La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, la “Ley de Protección del Informante” o “LPI”) establece en su art.5.1. que “el órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales”.
La Agencia Española de Protección de Datos (en adelante, AEPD) ha emitido un informe en el que indica que el responsable del tratamiento del Sistema Interno de Información establecido será la entidad u organismo obligado por la Ley a disponer de un Sistema Interno de Información y no a su órgano de gobierno, sin perjuicio de las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
Por tanto, las obligaciones relativas al responsable del tratamiento derivadas de la normativa de protección de datos corresponderán a la entidad u organismo obligado por la LPI y no al órgano de gobierno de dicha entidad u organismo.
