Algunas veces nos plantean si es o no necesaria la firma de un documento de confidencialidad-medidas de seguridad por parte del personal con acceso a la información ya que, a veces, alguno se niega a firmarlo.
CONFIDENCIALIDAD
La confidencialidad en el acceso a información está regulada en varias normas.
Ley de Competencia Desleal (Ley 3/1991), que establece en su artículo 13:
             Artículo 13. Violación de secretos.

  1. Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de alguna de las conductas previstas en el apartado siguiente o en el artículo 14.

El Código Penal en su artículo 197:
Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
El deber de confidencialidad no está regulado explícitamente en el Estatuto de Trabajadores. Sin embargo, se señala el incumplimiento de este deber por parte de la jurisprudencia como “quebranto” de la buena fe contractual.
En este sentido, el artículo 5 del Estatuto de Trabajadores dispone:
Artículo5.Deberes laborales.
Los trabajadores tienen como deberes básicos:
Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe El artículo 20.2 del Estatuto dispone:

  1. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

El incumplimiento grave de la buena fe contractual puede tener como consecuencia el despido. En este sentido, el artículo 54 del Estatuto dispone:
Artículo 54. Despido disciplinario

  1. El contrato de trabajo podrá extinguirse por decisión del empresario, mediante despido basado en un incumplimiento grave y culpable del trabajador.
  2. Se considerarán incumplimientos contractuales:
  3. a) Las faltas repetidas e injustificadas de asistencia o puntualidad al trabajo.
  4. b) La indisciplina o desobediencia en el trabajo.
  5. c) Las ofensas verbales o físicas al empresario o a las personas que trabajan en la empresa o a los familiares que convivan con ellos.
  6. d) La transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo.
  7. e) La disminución continuada y voluntaria en el rendimiento de trabajo normal o pactado.
  8. f) La embriaguez habitual o toxicomanía si repercuten negativamente en el trabajo.

Destacamos como ejemplo la STC TSJ 19 de abril de 2.001 Jurisdicción: Social Recurso de Suplicación núm.483/2001. Obtención de los ficheros de clientes de la empresa sin estar autorizado.
En definitiva el responsable del fichero, la empresa demandada viene obligada a velar por la conservación de la información en el ámbito para el cual ha sido creado con la finalidad de evitar su alteración, pérdida, tratamiento o acceso no autorizado, debiendo adoptar las medidas tanto técnicas como organizativas necesarias, entre las que se encuentran las disciplinarias respecto a sus trabajadores, para evitar cualquier fuga en la información almacenada. El deber de secreto es exigible no sólo a la empresa responsable del fichero sino también a cualquier empleado que tenga o pueda tercer acceso a los datos personales informatizados. Al obtener el trabajador de forma no autorizada y por tanto indebida los referidos datos, aunque los mismos no hayan sido divulgados, ha quebrantado gravemente de forma plena la confianza en él depositada por la empresa, y ha incumplido también de forma grave normas éticas de conducta individual, todo lo cual lleva aparejada una responsabilidad que puede perfectamente acabar en el deseo empresarial de expulsión de su seno, esto es, el despido, por cuanto los hechos imputados son perfectamente subsumibles en el punto 2, letra d) del art. 54 del ET, en relación con lo dispuesto en el art. 68, letra e) del vigente Convenio Colectivo de la empresa y art. 5, letra a) del propio ET, al haberse producido una violación trascendente, grave y culpable de la buena fe contractual.

Respecto al deber de confidencialidad en el acceso a datos personales se señala en la Ley Orgánica de Protección de Datos lo siguiente:

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
En consecuencia, el deber de confidencialidad lo tienen todos los trabajadores con independencia de la firma de documento alguno.
PUESTA EN CONOCIMIENTO DE LAS MEDIDAS DE SEGURIDAD
La Ley de protección de datos en su artículo 9 dispone la obligación genérica de seguridad de la información:

  1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

La empresa ha de cumplir además de las medidas de seguridad con lo siguiente, según el artículo 89 del Reglamento 1720/2007:
Artículo 89. Funciones y obligaciones del personal.

  1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

  1. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

La interpretación de cómo poner en conocimiento de forma comprensible las medidas no está explícitamente señalada, pero parece claro que a efectos de prueba de cumplimiento de esta obligación, lo adecuado es hacerlo por escrito.
CONTROL DE USO HERRAMIENTAS DE LA EMPRESA
La empresa puede definir medidas de control como son saber por dónde navegan por Internet sus empleados, controlar los gastos telefónicos y, la cuestión no pacífica, de visualización de e-mail corporativo en caso de ausencia y/o despido.
Ante esta situación lo aconsejable es notificar por escrito la adopción de estas medidas.
A este respecto, la STC del Tribunal Supremo, Sala de lo Social (Sec. 1), de 26 septiembre 2007
Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones.
En conclusión,
Es cierto que no es necesario que se firme documento alguno en relación a la confidencialidad en el acceso a la información, si bien consideramos que al no existir norma alguna definitoria se pacte la confidencialidad por escrito y que conste el carácter indefinido de la misma.
En relación a la puesta en conocimiento de las medidas de seguridad y de las consecuencias de su incumplimiento, si bien es cierto que no tiene por qué hacerse por escrito, es lo aconsejable, puesto que la mejor manera de acreditarlo es este medio.
Si un trabajador dice que no se le ha puesto en conocimiento, ¿cómo vamos a acreditar que sí?
En relación a la puesta en conocimiento de las medidas de control, tampoco se especifica que se haga por escrito, pero es el mejor medio y queda constancia de la prueba de su realización.
Por tanto, aconsejamos que se haga todo por escrito y si el empleado no quiere firmar el documento deberemos dejar constancia que se le ha mostrado, que lo ha leído y que no ha querido firmarlo.

¿Siempre se necesita consentimiento?

Ya en el artículo 6.2 de la Ley Orgánica de Protección de Datos, se aclara que cuando los datos de carácter personal son recogidos para el correcto inicio, mantenimiento y gestión de la relación laboral, no será preciso contar con un consentimiento expreso.

Por supuesto, hablamos de los datos fundamentales que sea necesarios para llevar a cabo dichas labores, por lo que esto no afectaría a aquellos que salgan de dicho radio de acción. Además, es evidente que solo será así mientras no se vulneren derechos superiores ni libertades individuales, lo cual no suele ser el caso en lo relativo a las relaciones contractuales.

En cualquier caso, la información recabada siempre deberá ser proporcional y adecuada respecto a dicho fin.

Cuando se vayan a recoger datos personales por otros motivos, la empresa deberá informar a los trabajadores de varios aspectos relacionados con la LOPD, de forma inequívoca y clara:

  • Objetivo y finalidad de la recogida y/o tratamiento de datos
  • Existencia de un fichero
  • Quienes tendrán acceso a dicha información
  • Quién es el responsable del tratamiento de los datos y qué dirección tiene
  • Si se cederán los datos a terceros y quiénes serán
  • Posibilidad de ejercer derecho de acceso, rectificación, cancelación y oposición

Resumiendo, la obligación de información es inmutable, pero el consentimiento no será necesario para tratar los datos personales cuando sea imprescindible para el mantenimiento de la relación laboral.

Negativa de firma; consecuencias para la empresa.

Si un empleado se niega a firmar un compromiso de confidencialidad en el que se refleja tanto el deber de secreto, como las funciones, obligaciones y responsabilidades a cumplir en la empresa respecto a la ley orgánica de protección de datos, ¿Se le puede obligar? ¿Podría ser sancionada la empresa por no tenerlo firmado?

El primer problema no entra dentro del ámbito de la normativa de protección de datos. Aunque constituye una buena práctica debe resolverse en el ámbito disciplinario o laboral correspondiente. La ausencia de firma por un empleado no es susceptible de sanción alguna por la AEPD al no resultar preceptiva su cumplimentación. En todo caso la obligación de secreto profesional vincula a la empresa y trabajadores por imperativo de la LOPD.

Formas habituales de informar las cláusulas LOPD

Es habitual incluir las cláusulas básicas relativas a la LOPD en los propios contratos de trabajo, de modo que al ser firmados se proporciona la prueba fundamental de que la obligación de información ha sido cumplida. Otra forma consiste en anexar al contrato un documento referente a lo relativo a la protección de datos, para que sea firmado de forma independiente.

Cuando se produzcan modificaciones de las cláusulas o se incluyan nuevas, debería informarse de ello mediante documento escrito del que se proporcionarán dos copias, una para el empleado y otra para la empresa, que deberán ser firmadas.

El trabajador no quiere firmar una cláusula informativa: ¿Cómo dejar constancia?

En el remoto caso de que el empleado no quisiera firmar la cláusula informativa, la empresa debería asegurarse de que su obligación de información queda claramente satisfecha, para así evitar que la cláusula no tenga validez. Recordemos que aunque el empleado diera su consentimiento posterior, si asegura no haber sido informado correctamente y no se puede probar otra cosa, la cláusula sería nula en su caso.

Quizás estemos ante un caso poco probable, pero es bueno estudiar las opciones que tiene la empresa ante este panorama. El primer paso consiste en hablar con el trabajador para tratar de entender las causas de su negativa, aclarando sus dudas y explicándole que es libre de plantear su oposición a la cláusula, pero que debería firmar para que conste que ha sido informado por la empresa.

Si persiste la conducta podríamos combatir la negativa publicando la cláusula enzona visible y de fácil acceso por parte de los empleados, ya sea mediante la creación de un cartel o mediante el tablón de anuncios.

Otra formula, compatible con la anterior, consiste en enviar email o correo con la información necesaria a todos los empleados, o realizando una jornada informativa presencial en la que se explique la política de LOPD y la nueva cláusula o su modificación. En ella se podría solicitar firma para confirmar asistencia.

Por último, también podría adjuntarse la cláusula a la nómina mensual remitida al trabajador, durante varios meses consecutivos. Lo importante es que quede patente que la empresa ha hecho todo lo posible por informar al empleado de la naturaleza de la cláusula, para que no pueda argumentar que no había sido informado de ello. Esto podría evitarnos algunos quebraderos de cabeza en el futuro.