这篇文章是会议上产生的辩论结果：“2 月 2023 日关于保护线人的第 20/XNUMX 号法律中的劳工和数据保护问题e=

5 月 2 日第 2023/20 号法律第 XNUMX 条规定了对举报违规行为和打击腐败的人员的保护，其中规定 行政机构或管理机构 法律要求的每个实体或机构，除了负责内部信息系统的实施外， 将具有负责处理个人数据的人员的身份 根据个人资料保护条例的规定。 那么，它假设一个归因 依法 数据控制者的状态。

不要忘记这个数字是由具有非常精确轮廓的通用数据保护条例定义的。 “治疗负责人”或“控制者”：单独或与他人共同决定治疗目的和方式的自然人或法人、公共当局、服务机构或其他机构； 如果联盟或成员国法律确定了处理的目的和方式，则控制者或其任命的具体标准可由联盟或成员国法律确定；

一方面，存在基于物质性质的角色归属 具有重大决策能力的单位或者主体的认定。 另一方面，当法律做出这些决定时，它也可以将 负责的条件. 这不是一个有争议的问题。 值得商榷的是立法者的选择是否正确。 在很多情况下，凭借学术界赋予我们的自由，我们批评了实验室解决方案。 毫无疑问，这是因为它可能会因各种原因变得效率低下或出现问题。

第一个，也是最基本的，让我们回到物质方法。 法律不仅规定了目的和手段，还提倡 一定的管理模式. 其第 8 条在规范内部信息系统负责人的任命和职能时，确定了根据独立法规将做出一般管理决策的个人或合议机构。 法规远非受到影响，而是通过归因于数据控制者的地位而得到丰富。 这是出于许多不同的原因。

以来的第一 系统的透明度和可靠性，以及它的可访问性. 鉴于他的决定的重要性，通常是 投诉人仔细核对包括隐私政策在内的法律信息： 当您读到负责治疗的人是“董事会”，您会就此提出任何类型的沟通时，您会理解什么？ 来电者没有获得AEPD的隐私认证，可以理解保护他身份的“信息系统”是受他要告发的人指挥的。 如果是这样，没有一个头脑正常的人会提出投诉。 尽管可以肯定什么“常识”几乎没有法律或理性价值，但当它受到规范时，值得将自己置于不会注意到这些教条美味的人的位置。

更荒谬的是需要设计一系列合规措施来保证信息系统的赔偿。 没有一条数据保护规则表明数据控制者身份所属的主体可以否决对信息系统的访问。 这是 这种法律结构的主要后果。 董事会成员或您团队中的任何人都不应有权访问信息系统。 这引发了一个 天堂 当根据 LOPDGDD 第 36.4 条，数据保护受托人通知“负责人的行政和管理机构”该信息系统中的潜在侵权行为时。 DPD不做决定，他只监督，负责人必须调查并纠正问题。 此操作可能涉及访问信息系统及其信息。 该法律所包含的技术决定赋予了一个机构决定数据处理的能力，在某些情况下，该机构应禁止访问信息。

La 通过设计和默认保护数据不仅是一项合法的实验室任务. 它需要了解或至少模仿管理流程，即使它在设计模型中，它也不起作用。 如果流程图配置了明确的方案，则很难将此类责任归于管理机构。 这种任务的自然空间自然对应于 合规机构。

这迫使数据保护代表考虑至少两项政策。 首先，确保 有关治疗的信息实现了透明度、可访问性所需的功能 在其可理解性方面。 传播者必须明白，即使是负责处理的“局”，在被“举报”时，也不会访问这些信息。 第二是设计内部方法并塑造信息系统的设计，以确保为了遵守 GDPR， 我们不影响 义务fide社会性 第 2/2023 号法律。

里卡德·马丁内斯马丁内斯

瓦伦西亚大学宪法法学教授，微软-瓦伦西亚大学隐私与数字化转型教席主任，瓦伦西亚大学学术顾问 FIDE