Denuncias internas

GESTIÓN DENUNCIAS INTERNAS

INFORMACIÓN A LOS INTERESADOS

CONFIDENCIALIDAD

PRIVACIDAD DESDE EL DISEÑO POR DEFECTO¿PIA?

4

Minimización de datos

8

EJERCICIO DE DERECHOS

6

¿ENCARGADO DEL TRATAMIENTO?

7

TID U OTRAS CESIONES DE DATOS

9

RAT actualizado

5

3

2

1

Medidas de seguridad

ANTE DENUNCIAS INTERNAS CON O SIN BUZÓN DE DENUNCIAS

Desde el punto de vista de la privacidad

12

Plazos de conservación

11

Limitación de finalidad

10

Se ha consultado al DPO

IMPLICACIONES JURÍDICAS EN PRIVACIDAD

leer artículos

Información general sobre el tratamiento de datos personales para esta finalidad como mínimo información sobre el tratamiento de los datos de denunciantes y denunciados pero puede incluir información sobre terceros afectados o que participen o colaboren en la posterior investigación.

Confidencialidad de los datos tanto en lo que respecta a la propia denuncia, como de la investigación de los hechos.

Todo el procedimiento tiene que estar pensado para ser lo más respetuoso posible con el menor impacto posible en la privacidad y los sistemas informáticos implicados deben tener configurados por defectos las máximas opciones de privacidad y confidencialidad. Hay que analizar también la necesidad, o no, de realizar una evaluación de impacto en protección de datos.

Hay que intentar emplear los mínimos datos personales posibles valorando incluso la posibilidad de que haya denuncias anónimas

Las medidas de seguridad de la información deben ser muy rigurosas dada la criticidad de los datos personales implicados

Compartir la información al final de la investigación o durante con terceros, por ejemplo, otras empresas del grupo, o proveedores tecnológicos en alguna ocasión puede implicar transferencias internacionales de datos personales que deberán de regularse jurídicamente o bien cesiones de datos personales a destinatarios, cosa que también puede implicar complejidades jurídicas.

Las personas cuyos datos personales estén implicados en la denuncia o la posterior investigación tienen una serie de derechos regulados en la RGPD que pueden ejercer. Pero la respuesta del responsable del tratamiento es especialmente compleja en este contexto.

El registro de actividades del tratamiento debe incorporar, los tratamientos de datos personales implicados en la gestión de las denuncias internas y la posterior investigación.

Los datos personales no deberán conservarse más tiempo del imprescindible. Aunque hay algunas indicaciones muy explícitas en el artículo 24 de la LOPDGDD esta es una cuestión de difícil interpretación y compleja ejecución.

Los datos personales implicados en la gestión de las denuncias y su posterior investigación solo deben ser usados para la finalidad o finalidades inherentes y no para otras cuestiones.

El Delegado de Protección de Datos de la entidad, en caso de que lo haya, debe de ser consultado e informado de la realziación de estas tareas. (por ejemplo, en tareas como valorar la necesidad de realizar una evaluación de impacto en protección de datos y su ejecución si procede.)

En caso de que haya proveedores externos implicados en la gestión de la denuncia interna, por ejemplo, proveedores tecnológicos, abogados... hay que valorar la necesidad de firmar un contrato de encargado del tratamiento con dichos proveedores.