Implantación de la política de protección de datos en la empresa: La importancia del documento a firmar por los empleados

Víctor Roselló Mallol, abogado
E-mail : victor@rosello-mallol.com
Web : www.rosello-mallol.com

A pesar de los esfuerzos de la Agencia Española de Protección de Datos (en adelante, "AEPD") para inculcar a los responsables de ficheros privados una cultura pro-activa y respetuosa con el derecho fundamental a la protección de nuestros datos personales, la experiencia nos enseña que a fecha de hoy el argumento más contundente y que en último caso hace que la mayoría de empresas se adapten a la legislación, se recoge en el artículo 45 LOPD: las sanciones. Leído ese artículo pues, resultan evidentes, los riesgos que siguen corriendo los responsables de ficheros que actualmente no se han adaptado a la legislación en vigor en esta materia; el objetivo de este artículo es, de todas formas, analizar ciertas situaciones de riesgo que pueden producirse incluso en el caso que una empresa se haya adaptado y observe todos y cada uno de los principios establecidos legalmente para la recogida y tratamiento de datos personales.

En concreto tenemos la intención de analizar los actos típicos, básicamente personales, recogidos en el artículo 197 del Código Penal y las consecuencias que para el responsable del fichero, que dichos actos pueden tener en cuanto a la acción sancionadora de la AEPD. Abordaremos, por lo tanto, situaciones en las que una empresa se ha adaptado a la legislación de protección de datos, pero en la que uno de sus empleados, estando autorizado o no, en ejercicio de sus funciones, al acceso a datos personales, realiza alguna de las acciones típicas del artículo 197.2 CP, es decir "se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.". Este mismo acto típico, con requisitos y consecuencias penales que aquí no procede analizar, puede tener graves resultados para las empresas, en forma de importantes sanciones, incluso para aquellas que procedan según la LOPD y su normativa de desarrollo. Las mismas consecuencias puede tener para la empresa, si alguno de sus empleados realiza alguno de los actos recogidos en el 197.3 CP: "si se difunden, revelan o ceden a terceros los datos". El caso más usual resulta ser el del empleado que en ejercicio de sus funciones está autorizado a acceder a los ficheros de una empresa, se apodera, utiliza, modifica o cede esos datos, apartándose de sus deberes laborales, en perjuicio del titular de los datos o de la propia empresa. En este caso pues, a pesar de que la empresa actúa conforme la LOPD, una acción, normalmente premeditada, de uno de sus empleados puede suponerle una sanción de la AEPD, cuyo régimen sancionador se centra en el responsable del fichero, al haberse producido, por ejemplo, una cesión no consentida de datos.

¿Qué medios de protección tienen las empresas ante esta situación? Más concretamente ¿puede evitar la empresa la sanción económica de la AEPD en el caso que alguno de sus empleados, de forma premeditada, realice alguna de las acciones típicas previstas, donde se ven afectados los intereses legítimos de los titulares del derecho a la protección de datos? Vista la LOPD, lamentablemente, no. De todas formas para evitar este tipo de supuestos es ciertamente importante la labor preventiva de la empresa ya que si bien el responsable ante la AEPD de cumplir con la legislación es dicha empresa, al fin de cuentas quien actúa acorde a la ley o no, son las personas con lo que es básica la labor divulgativa de la empresa de la implantación de la normativa de protección de datos en su ámbito. Esta obligación no es únicamente recomendable sino también una prescripción establecida por el artículo 9.2 del Reglamento 994/1999.

Consideramos importante señalar, antes de continuar, que en el caso que el empleado que realiza los actos típicos señalados, no esté autorizado, en ejercicio de sus funciones laborales y según lo establecido en el preceptivo Documento de Seguridad, a acceder a los datos personales, lo que se está produciendo en este caso, además de la correspondiente infracción penal, es un incumplimiento de la empresa de la LOPD, ya que dicha empresa debe tomar las medidas para que ese empleado no tenga acceso a esos datos, ya que no los precisa para el desarrollo de sus funciones. Lo que se analiza aquí es el caso de un empleado que estando autorizado al acceso de los datos, los utilice fuera de las funciones emanadas de la relación laboral. En este caso estamos hablando de acciones dolosas, ya que tanto en el apartado segundo como tercero del artículo 197 del CP, se precisa la intención de perjudicar a un tercero (entendemos responsable del fichero o encargado del tratamiento) o al titular de los datos. En este punto podríamos argumentar que en todo caso la empresa debería ser considerada responsable por no haber tomado las medidas técnicas para evitar que estas acciones se produzcan: es decir, instalar sistemas de detección de salidas no autorizadas de datos o de fiscalización de los correos o datos enviados por los empleados. Desde nuestro punto de vista, la empresa no puede considerarse responsable utilizando ese argumento, ya que no todas las acciones tipificadas permiten una limitación o fiscalización técnica para impedirlas. En el supuesto de cesiones no permitidas, el empleado desleal puede simplemente imprimir el fichero sacándolo posteriormente en soporte papel, de las oficinas de la empresa, sin que en dicho caso intervengan sistemas de tratamiento y transmisión de datos, al menos hacia fuera de las dependencias o de la red informática de la empresa. Incluso en este supuesto, algunos podrían argumentar que también se produce un incumplimiento de la empresa debido a que el empresario no ha ejercido su poder de dirección, o más concretamente el poder que éste tiene de controlar a los trabajadores sobre el cumplimiento de sus funciones. De nuevo debemos desacreditar este argumento en función del criterio del Tribunal Constitucional según el cuál ese poder de dirección es limitado y entendemos que no puede llegar al punto que el empresario conozca todos los movimientos del empleado en su lugar de trabajo, como por ejemplo qué es lo que imprime durante toda la jornada laboral. En este punto es importante señalar que el empresario efectivamente dispone de medios técnicos para fiscalizar prácticamente todas las actividades que sus trabajadores realizan en los sistemas de información (uso del correo electrónico, de la navegación en Internet, etc), pero que dichas acciones de control deben llevarse a cabo siendo sometidas a un riguroso examen de proporcionalidad con el objetivo de no invadir el derecho a la intimidad que la doctrina constitucional ha reconocido al trabajador en su lugar de trabajo.

Recopilando y a modo de conclusiones ¿Qué debe hacer el empresario respetuoso con la LOPD, en el supuesto que un trabajador autorizado a acceder y tratar datos personales, los utilice con la intención de perjudicar al titular de los datos o de la propia empresa? Lamentablemente en el caso de denuncia del titular de los datos, la AEPD abrirá el correspondiente expediente sancionador al responsable del fichero, es decir la empresa. Es recomendable en este punto que la empresa denuncie al trabajador por ilícito penal recogido en el artículo 197.2 o 197.3 según corresponda, aplicando la agravante del punto 4, si el empleado es responsable del fichero donde se archivan los datos personales. Incluso si la empresa ha tomado las debidas garantías para fiscalizar las actividades de sus trabajadores respecto al uso que estos hacen de los medios tecnológicos, seria conveniente que la propia empresa denunciara al trabajador según el artículo 197.2 CP ya que este tipo queda colmado con el mero apoderamiento de los datos, sin que sea requisito necesario para cumplir con el tipo, su posterior utilización. El acto ilícito de apoderamiento de datos personales debe entenderse cuando el mismo se produce con fines distintos a los del desarrollo de las obligaciones laborales del trabajador. Por tanto el simple acto de imprimir una base de datos de clientes con la intención de sacarla de las oficinas de la empresa, sería suficiente para cumplir con el artículo 197.2, ya que ese trabajador no está autorizado a ello y el perjuicio de tercero que el Código Penal exige, que se cumpliría, con creces, con la hipotética sanción de la AEPD.

Antes de concluir definitivamente nuestra argumentación, consideramos importante hacer un apunte sobre la redacción del artículo 197.2 cuando habla de "datos reservados de carácter personal". Dicha redacción no colabora precisamente a la claridad del tipo; ¿es éste solamente aplicable si el empleado se apodera de datos especialmente protegidos, según los define la LOPD? Debemos entender que no es así, debido al agravante incluida en el apartado 5, que se aplica cuando los datos afectados son, en ese caso si, especialmente protegidos. Por lo tanto, el 197.2 es de aplicación a cualquier dato personal y el calificativo de "reservados", podía haber sido fácilmente ahorrado.

El documento que deben firmar los empleados en aplicación de la normativa de protección de datos, tiene mayor importancia, si cabe, en el supuesto descrito por dos razones. En primer lugar por que mediante la firma de este documento la empresa comunica expresamente al trabajador, su deber de confidencialidad sobre los datos que conozca en el ejercicio de sus funciones; en segundo lugar por que la empresa puede comunicarle con carácter previo al trabajador, y éste aceptar, su capacidad para controlar, siguiendo principios de proporcionalidad, el uso que éste hace de los medios tecnológicos. En una situación, por tanto, en que la empresa debe confiar en que el empleado desarrolle sus funciones atendiendo al deber de buena fe emanado del contrato laboral, es básico que en el proceso de implantación de la LOPD, se haga firmar a sus empleados un documento en el sentido y con el contenido anteriormente señalados, anticipándose así a las consecuencias de sus hipotéticos actos desleales, con el objetivo de minimizar dichas consecuencias en forma de sanción de dichos actos, reforzando asimismo, una posterior demanda penal contra el empleado desleal donde deberá solicitarse, además de las sanciones penales que correspondan, la correspondiente responsabilidad civil derivada de delito, por la hipotética sanción de la AEPD.