La AEPD ha publicado el Informe 0077/2023en respuesta a una consulta en la que se planteaba lo siguiente: la licitud de la utilización de información recibida al amparo de la Ley 2/2023, pero que queda fuera de su ámbito de aplicación, para otros fines (como la eficiencia, transparencia y buen gobierno). Esto es, información comunicada en el contexto del Sistema Interno de Información (Sistema) pero que no guarda relación con las conductas previstas en la Ley 2/2023.

En el Informe, la AEPD confirma y aclara lo siguiente:

• La finalidad a la que sirve la Ley 2/2023 es clara: otorgar la protección adecuada frente a las represalias que puedan sufrir las personas físicas que estén dentro del ámbito subjetivo de aplicación (artículo 3 – e.g., empleados, empleados de proveedores, accionistas, etc.) y que informen de conductas a las que se refiere el ámbito objetivo de aplicación (artículo 2 – e.g., delitos penales o infracciones administrativas).

Asimismo, las bases legales del tratamiento están a su vez claramente definidas en el art. 30 de la misma Ley (cumplir con una obligación legal / interés público).

• A la información que se recibe en el Sistema, bien cuando el informante no se encuentra dentro del ámbito del artículo 3 de la Ley 2/2023,  bien cuando los hechos denunciados no se refieren a conductas previstas en el ámbito material de la misma (artículo 2), le sigue aplicando la citada Ley (incluyendo las garantías sobre protección de datos), pero en otra medida o con menor intensidad.

Es decir, la información que se inadmite en el Sistema también se sitúa bajo el paraguas de la Ley. Por ejemplo y entre otros, el informante que presente una denuncia que luego es inadmitida seguiría gozando de la garantía de confidencialidad.

• Tampoco hay que olvidar el art. 32.2. de la Ley 2/2023 que establece la obligación de suprimir los datos que se puedan haber comunicado al Sistema y que se refieran a conductas no incluidas en el ámbito de aplicación de la Ley. Esta obligación, unida a la establecida en el apartado 4 del mismo artículo sobre los límites temporales, son una manifestación más del principio de limitación de la finalidad.
• No es posible reutilizar la información “inadmisible” (e.g., aquella fuera del alcance de la norma) para garantizar “la eficiencia, transparencia y buen gobierno” de la entidad consultante. Al respecto, la AEPD analiza si esta finalidad puede basarse en: (i) una obligación legal (insertada en la ley 40/2015 de Régimen Jurídico del Sector Público); o (ii) el interés legítimo.

La AEPD descarta la posibilidad de basar el tratamiento en una obligación legal al no concurrir los requisitos necesarios a estos efectos*. Con respecto a la posibilidad de basar el tratamiento “nuevo” en el interés legítimo, la AEPD no llega a realizar el pertinente test de ponderación. Sin embargo, sí realiza un breve análisis sobre el mismo y para ello se basa en el Dictamen 6/2014 sobre el concepto de interés legítimo del Grupo de Trabajo del Articulo 29 y hace especial hincapié en el criterio relativo a la “expectativa razonable” del interesado / informante. Finalmente, concluye negativamente acerca de dicha base legal en el presente supuesto.

• También analiza la compatibilidad de la “nueva” finalidad con base en el Dictamen 3/2013 del Grupo de Trabajo del Articulo 29 sobre limitación de finalidad. Tras abordar los 4 parámetros descritos en dicho Dictamen (donde la previsibilidad de la “nueva” finalidad es fundamental), la AEPD se decanta por la falta de compatibilidad de la nueva finalidad.

En definitiva, la AEPD concluye que “el nuevo tratamiento de datos propuesto no encontraría base jurídica suficiente y tendría una finalidad incompatible con la inicial”.

• Por último, la AEPD también aclara que la lista de personas con acceso a los datos personales del Sistema (art. 32.1 de la Ley 2/2023) es un numerus clausus.

* Es decir, los límites al derecho a la protección de datos deben  “establecerse por una norma con rango de ley, previa ponderación por el legislador de los intereses en pugna atendiendo al principio de proporcionalidad, definiendo todos y cada uno de los presupuestos materiales de la medida limitadora mediante reglas precisas, que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, y estableciendo las garantías adecuadas”.