La importancia del documento a firmar por los empleados

Anuncio
®
BuscaLegis.ccj.ufsc.br
Implantación de la política de protección de datos en la empresa: La
importancia del documento a firmar por los empleados
Víctor Roselló Mallol
A pesar de los esfuerzos de la Agencia Española de Protección de Datos (en adelante,
"AEPD") para inculcar a los responsables de ficheros privados una cultura pro-activa y
respetuosa con el derecho fundamental a la protección de nuestros datos personales, la
experiencia nos enseña que a fecha de hoy el argumento más contundente y que en último
caso hace que la mayoría de empresas se adapten a la legislación, se recoge en el artículo
45 LOPD: las sanciones. Leído ese artículo pues, resultan evidentes, los riesgos que siguen
corriendo los responsables de ficheros que actualmente no se han adaptado a la legislación
en vigor en esta materia; el objetivo de este artículo es, de todas formas, analizar ciertas
situaciones de riesgo que pueden producirse incluso en el caso que una empresa se haya
adaptado y observe todos y cada uno de los principios establecidos legalmente para la
recogida y tratamiento de datos personales.
En concreto tenemos la intención de analizar los actos típicos, básicamente personales,
recogidos en el artículo 197 del Código Penal y las consecuencias que para el responsable
del fichero, que dichos actos pueden tener en cuanto a la acción sancionadora de la AEPD.
Abordaremos, por lo tanto, situaciones en las que una empresa se ha adaptado a la
legislación de protección de datos, pero en la que uno de sus empleados, estando autorizado
o no, en ejercicio de sus funciones, al acceso a datos personales, realiza alguna de las
acciones típicas del artículo 197.2 CP, es decir "se apodere, utilice o modifique, en
perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen
registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier
otro tipo de archivo o registro público o privado.". Este mismo acto típico, con requisitos y
consecuencias penales que aquí no procede analizar, puede tener graves resultados para las
empresas, en forma de importantes sanciones, incluso para aquellas que procedan según la
LOPD y su normativa de desarrollo. Las mismas consecuencias puede tener para la
empresa, si alguno de sus empleados realiza alguno de los actos recogidos en el 197.3 CP:
"si se difunden, revelan o ceden a terceros los datos". El caso más usual resulta ser el del
empleado que en ejercicio de sus funciones está autorizado a acceder a los ficheros de una
empresa, se apodera, utiliza, modifica o cede esos datos, apartándose de sus deberes
laborales, en perjuicio del titular de los datos o de la propia empresa. En este caso pues, a
pesar de que la empresa actúa conforme la LOPD, una acción, normalmente premeditada,
de uno de sus empleados puede suponerle una sanción de la AEPD, cuyo régimen
sancionador se centra en el responsable del fichero, al haberse producido, por ejemplo, una
cesión no consentida de datos.
¿Qué medios de protección tienen las empresas ante esta situación? Más concretamente
¿puede evitar la empresa la sanción económica de la AEPD en el caso que alguno de sus
empleados, de forma premeditada, realice alguna de las acciones típicas previstas, donde se
ven afectados los intereses legítimos de los titulares del derecho a la protección de datos?
Vista la LOPD, lamentablemente, no. De todas formas para evitar este tipo de supuestos es
ciertamente importante la labor preventiva de la empresa ya que si bien el responsable ante
la AEPD de cumplir con la legislación es dicha empresa, al fin de cuentas quien actúa
acorde a la ley o no, son las personas con lo que es básica la labor divulgativa de la empresa
de la implantación de la normativa de protección de datos en su ámbito. Esta obligación no
es únicamente recomendable sino también una prescripción establecida por el artículo 9.2
del Reglamento 994/1999.
Consideramos importante señalar, antes de continuar, que en el caso que el empleado que
realiza los actos típicos señalados, no esté autorizado, en ejercicio de sus funciones
laborales y según lo establecido en el preceptivo Documento de Seguridad, a acceder a los
datos personales, lo que se está produciendo en este caso, además de la correspondiente
infracción penal, es un incumplimiento de la empresa de la LOPD, ya que dicha empresa
debe tomar las medidas para que ese empleado no tenga acceso a esos datos, ya que no los
precisa para el desarrollo de sus funciones. Lo que se analiza aquí es el caso de un
empleado que estando autorizado al acceso de los datos, los utilice fuera de las funciones
emanadas de la relación laboral. En este caso estamos hablando de acciones dolosas, ya que
tanto en el apartado segundo como tercero del artículo 197 del CP, se precisa la intención
de perjudicar a un tercero (entendemos responsable del fichero o encargado del tratamiento)
o al titular de los datos. En este punto podríamos argumentar que en todo caso la empresa
debería ser considerada responsable por no haber tomado las medidas técnicas para evitar
que estas acciones se produzcan: es decir, instalar sistemas de detección de salidas no
autorizadas de datos o de fiscalización de los correos o datos enviados por los empleados.
Desde nuestro punto de vista, la empresa no puede considerarse responsable utilizando ese
argumento, ya que no todas las acciones tipificadas permiten una limitación o fiscalización
técnica para impedirlas. En el supuesto de cesiones no permitidas, el empleado desleal
puede simplemente imprimir el fichero sacándolo posteriormente en soporte papel, de las
oficinas de la empresa, sin que en dicho caso intervengan sistemas de tratamiento y
transmisión de datos, al menos hacia fuera de las dependencias o de la red informática de la
empresa. Incluso en este supuesto, algunos podrían argumentar que también se produce un
incumplimiento de la empresa debido a que el empresario no ha ejercido su poder de
dirección, o más concretamente el poder que éste tiene de controlar a los trabajadores sobre
el cumplimiento de sus funciones. De nuevo debemos desacreditar este argumento en
función del criterio del Tribunal Constitucional según el cuál ese poder de dirección es
limitado y entendemos que no puede llegar al punto que el empresario conozca todos los
movimientos del empleado en su lugar de trabajo, como por ejemplo qué es lo que imprime
durante toda la jornada laboral. En este punto es importante señalar que el empresario
efectivamente dispone de medios técnicos para fiscalizar prácticamente todas las
actividades que sus trabajadores realizan en los sistemas de información (uso del correo
electrónico, de la navegación en Internet, etc), pero que dichas acciones de control deben
llevarse a cabo siendo sometidas a un riguroso examen de proporcionalidad con el objetivo
de no invadir el derecho a la intimidad que la doctrina constitucional ha reconocido al
trabajador en su lugar de trabajo.
Recopilando y a modo de conclusiones ¿Qué debe hacer el empresario respetuoso con la
LOPD, en el supuesto que un trabajador autorizado a acceder y tratar datos personales, los
utilice con la intención de perjudicar al titular de los datos o de la propia empresa?
Lamentablemente en el caso de denuncia del titular de los datos, la AEPD abrirá el
correspondiente expediente sancionador al responsable del fichero, es decir la empresa. Es
recomendable en este punto que la empresa denuncie al trabajador por ilícito penal
recogido en el artículo 197.2 o 197.3 según corresponda, aplicando la agravante del punto
4, si el empleado es responsable del fichero donde se archivan los datos personales. Incluso
si la empresa ha tomado las debidas garantías para fiscalizar las actividades de sus
trabajadores respecto al uso que estos hacen de los medios tecnológicos, seria conveniente
que la propia empresa denunciara al trabajador según el artículo 197.2 CP ya que este tipo
queda colmado con el mero apoderamiento de los datos, sin que sea requisito necesario
para cumplir con el tipo, su posterior utilización. El acto ilícito de apoderamiento de datos
personales debe entenderse cuando el mismo se produce con fines distintos a los del
desarrollo de las obligaciones laborales del trabajador. Por tanto el simple acto de imprimir
una base de datos de clientes con la intención de sacarla de las oficinas de la empresa, sería
suficiente para cumplir con el artículo 197.2, ya que ese trabajador no está autorizado a ello
y el perjuicio de tercero que el Código Penal exige, que se cumpliría, con creces, con la
hipotética sanción de la AEPD.
Antes de concluir definitivamente nuestra argumentación, consideramos importante hacer
un apunte sobre la redacción del artículo 197.2 cuando habla de "datos reservados de
carácter personal". Dicha redacción no colabora precisamente a la claridad del tipo; ¿es éste
solamente aplicable si el empleado se apodera de datos especialmente protegidos, según los
define la LOPD? Debemos entender que no es así, debido al agravante incluida en el
apartado 5, que se aplica cuando los datos afectados son, en ese caso si, especialmente
protegidos. Por lo tanto, el 197.2 es de aplicación a cualquier dato personal y el calificativo
de "reservados", podía haber sido fácilmente ahorrado.
El documento que deben firmar los empleados en aplicación de la normativa de protección
de datos, tiene mayor importancia, si cabe, en el supuesto descrito por dos razones. En
primer lugar por que mediante la firma de este documento la empresa comunica
expresamente al trabajador, su deber de confidencialidad sobre los datos que conozca en el
ejercicio de sus funciones; en segundo lugar por que la empresa puede comunicarle con
carácter previo al trabajador, y éste aceptar, su capacidad para controlar, siguiendo
principios de proporcionalidad, el uso que éste hace de los medios tecnológicos. En una
situación, por tanto, en que la empresa debe confiar en que el empleado desarrolle sus
funciones atendiendo al deber de buena fe emanado del contrato laboral, es básico que en el
proceso de implantación de la LOPD, se haga firmar a sus empleados un documento en el
sentido y con el contenido anteriormente señalados, anticipándose así a las consecuencias
de sus hipotéticos actos desleales, con el objetivo de minimizar dichas consecuencias en
forma de sanción de dichos actos, reforzando asimismo, una posterior demanda penal
contra el empleado desleal donde deberá solicitarse, además de las sanciones penales que
correspondan, la correspondiente responsabilidad civil derivada de delito, por la hipotética
sanción de la AEPD.
Disponível em:< http://www.porticolegal.com/pa_articulo.php?ref=200 > Acesso em.: 08
out. 2007.
Descargar