiva, entre d’altres perquè ja s’ha incorporat al Dret vigent; concretament, quant a les denúncies internes a què no s’hagi donat curs, d’acord amb les previsions de l’art. 24.4 de la Llei de protecció de dades personals, les dades personals únicament es podran conservar en el sistema de denúncies en els termes de l’article analitzat.

A partir d’aquesta constatació, com a element per a una posterior reflexió més detallada es podria concloure que, en aquest context, semblaria que no s’haurien de produir situacions de revelació de la identitat de determinades persones com l’analitzada per la Sentència dictada per la Sala Contenciosa Administrativa del Tribunal Superior de Justícia de Catalunya en data 21.12.2020 en el recurs contenciós administratiu núm. 186/2018, sentència a què es pot accedir en el web de la Comissió de Garantia del Dret d’Accés a la Informació Pública (GAIP) i en la qual, en contra del criteri de la GAIP, es reconeix el dret de l’actora d’accedir a un full annex a una queixa presentada davant de determinat ens públic, annex en què constaven les dades i signatures de les 81 persones que l’havien presentat.