Sin perjuicio de la definición del Reglamento General de Protección de Datos en relación con la información anónima, de acuerdo con el artículo 32.4 de la Ley 2/2023, deben suprimirse los datos personales que consten en el sistema interno si no se ha iniciado una actuación de investigación, salvo que la finalidad sea dejar evidencia del funcionamiento del sistema. Este artículo se refiere específicamente a que la comunicación que consta en el canal interno debería constar de forma anonimizada, es decir, no debería guardar relación con persona identificada o identificable.
En materia de anonimización son útiles los criterios de la Agencia Española de Protección de Datos (AEPD) y las orientaciones prácticas que ha elaborado en el documento Orientaciones y garantías en los procedimientos de anonimización de datos personales. Asimismo, la Agencia dispone de una herramienta gratuita de anonimización: Herramienta de anonimización de la Comisión de Protección de Datos Personales de Singapur (PDPC) | AEPD.