Tratamiento

Presentada la información, se procederá a su registro en el Sistema de Gestión de Información de la Autoridad Gallega de Protección de la Persona Informante (AGPI), siéndole asignado un código de identificación.

El Sistema de Gestión de Información estará contenido en una base de datos segura y de acceso restringido exclusivamente al personal de la AGPI convenientemente autorizado, en la que se registrarán todas las comunicaciones recibidas, y en la que constará la fecha de recepción, el código de identificación, las actuaciones desarrollar, las medidas adoptadas y la fecha de cierre.

La Autoridad realizará todas las actuaciones encaminadas a comprobar la verosimilitud de los hechos objeto de la comunicación.

El personal funcionario adscrito a la Autoridad que desarrollen actividades de investigación tiene la consideración de agente de la autoridad en el ejercicio de sus funciones.

Las personas naturales o jurídicas, privadas o públicas, deberán colaborar con la Autoridad y estarán obligadas a atender los requerimientos que se les dirijan para presentar documentación, datos o cualquier información relacionada con los procedimientos que se estén tramitando, incluso los datos personales que le fueran requeridos.

El personal funcionario de la Autoridad Gallega de Protección de la Persona Informante está obligado a guardar secreto sobre las informaciones que conozcan con ocasión del ejercicio de sus funciones.

En el ejercicio de sus funciones de investigación e inspección, la Agencia puede acceder a cualquier información que se encuentre en poder de las personas jurídicas, públicas o privadas, sujetas a su ámbito de actuación. En el caso de particulares, la potestad de inspección se limitará estrictamente a las actividades relacionadas con las entidades públicas.

Normativa de aplicación

Los tratamientos de datos personales se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales, en la Ley Orgánica 7/2021, de 26 de mayo , de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales y en el establecido en el título VI de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

La Autoridad no recopilará datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida.

Licitud de los tratamientos de datos personales

Se considerarán lícitos los tratamientos de datos personales necesarios para la aplicación de la Ley 2/2023 en virtud del que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo de 2024.

El tratamiento de datos personales derivado de una revelación pública se presumirá amparado en lo dispuesto en los artículos 6.1.y) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 7/2021, de 26 de mayo.

El tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) del Reglamento (UE) 2016/679.

Información sobre protección de datos personales y ejercicio de derechos

Cuando los datos personales se obtengan directamente de los interesados, se les facilitará la información a que se refieren los artículos 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 11 de la Ley Orgánica 3/2018, de 5 de diciembre.

A los informantes y a quién lleve a cabo una revelación pública se les informará, además, de forma expresa, de que su identidad será en todo caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.

La persona a la que se refieran los hechos relatados no será en ningún caso informada de la identidad del informante o de quien llevara a cabo a revelación pública.

Derechos de acceso, rectificación, supresión, limitación en el tratamiento, portabilidad y oposición

Los interesados podrán ejercer ante la Autoridad los derechos de acceso, rectificación, supresión, limitación en el tratamiento, portabilidad y oposición (artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Será lícito el tratamiento de los datos por otras personas, o mismo su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penitenciarios que, en su caso, procedan.

En ningún caso serán objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere el artículo 2, procediéndose, en su caso, a su inmediata supresión. Asimismo, se suprimirán todos aquellos datos personales que se puedan comunicar y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley.

Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.

Conservación de datos de carácter personal

Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre el origen de iniciar una investigación sobre los hechos informados.

En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se iniciaron actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se dio curso solamente podrán constar de forma anonimizada, sin que sea de aplicación a obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.

Información no veraz

Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dito falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante lo que se tramite el procedimiento judicial.

De conformidad con lo dispuesto en el artículo 20 de la Ley 2/2023, las decisiones adoptadas por la AGPI en la tramitación de los procedimientos iniciados a consecuencia de una comunicación, no serán recurribles en vía administrativa ni en vía contencioso administrativa, sin perjuicio del recurso administrativo o contencioso administrativo que pudiera interponerse frente a la eventual resolución que ponga fin al procedimiento sancionador que pudiera incoarse con ocasión de los hechos relatados.

Corresponde a la Autoridad Gallega de Protección de la Persona Informante (AGPI) el ejercicio de la potestad sancionadora en el ámbito de la Ley 2/2023, respecto de las infracciones cometidas en el ámbito del sector público autonómico y local del territorio de la Comunidad Autónoma, conforme a los principios y con sujeción a las reglas de procedimiento previstas en la Ley 40/2015, de 1 de octubre , del Régimen Jurídico del Sector Público y Ley 39/2015, de 1 de octubre , del procedimiento Administrativo Común de las Administraciones Públicas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización pudieran tener los órganos competentes.

Infracciones muy graves

Tendrán la consideración de infracciones muy graves a los efectos de la Ley 2/2023, las siguientes acciones u omisiones dolosas:

• Cualquier actuación que suponga una efectiva limitación de los derechos y garantías previstos en esta ley introducida a través de contratos o acuerdos a nivel individual o colectivo y en general cualquier intento o acción efectivo de obstaculizar la presentación de comunicaciones o de impedir, frustrar o retardar su seguimiento, incluida la aportación de información o documentación falsa por parte de los requeridos para eso.

• La adopción de cualquier represalia derivada de la comunicación frente a los informantes o las demás personas incluidas en el ámbito de protección establecido en el artículo 3 de esta ley.

• Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley, y de forma particular cualquier acción u omisión tendente a revelar la identidad del informante cuando este optara por el anonimato, aunque no se llegue a producir la efectiva revelación de la misma.

• Vulnerar el deber de mantener secreto sobre cualquier aspecto relacionado con la información.

• La comisión de una infracción grave cuando el autor fuera sancionado mediante resolución firme por dos infracciones graves o muy graves en los dos años anteriores a la comisión de la infracción, contados desde la firmeza de las sanciones.

• Comunicar o revelar públicamente información a propósito de su falsedad.

• Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley.

Infracciones graves

Tendrán la consideración de infracciones graves las siguientes acciones u omisiones:

• Cualquier actuación que suponga limitación de los derechos y garantías previstos en esta ley o cualquier intento o acción efectivo de obstaculizar la presentación de informaciones o de impedir, frustrar o retardar su seguimiento que no tenga la consideración de infracción muy grave conforme al apartado anterior.

• Vulnerar las garantías de confidencialidad y anonimato previstas en esta ley cuando no tenga la consideración de infracción muy grave.

• Vulnerar el deber de secreto en los supuestos en que no tenga la consideración de infracción muy grave.

• Incumplimiento de la obligación de adoptar las medidas para garantizar la confidencialidad y secreto de las informaciones.

• La comisión de una infracción leve cuando el autor fuera sancionado por dos infracciones leves, graves o muy graves en los dos años anteriores a la comisión de la infracción, contados desde la firmeza de las sanciones.

Infracciones leves

Tendrán la consideración de infracciones leves las siguientes acciones u omisiones:

• a) Remisión de información de forma incompleta, de manera deliberada por parte del Responsable del Sistema a la Autoridad, o fuera del plazo concedido para eso.

• b) Incumplimiento de la obligación de colaboración con la investigación de informaciones.

• c) Cualquier incumplimiento de las obligaciones previstas en esta ley que no esté tipificado como infracción muy grave o grave.

Sanciones

La comisión de infracciones previstas en esta ley llevará aparejada la imposición de las siguientes multas:

• Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.

• Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves.

Adicionalmente, en el caso de infracciones muy graves, la Autoridad Gallega de Protección de la Persona Informante (AGPI) podrá acordar:

• La amonestación pública.

• La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.

• La prohibición de contratar con el sector público durante un plazo máximo de tres años de conformidad con lo previsto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Las sanciones por infracciones muy graves de cuantía igual o superior a 600.001 euros impuestas las entidades jurídicas podrán ser publicadas en el Boletín Oficial del Estado.