Art. 24

1.   Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

2.   Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3.   Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

No specific provision

Artículo 28. Obligaciones generales del responsable y encargado del tratamiento.

1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.

Artículo 19. Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.

b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.

Artículo 20. Sistemas de información crediticia.

1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:

a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.

b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.

c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.

La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.

d) Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.

e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.

Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.

f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.

2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679.

Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

3. La presunción a la que se refiere el apartado 1 de este artículo no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.

Artículo 21. Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.

Artículo 22. Tratamientos con fines de videovigilancia.

1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.

2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.

No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.

3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.

No será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.

4. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información.

En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.

5. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.

Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.

6. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.

7. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo.

8. El tratamiento por el empleador de datos obtenidos a través de sistemas de cámaras o videocámaras se somete a lo dispuesto en el artículo 89 de esta ley orgánica.

Artículo 23. Sistemas de exclusión publicitaria.

1. Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.

A tal efecto, podrán crearse sistemas de información, generales o sectoriales, por parte de las asociaciones y organismos a los que se refiere el apartado 2 del artículo 40 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) que cuenten con una alta representatividad en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas. Para la creación y mantenimiento de estos sistemas se observarán las medidas que se establezcan mediante desarrollo reglamentario.

2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

La autoridad de control competente hará pública en su sede electrónica una relación de los sistemas de esta naturaleza que le fueran comunicados, incorporando la información mencionada en el párrafo anterior. A tal efecto, la autoridad de control competente a la que se haya comunicado la creación del sistema lo pondrá en conocimiento de las restantes autoridades de control para su publicación por todas ellas.

3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.

4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente.

No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.

Artículo 24. Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas.

Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas.

Dichos tratamientos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

---

Article 28. General obligations of the data controller and data processor.

1. Controllers and processors shall, taking into account the elements listed in Articles 24 and 25 of Regulation (EU) 2016/679, determine the appropriate technical and organizational measures to be implemented in order to ensure and demonstrate that the processing is in compliance with the said Regulation, with this Organic Law, its implementing rules and the applicable sectoral legislation. In particular, they shall assess whether the performance of the data protection impact assessment and the prior consultation referred to in Section 3 of Chapter IV of the aforementioned regulation.

2. For the adoption of the measures referred to in the previous paragraph, controllers and processors shall take into account, in particular, the increased risks that could occur in the following cases:

a) When the processing could generate situations of discrimination, identity theft or fraud, financial loss, damage to reputation, loss of confidentiality of data subject to professional secrecy, unauthorized reversal of pseudonymization or any other significant economic, moral or social damage to those affected.

b) When the processing could deprive data subjects of their rights and freedoms or could prevent them from exercising control over their personal data.

c) Where there is processing that is not merely incidental or ancillary to the special categories of data referred to in Articles 9 and 10 of Regulation (EU) 2016/679 and 9 and 10 of this Organic Law or data related to the commission of administrative offenses.

d) When the processing involves an evaluation of personal aspects of the data subjects for the purpose of creating or using personal profiles of the data subjects, in particular by analyzing or predicting aspects relating to their work performance, financial situation, health, personal preferences or interests, reliability or behavior, financial solvency, location or movements.

e) When the processing of data of affected groups in a situation of special vulnerability and, in particular, of minors and people with disabilities is carried out.

f) When there is a massive processing involving a large number of data subjects or involving the collection of a large amount of personal data.

g) When the personal data were to be transferred, on a regular basis, to third States or international organizations for which an adequate level of protection has not been declared.

h) Any others that in the opinion of the person in charge or the person in charge could be relevant and in particular those provided for in codes of conduct and standards defined by certification schemes.

Article 19. Processing of contact, individual entrepreneur and liberal professional data.

1. In the absence of evidence to the contrary, the processing of contact data and, where appropriate, data relating to the function or position held of natural persons providing services in a legal person shall be presumed to be covered by the provisions of Article 6(1)(f) of Regulation (EU) 2016/679 provided that the following requirements are met:

a) That the processing refers only to the data necessary for their professional location.

b) That the purpose of the processing is solely to maintain relations of any kind with the legal entity in which the data subject provides services.

2. The same presumption shall operate for the processing of data relating to sole proprietors and liberal professionals, when it refers to them only in that capacity and is not processed for the purpose of establishing a relationship with them as natural persons.

3. The data controllers or processors referred to in Article 77.1 of this Organic Law may also process the data referred to in the two preceding paragraphs when this arises from a legal obligation or is necessary for the exercise of their powers.

Article 20. Credit information systems.

1. In the absence of evidence to the contrary, the processing of personal data relating to the non-fulfillment of monetary, financial or credit obligations by common credit information systems shall be presumed lawful when the following requirements are met:

a) That the data have been provided by the creditor or by anyone acting on his behalf or in his interest.

b) The data must refer to certain debts, due and payable, the existence or amount of which has not been the subject of an administrative or judicial claim by the debtor or through a binding alternative dispute resolution procedure between the parties.

c) That the creditor has informed the affected party in the contract or at the time of requesting payment of the possibility of inclusion in such systems, indicating those in which it participates.

The entity that maintains the credit information system with data relating to non- compliance with monetary, financial or credit obligations shall notify the affected party of the inclusion of such data and inform him/her of the possibility of exercising the rights set forth in Articles 15 to 22 of Regulation (EU) 2016/679 within thirty days following the notification of the debt to the system, with the data remaining blocked during that period.

d) That the data will only be kept in the system as long as the non-compliance persists, with a maximum limit of five years from the maturity date of the monetary, financial or credit obligation.

e) That data referring to a specific debtor may only be consulted when the person consulting the system maintains a contractual relationship with the affected party that involves the payment of a monetary amount or has requested the conclusion of a contract involving financing, deferred payment or periodic invoicing, as is the case, among other cases, in those provided for in the legislation on consumer credit contracts and real estate credit contracts.

When the right to limit the processing of data has been exercised before the system by contesting its accuracy as provided for in Article 18.1.a) of Regulation (EU) 2016/679, the system will inform those who could consult it pursuant to the preceding paragraph about the mere existence of such circumstance, without providing the specific data in respect of which the right has been exercised, pending the resolution of the data subject's request.

f) In the event that the request to enter into the contract is denied, or the contract is not entered into, as a result of the consultation made, the person who consulted the system shall inform the affected party of the result of such consultation.

2. The entities that maintain the system and the creditors, with respect to the processing of the data referring to their debtors, will have the status of co-responsible for the processing of the data, being applicable the provisions of Article 26 of Regulation (EU) 2016/679.

The creditor shall be responsible for guaranteeing that the requirements for the inclusion of the debt in the system are met, and shall be liable for their non-existence or inaccuracy.

3. The presumption referred to in paragraph 1 of this article does not cover cases in which the credit information was associated by the entity maintaining the system with information additional to that referred to in that paragraph, related to the debtor and obtained from other sources, in order to carry out a profiling of the debtor, in particular through the application of credit rating techniques.

Article 21. Treatment related to the performance of certain commercial transactions.

1. Unless there is evidence to the contrary, the processing of data, including their prior communication, which may arise from the development of any operation for the structural modification of companies or the contribution or transfer of a business or branch of business activity, shall be presumed to be lawful, provided that the processing is necessary for the successful completion of the operation and guarantees, where appropriate, the continuity of the provision of services.

2. In the event that the operation is not concluded, the transferee entity shall immediately proceed to the deletion of the data, without the obligation of blocking provided for in this Organic Law being applicable.

Article 22. Processing for video surveillance purposes.

1. Natural or legal persons, public or private, may carry out the processing of images through camera or video camera systems for the purpose of preserving the security of persons and property, as well as their facilities.

2. Images of the public road may only be captured insofar as it is essential for the purpose mentioned in the previous paragraph.

However, it will be possible to capture a larger area of the public road when necessary to ensure the security of strategic assets or installations or transport-related infrastructures, but in no case may it involve the capture of images of the interior of a private home.

3. The data will be deleted within a maximum period of one month from its capture, except when they have to be kept to prove the commission of acts that threaten the integrity of persons, property or facilities. In such a case, the images must be made available to the competent authority within a maximum period of seventy-two hours from the time of knowledge of the existence of the recording.

The blocking obligation provided for in Article 32 of this Organic Law shall not apply to such processing.

4. The duty to provide information provided for in Article 12 of Regulation (EU) 2016/679 shall be deemed to be fulfilled by the affixing of an information device in a sufficiently visible place identifying, at least, the existence of the processing, the identity of the data controller and the possibility of exercising the rights provided for in Articles 15 to 22 of Regulation (EU) 2016/679. A connection code or internet address to this information may also be included in the information device.

In any case, the data controller must keep the information referred to in the aforementioned regulation at the disposal of the data subjects.

5. Under Article 2(2)(c) of Regulation (EU) 2016/679, the processing by a natural person of images that only capture the interior of his or her own home is considered excluded from its scope.

This exclusion does not cover the processing carried out by a private security entity that has been contracted for the surveillance of a home and has access to the images.

6. The processing of personal data from images and sounds obtained through the use of cameras and video cameras by the Security Forces and Bodies and by the competent bodies for surveillance and control in prisons and for the control, regulation, surveillance and discipline of traffic, will be governed by the legislation transposing Directive (EU) 2016/680, when the processing is for the purposes of prevention, investigation, detection or prosecution of criminal offenses or enforcement of criminal penalties, including the protection and prevention against threats to public safety. Outside these cases, such processing shall be governed by its specific legislation and supplemented by Regulation (EU) 2016/679 and this Organic Law.

7. The provisions of this article are without prejudice to the provisions of Law 5/2014, of April 4, 2014, on Private Security and its implementing provisions.

8. The processing by the employer of data obtained through camera or video camera systems is subject to the provisions of Article 89 of this Organic Law.

Article 23. Advertising exclusion systems.

1. The processing of personal data with the purpose of preventing the sending of commercial communications to those who have expressed their refusal or opposition to receive them shall be lawful.

For this purpose, general or sectorial information systems may be created, which will only include the data necessary to identify the data subjects. These systems may also include preference services, whereby those affected may limit the receipt of commercial communications to those from certain companies.

2. The entities responsible for the advertising exclusion systems shall inform the competent supervisory authority of their creation, their general or sectorial nature, as well as the way in which those affected may join them and, where appropriate, assert their preferences.

The competent control authority shall make public in its electronic headquarters a list of the systems of this nature that were communicated to it, incorporating the information mentioned in the previous paragraph. To this effect, the competent control authority to which the creation of the system has been communicated shall inform the other control authorities for publication by all of them.

3. When a data subject expresses to a data controller his or her wish not to have his or her data processed for the sending of commercial communications, the data controller shall inform him or her of the existing advertising exclusion systems, and may refer to the information published by the competent supervisory authority.

4. Those who intend to carry out direct marketing communications must first consult the advertising exclusion systems that may affect their actions, excluding from the processing the data of those affected who have expressed their opposition or refusal to it. For these purposes, in order to consider the above obligation fulfilled, it will be sufficient to consult the exclusion systems included in the list published by the competent supervisory authority.

It shall not be necessary to carry out the consultation referred to in the preceding paragraph when the affected party has given, in accordance with the provisions of this Organic Law, its consent to receive the communication to whoever intends to carry it out.

Article 24. Internal complaint information systems.

1. It shall be lawful to create and maintain information systems through which a private law entity may be informed, even anonymously, of the commission within the entity or in the actions of third parties contracting with it, of acts or conduct that may be contrary to the general or sectorial regulations applicable to it. Employees and third parties must be informed of the existence of these information systems.

2. Access to the data contained in these systems shall be limited exclusively to those who, whether or not they are part of the entity, carry out the internal control and compliance functions, or to the persons in charge of the processing that may be appointed for such purpose. However, their access by other persons, or even their communication to third parties, shall be lawful when necessary for the adoption of disciplinary measures or for the processing of legal proceedings, as the case may be.

Without prejudice to the notification to the competent authority of facts constituting a criminal or administrative offense, only when disciplinary measures may be taken against an employee, such access shall be granted to personnel with human resources management and control functions.

3. The necessary measures must be taken to preserve the identity and guarantee the confidentiality of the data corresponding to the persons affected by the information provided, especially that of the person who brought the facts to the entity's attention, in the event that he/she has been identified.

4. The data of the person making the report and of the employees and third parties shall be kept in the reporting system only for the time necessary to decide whether to initiate an investigation into the facts reported.

In any case, three months after the data have been entered, they must be deleted from the reporting system, unless the purpose of the storage is to leave evidence of the functioning of the model for the prevention of the commission of crimes by the legal person. The reports that have not been followed up may only be recorded in anonymized form, without the obligation of blocking provided for in article 32 of this Organic Law being applicable.

Once the period mentioned in the preceding paragraph has elapsed, the data may continue to be processed by the body responsible, in accordance with section 2 of this article, for the investigation of the reported facts, and shall not be kept in the internal complaints information system itself.

5. The principles of the preceding paragraphs shall be applicable to the internal complaint systems that may be created in the Public Administrations.