Una vez aprobado el Anteproyecto de ley para la trasposición de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión Europea, conocida popularmente como Directiva Whistleblowing, surgen nuevas obligaciones de relevancia capital en materia de protección de datos.
El Anteproyecto traspone la obligación impuesta a determinadas empresas a implementar un canal de denuncias. Así, el artículo 10 del Anteproyecto advierte que todas las empresas del sector privado que tengan contratados 50 o más trabajadores estarán sujetos a la obligación de mantener el perceptivo canal de denuncias.
Desde el prisma de la protección de datos, el Anteproyecto va mucho más allá. A colación de la implementación obligatoria del canal de denuncias, se recoge una disposición imperativa adicional: la obligatoriedad de nombrar un Delegado de Protección de Datos. El artículo 34 de dicho Anteproyecto, no deja lugar para interpretaciones:
Artículo 34. Delegado de protección de datos.
1. Las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que en su caso lo gestionen, cuando, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, no tuvieran la obligación previa de su designación, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo incluido dicho sistema interno de comunicaciones.
Está previsto que la nueva ley entre en vigor a finales de 2022.
Las sanciones impuestas a las empresas que no acaten la nueva obligación legal podrán suponer sanciones de hasta 100.000€.