Preguntas frecuentes
Por motivos de seguridad y confidencialidad, solo es posible recuperarla si la comunicación se realizó de forma identificada, facilitando una dirección de correo electrónico. En ese caso se remitiría un e-mail en el que se habilitará la restauración de contraseña.
En caso de que se hubiera realizado de forma anónima, deberás enviarnos una nueva comunicación en la que nos indiques lo ocurrido para que sepamos que se trata del mismo asunto y obtendrás así una nueva clave de acceso que nosotros internamente referenciaremos a tu anterior comunicación.
Si la persona Responsable del Sistema Interno de Información de infracciones normativas y de protección de las personas informantes apreciara, bien de forma directa, indirecta o por comunicación de la persona informante o de aquellas contempladas en el apartado 3 del artículo 5 del presente Decreto, la realización de cualquier tipo de restricción o represalia en contra de las personas y sujetos contemplados en el artículo 5 de este Decreto con ocasión de su comunicación de infracciones ante el canal interno de información, dará traslado escrito de tal circunstancia al Consejero o Consejera titular del Departamento al que esté adscrito el organismo o ente involucrado, quien trasladará tal hecho a la autoridad del ámbito público administrativo concernido, a los efectos de la inmediata paralización de tal actividad. La persona Responsable del Sistema, al mismo tiempo, pondrá en conocimiento de dicha circunstancia al Consejero o Consejera titular del Departamento al que se adscribe este Sistema interno de información.
En el periodo improrrogable de quince días la persona titular del Departamento al que se adscribe este Sistema Interno de Información trasladará a la persona Responsable del Sistema Interno de Información de infracciones normativas y de protección de las personas informantes la relación de las medidas de protección desplegadas y de las actuaciones internas adoptadas para evitar su reiteración.
El BIS permite presentar y tramitar las comunicaciones de información, que pueden ser:
Anónimas: son las que aseguran que no se conozca el nombre y los datos de la persona informante (Ley 2/2023,art.33)
No anónimas: la persona informante aporta sus datos personales como nombre, apellidos, número documento de identidad y correo electrónico. La persona informante tiene derecho a:
- Que su identidad no se dé a conocer a terceras personas (Ley 2/2023, art. 33.1). Solo se dará a conocer en los accesos y comunicaciones que permite esa Ley.
- Que sus datos personales se traten cumpliendo la normativa de protección de datos y de seguridad de la información:
- Reglamento General de Protección de Datos (RGPD) de la Unión Europea 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
- Decreto 89/2023, de 13 de junio de 2023, de creación y regulación del Sistema Interno de Información de infracciones normativas y de protección de las personas informantes en el marco del sector público de la Comunidad Autónoma de Euskadi.
- Ejercitar sus derechos en protección de datos personales (RGPD, art.15 a 22).
- Recibir información sobre protección de datos (RGPD, art.13 y 14). La información es la siguiente:
- Nombre y datos de contacto de la persona responsable del tratamiento.
- Datos de contacto de la persona delegada de protección de datos.
- Fines a los que se destina el tratamiento de datos personales y su base jurídica.
- Categorías de personas destinatarias de los datos personales, en su caso.
- Plazo durante el que se conservarán los datos personales o los criterios para establecerlo cuando no sea posible.
- Sobre el derecho de la persona interesada a solicitar a la responsable del tratamiento el acceso a los datos personales y otros derechos que le reconoce la normativa de protección de datos.
- Sobre el derecho a presentar una reclamación ante una autoridad de control.
- Categorías (tipos) de datos personales de que se trate.
- Fuente de la que proceden los datos personales.
Los datos del BIS a este respecto están publicados aquí https://www.euskadi.eus/clausulas-informativas/web01-sedepd/es/transparencia/164500-capa1-es.shtml
La persona Responsable del BIS, es el Responsable del tratamiento de los datos personales, y ante ella se pueden ejercer los derechos de protección de datos.
Ejercicio de derechos en materia de protección de datos
En el marco del ejercicio de derechos en materia de protección de datos, si tras haber realizado una solicitud de ejercicio de derechos no te has quedado conforme con la respuesta recibida, puedes presentar una reclamación bien, ante la Agencia Vasca de Protección de Datos, o una reclamación previa ante la Delegada de protección de datos de la Comunidad Autónoma de Euskadi.
Reclamación previa ante la Delegada de protección de datos
Cada reclamación previa que llegue a la Delegada de protección de datos será analizada y se comunicará a la persona informante de la decisión adoptada por el responsable de tratamiento (Responsable del BIS) en relación a la misma en el plazo máximo de dos meses a contar desde la fecha de recepción.
La Oficina de la persona Responsable del BIS tratará los datos personales que sean necesarios para gestionar su Sistema Interno de Información. Para ello, seguirá estas normas:
- Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Título VI de la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LPI).
- Decreto 89/2023, de 13 de junio de 2023, de creación y regulación del Sistema Interno de Información de infracciones normativas y de protección de las personas informantes en el marco del sector público de la Comunidad Autónoma de Euskadi.
Cuando los datos personales son de categoría especial, su tratamiento puede:
- Regla general: Considerarse no necesario: los datos personales se eliminarán de manera inmediata sin registrarlos y tratarlos.
- Examinada la comunicación: Considerarse necesario: para el tratamiento se cumplirá la letra g del artículo 9.2. del RGPD: el tratamiento es necesario por un interés público esencial, sobre la base del derecho de la Unión Europea o de los estados miembros. Ese interés debe:
- Ser proporcional al objetivo
- Respetar en lo esencial el derecho a la protección de datos
- Establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de la persona interesada
Acceso a los datos:
A los datos que están en el BIS solo podrán acceder las personas autorizadas por la persona Responsable del BIS.
El aplicativo del BIS cuenta con un libro-registro de las informaciones recibidas y sus investigaciones correspondientes (cumpliendo con los requisitos previstos en la Ley). Su acceso no es público. Solo podrá accederse a un registro o parte de un registro, dentro de un procedimiento judicial, bajo tutela de la Autoridad judicial competente y mediante un auto de dicha autoridad.
Cuando una comunicación tiene datos personales, la persona que presenta la comunicación tiene derecho a que su identidad no se revele a terceras personas. Sólo se podrá revelar cuando lo autorice la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Comunicación de datos:
Se podrán comunicar los datos personales al Consejero o Consejera titular del Departamento al que el organismo o ente afectado se encuentre adscrito, en el caso de que resulte imprescindible la identicación de personas involucradas en las actuaciones para proporcionar la información objeto de investigación o, al termino de ésta, para incoar actuaciones precisas para corregir las infracciones advertidas y depurar las pertinentes responsabilidades. Así mismo, en el caso de que deban intervenir en la paralización de cualquier restricción o represalia en contra de la persona informante o su entorno familiar o laboral.
El BIS permitirá presentar comunicaciones de forma anónima.
Cuando la persona informante revela su identidad, la identidad solo se podrá comunicar a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente para una investigación penal, disciplinaria o sancionadora. En este caso, se salvaguardarán todos los datos que da la persona informante según las normas.
Antes de revelar su identidad, se le comunicará a la persona informante, solo si así no se compromete la investigación o el procedimiento judicial. Para ello, la autoridad competente le enviará un escrito explicando por qué se revelan los datos confidenciales.
Durante el tiempo necesario y proporcionado, en cumplimiento de la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Los datos se conservarán durante el proceso previo de valoración, y si se declara inadmisible la comunicación y su tramitación, y se procede al archivo, se procederá a su inmediata supresión
Los datos se suprimirán si pasados 3 meses desde la comunicación, no se inicia la investigación. Solo se podrán conservar si es necesario para el funcionamiento del sistema. En los casos muy complejos, se podrán conservar los datos otros 3 meses como máximo.
Los datos se eliminarán:
- Si no son necesarios para la investigación. También los datos de categoría especial que no se tratarán para la investigación.
- Si comunican conductas que no aparecen en la Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
- Si en la conclusión de la investigación se determina que no se aprecia concurrencia al caso de infracción administrativa, se archivará el expediente y se procederá a la inmediata supresión de los datos personales existentes en la información trasladada.
- Si la no veracidad supone un delito penal, entonces se guardarán durante el tiempo que dure el procedimiento judicial.
- Los datos del libro-registro de informaciones recibidas e investigaciones internas nunca se conservarán por un periodo superior a 10 años.
El Gobierno Vasco aplica las medidas de seguridad del Anexo II Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.