Si tu empresa tiene más de 50 empleados y no tiene Delegado de Protección de Datos (DPO), pronto estará obligada a tenerlo.

Así lo establece el proyecto de ley para la transposición de la directiva llamada Whistleblower (Directiva (UE) 2019/1937 de 23 de octubre de 2019). Esta directiva recoge todas las medidas que aseguran la protección efectiva de las personas que informan de infracciones dentro de sus empresas y está actualmente en proceso de ser incorporada a la ley española.

El proyecto de ley obliga a las empresas de más de 50 empleados a contar con un canal de comunicación interno en el que los empleados podrán denunciar cualquier irregularidad de la que tengan conocimiento. Este canal interno está pensado como una primera vía de resolución de posibles irregularidades. El anteproyecto de ley estipula que todas las empresas que estén obligadas a tener un canal interno de comunicaciones también estarán obligadas a contar con un DPO.

La ley tiene como objetivo garantizar el derecho a la protección de datos y “en particular la identidad de los informantes y de las personas investigadas por la información suministrada. La preservación de la identidad del informante es una de las premisas esenciales”. Para ello “se dispone que el dato de la identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, el Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso por terceros a la misma. Por otra parte, se exige que las entidades obligadas a disponer de un sistema interno de comunicaciones, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, así como las que en su caso se constituyan, cuenten con un delegado de protección de datos”.

Con independencia del número de empleados, también tendrán que contar con un canal interno de comunicaciónes y con un DPO todos los partidos políticos, sindicatos, organizaciones empresariales, así como las fundaciones siempre que reciban fondos públicos para su financiación.

En caso de que este canal interno no resultase efectivo, la ley recoge la creación de un canal externo de comunicación que será gestionado por una nueva autoridad denominada Autoridad Independiente de Protección del Informante.