Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Canal de denuncias

Entidad ResponsableS.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. (INCIBE), con CIF A24530735.  Ver aviso legal para ampliar información.
Finalidad

La finalidad del Canal es doble, por un lado, hacer posible la comunicación por parte de personas que, en un contexto laboral o profesional, a las que se refiere el artículo 3 de la Ley, detecten infracciones penales o administrativas graves o muy graves previstas en el artículo 2 de la Ley; y por otro, que esas personas estén protegidas frente a posibles represalias.

Por lo tanto, el Canal tiene un ámbito subjetivo (quién puede presentar informaciones) y objetivo (el objeto en sí mismo de las informaciones) delimitado en la propia ley.

Así, por ejemplo, materias como las relativas a Recursos Humanos, Acoso Laboral, Acoso Sexual, Igualdad de Género, etc., deberán hacerse valer por los cauces establecidos al efecto en INCIBE.

La plataforma está diseñada siguiendo los más altos estándares en materia de protección de datos y confidencialidad de la información proporcionada.

El denunciante tiene la posibilidad de aportar sus datos de contacto o de mantener el anonimato.

Legitimación

Base jurídica del tratamiento: Art. 6.1.a RGPD , Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

El Canal de Protección del Informante está integrado en el Sistema Interno de Información de lNCIBE regulado en la citada ley, en los Principios del Sistema interno de Información y defensa del informante  y en el Procedimiento para la gestión de informaciones de la Ley 2/2023.

Titulares de los datosUsuarios que soliciten o utilicen el servicio.
Categoría destinatarios

No se realizarán comunicaciones o cesiones de datos, salvo que lo imponga o permita la ley aplicable. En tal sentido, será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando ello resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

La persona a la que se refieran los hechos relatados no será, en ningún caso, informada de la identidad del denunciante. La identidad del denunciante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. Las revelaciones hechas en virtud de este apartado estarán sujetas, en todo caso, a salvaguardas establecidas en la normativa aplicable. En particular, se trasladará este hecho al denunciante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.

Conservación y supresión de los datos

En lo que respecta a la conservación de los datos contenidos en las denuncias, la Plataforma digital de denuncias del Canal de Denuncias respetará los principios de protección de datos establecidos por el RGPD y la LOPDGDD; y únicamente se tratarán y conservarán los datos de los interesados mientras resulten necesarios para la finalidad para los que fueron recabados.

Se deberá proceder a la supresión y/o anonimización de los datos una vez ya no sean necesarios y los que no sean proporcionado a efectos de cumplir con la referida ley. 

En este sentido, los datos personales del denunciante, denunciado y/o terceros podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD.

Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

Una vez que finalice la investigación correspondiente y, en su caso, se apliquen las medidas que INCIBE considere oportunas, procederá el bloqueo de los datos. Esto implica que, de acuerdo con el artículo 32 de la LOPDGDD “el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. El bloqueo mencionado consistiría en la implementación de un control en la Plataforma digital de denuncias, con el fin de impedir el tratamiento de los mismos, pudiendo accederse a los datos en caso de que así lo solicitaran las Administraciones Públicas y Tribunales para la atención de las posibles responsabilidades originadas en el tratamiento, y únicamente durante el plazo de prescripción de dichas responsabilidades.

Procedimiento de gestión de denuncias. INCIBE mantendrá la custodia de estos expedientes (casos) durante un plazo máximo de 10 años, dado que este es el periodo de tiempo en el que prescriben los delitos tipificados en el Código Penal Español como “delitos agravados”.

Derechos

Acceso, rectificación, supresión, limitación, portabilidad y oposición. Puedes ejercer tus derechos en el buzón etica@incibe.es. Si bien se plantean ciertas limitaciones al ejercicio de estos derechos por aplicación de la Ley 2/2023:

  • Quien presente una comunicación tiene derecho a que su identidad no sea revelada a terceras personas, existiendo una limitación al derecho de acceso dispuesto en la ley, sin perjuicio de lo previsto en el artículo 33 de la Ley 2/2023. Así, el dato de la identidad del denunciante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad.
  • En el caso de que la persona a la que se refieran los hechos relatados ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos imperiosos que legitiman el tratamiento de sus datos personales.

Sin perjuicio de lo anteriormente dispuesto, es importante considerar de forma adicional lo que sigue:

  • Limitación en el acceso a los datos personales: el acceso a los datos personales contenidos en el sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a: 
    • El Responsable del Canal y a quien lo gestione directamente.
    • El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. 
    • El responsable de los servicios jurídicos de la entidad u organismo,  si  procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación. 
    • Los encargados del tratamiento que eventualmente se designen. 
    • El delegado de protección de datos, en caso de estar nombrado y debidamente designado. 
  • Preservación de la identidad del denunciante y de las personas afectadas: quien presente una comunicación tiene derecho a que su identidad no sea revelada a terceras personas. No se obtendrán datos que permitan la identificación del denunciante, y se deberá contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del denunciante en caso de que se hubiera identificado

Para cualquier reclamación se puede acudir a la Agencia Española de Protección de Datos.

Información adicional

Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web en: