Siempre digo lo mismo cuando me preguntan por la protección de datos y los trabajadores que desempeñan sus funciones en las empresas. Y siempre respondo lo mismo, el eslabón más débil de una cadena de seguridad son los trabajadores; Porque realmente son ellos los que están en contacto directo y continuo con los datos de los clientes. Quizás el empresario no se va hacer daño cediendo los datos a la competencia, o llevándose un pen drive a su casa con datos de su empresa para que luego su hijo imprima en el colegio el trabajo que le ha mandado la profesora. No. Quien suele hacer estas prácticas, suelen ser trabajadores que por envidia a su empresa, o por estar descontento suele hacer esas cosas, o en muchas ocasiones por falta de información, de formación, de tener conocimiento de que existe una norma que se llama la Ley de Protección de datos que su empresa le han tenido que haber informado. Y que tiene una serie de obligaciones.
Mi recomendación es que siempre que contratemos a una persona en la empresa, el Jefe, o una persona que conozca la empresa (en todas aquellas empresas que no haya nada designado a la seguridad de la misma) pasen con el nuevo empleado unos días explicándole la política de la empresa. Y sobre todo informarles y formarles de los procedimientos y protocolos que existen en la empresa. Uno de ellos debe de ser el cumplimiento por parte de los trabajadores de una serie de pautas e la protección de datos. Así podemos aprovechar para que nos firme una serie de documentos que más tarde se van a describir.
¿Qué procedimientos o protocolos debe de realizar la empresa para el cumplimiento de la protección de datos en relación a los datos de los trabajadores, o incluso para que los trabajadores “ayuden” al cumplimiento de la citada Ley?
- En primer lugar, siempre recomiendo tener redactadas unas políticas de seguridad en la empresa. Estas políticas de seguridad, para que lo entendáis no son otra cosa que por ejemplo los empleados no puedan acceder a páginas que no estén relacionadas con la actividad que desarrollan en la empresa (imaginemos que se meten en páginas para cometer un delito, por lo menos si ellos han firmado estas políticas de seguridad, podemos defender ante la investigación de un delito que la empresa quede fuera de responsabilidad) otras de las cuestiones que podemos dejar definido en las políticas de seguridad es que no puede instalar programas que no esté autorizado en la empresa (imaginemos que instala programas con algún virus, y contamina todos los sistema de la empresa que están en red, o aunque no estén en red los contamina a través de pen drive o discos duros, si el trabajador firmó las políticas de privacidad podremos pedirle responsabilidades) Otras de las cuestiones muy importantes que se pueden hacer en las políticas de privacidad, y que es algo muy controvertido, es la posibilidad de leer el correo electrónico al trabajador. Muchos empresarios se creen que se puede hacer directamente sin tener nada firmado, y es unas de las cuestiones que más sentencias se están dando en el ámbito laboral, y unas de las cuestiones que no es pacífica. Para ello me gustaría poner algunas sentencia, o noticias que han salido al respecto, para que podamos ver como es algo que nos puede causar muchos problemas si no lo tenemos bien regulado en la empresa:
- Noticia de expansión jurídico, en el día Viernes 5 de Septiembre 2014: Descubrir y poder probar prácticas irregulares que se hayan producido a través del correo corporativo de un trabajador no siempre es fácil. En el orden social, la jurisprudencia, ratificada por el Tribunal Constitucional, ha asentado unos criterios para el control empresarial del correo electrónico corporativo: la empresa debe advertir de esta posibilidad en la política de uso de recursos tecnológicos.( es decir a través de las políticas de privacidad podemos hacerlo, firmando el trabajador que el correo electrónico es de la empresa, y que se puede leer) Sin embargo, si el trabajador comete un ilícito penal, no bastaría para fuera condenado la firma de las políticas de privacidad: Sigue la noticia antes reseñada: Sin embargo, estos criterios no bastan en el orden penal, en el que la validez de la prueba exige que dicho registro se haya efectuado previa autorización judicial, tal como recientemente ha advertido la Sala de lo Penal del Tribunal Supremo, en una sentencia del pasado 16 de junio.
- Un día antes de esta noticia es decir, el 4 de Septiembre de 2014, se hace un resumen de esta sentencia del 16 de Junio de 2014: “En definitiva, la sentencia perfila los límites aplicables a la capacidad de control del empresario al señalar, en primer lugar, cuándo podría incurrirse en un delito de violación del secreto de las comunicaciones y, en segundo lugar, al consolidar desde la perspectiva penal la doctrina social que permite a los empresarios controlar la actividad de sus empleados investigando incluso en los correos electrónicos y el uso de los dispositivos de comunicación (sentencias de la Sala de lo Social del Tribunal Supremo de 26-09-07, 8-03-11, 6-10-11 y del Tribunal Constitucional 241/2012 y 170/2013)”
- Más atrás en el tiempo, el día 22 de Enero de 2014, en el mismo diario , Expansión, se recalca otra vez la importancia de la firma de las políticas de seguridad, es decir que se puede o no se puede hacer en la empresa. Cito textualmente la noticia: “El uso que los trabajadores hacen de los ordenadores que la empresa pone a su disposición ha dado lugar a un largo número de pronunciamientos. Lo habitual y lo que ha establecido la jurisprudencia es que la empresa no puede despedir por usar Internet en el trabajo para fines personales si no se ha regulado expresamente su utilización. No obstante, la casuística es amplia y en ella influyen otras cuestiones como que se produzca un daño real a la empresa o el tiempo real que el empleado ha dedicado a este uso del ordenador. Además, a la hora de comprobar el contenido del ordenador, el empresario debe hacerlo respetando las garantías de privacidad del trabajador.
2.- En segundo lugar deberían de firmar un compromiso de confidencialidad. Este compromiso de confidencialidad contiene entre otras muchas cosas lo siguiente: No revelar a persona alguna ajena a la empresa, sin el consentimiento de la misma consentimiento, la información referente a la que haya tenido acceso en el desempeño de sus funciones, Devolver todas las copias o documentos, independientemente del soporte en el que se encuentren, relativa a la información a la que haya tenido acceso como consecuencia de los servicios prestados sin necesidad de requerimiento.
Gracias a la firma de estos documentos el empresario puede tener ganado alguna contienda judicial en el aspecto laboral.
3.- También, y como no, deberá el empresario para cumplir fielmente con la protección de datos, en relación a los trabajadores, el cumplimiento del articulo 5 y 6 de la Ley Orgánica de protección de datos. Esto es, informar al trabajador de para que se recaban sus datos (lógicamente hacerles nóminas y seguros sociales, pero si la empresa cree que va a mandar información comercial sobre los productos de la empresa, es el momento de informarlo- no es la primera vez que empresas grandes tipos de seguros envían esta información a los trabajadores) y obtener el consentimiento de los mismos. Estas dos últimas cuestiones se suelen hacer conjuntas con el compromiso de confidencialidad, puesto que se aprovecha para hacer firmar estos dos documentos.