Una de las principales obligaciones que establecen el RGPD y la LOPDGDD es el de confidencialidad de los datos de los clientes. En este artículo vemos en qué consiste este principio y cómo se aplica en diferentes ámbitos.
En este artículo hablamos de:
¿Qué es la confidencialidad de datos?
La definición de confidencial de datos se refiere a aquella información personal o empresarial que no puede ser divulgada a terceros sin consentimiento y sobre la que se han de aplicar las medidas pertinentes para garantizar su seguridad.
En otras palabras, el principio de confidencialidad obliga a proteger la información intercambiada entre un emisor y un receptor frente a terceros. Para ello, se deben adoptar los mecanismos de protección adecuados para que la información esté cifrada o protegida y no caiga en manos no autorizadas.
El significado de confidencial es siempre el mismo, aunque su aplicación puede variar en función de diferentes ámbitos. Así, tenemos la aplicación de este principio en las relaciones empresa/clientes, empresario/trabajadores, confidencialidad de datos médicos, en procesos judiciales, confidencialidad informática, etc.
La confidencialidad de datos abarca toda aquella información de carácter personal, privada o sensible. Se contrapone a los datos de acceso público, que son aquellos a los que se puede acceder libremente. Así, y en el contexto de la protección de datos, para proteger los datos personales de mis clientes es fundamental garantizar su confidencialidad.
Normativa aplicable
El artículo 5.f del Reglamento General de Protección de Datos (RGPD) señala que los datos personales han de ser tratados de tal manera que se garantice una seguridad adecuada, lo que incluye tratamientos no autorizados o ilícitos, la pérdida de información, robo o destrucción accidental. La Ley señala que se han de adoptar las medidas técnicas y organizativas necesarias para garantizar la integridad y confidencialidad de la información.
Por su parte, el artículo 5 e la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) señala que están sujetos al deber de confidencialidad tanto los responsables como los encargados del tratamiento, así como cualquier persona que intervenga en cualquiera de las fases de intercambio de información.
La LOPDGDD indica que se trata de un deber complementario al deber de secreto y que las obligaciones establecidas se mantendrán incluso cuando haya finalizado la relación entre los responsables o encargados del tratamiento y la persona física o jurídica que cede los datos.
Asimismo, la normativa exige que la confidencialidad de la información se adecúe al principio de interés legítimo. A su vez, el tratamiento de datos se ha de realizar de forma proporcionada y de manera que se garantice la seguridad de la información y de la red.
Información confidencial y secreto profesional
La LOPDGDD establece que confidencialidad y secreto profesional son dos derechos complementarios. Se puede entender el secreto profesional como la aplicación del principio de confidencialidad en el ámbito laboral.
Cuando un empleado presta sus servicios para una empresa, es habitual que tenga acceso a diversa información. Esta información puede estar en diferentes formatos, ya sea en papel, soportes telemáticos, documentos electrónicos, etc. Estos soportes pueden contener información confidencial numérica, fotográfica, alfabética o acústica relativa a la empresa o a los trabajadores que formen parte de ella.
Para garantizar la privacidad de los datos, es frecuente que las empresas incluyan una cláusula de confidencialidad en los contratos con sus trabajadores. Dicha cláusula establece que los empleados deben guardar secreto profesional respecto a los datos a los cuales tengan acceso como consecuencia del ejercicio de sus funciones.
En las cláusulas de confidencialidad también se establece la obligación de cumplir con este principio tras la extinción del contrato laboral, ya que de otro modo el empleado podría hacer un uso malintencionado de los datos a los que tuvo acceso durante la relación laboral, por ejemplo comunicando esta información confidencial a la competencia.
Asimismo, cuando se haya extinguido la relación laboral el ex trabajador ha de devolver cualquier soporte o documento que contenga información confidencial sobre la empresa o sus trabajadores. Otra alternativa es proceder a la destrucción de dichos documentos o soportes, de acuerdo de confidencialidad a los procedimientos de seguridad establecidos para el borrado de información.
La obligación de confidencialidad no solo es para los empleados. Los responsables o encargados del tratamiento también han de garantizar la confidencialidad de los datos personales de los trabajadores. Esto se hace extensible a la confidencialidad de los datos de los clientes, por ejemplo, para las empresas prestadoras de servicios.
El Delegado Protección Datos y el deber de confidencialidad
El Delegado de Protección de datos tiene derechos especiales en los que se refiere a la confidencialidad de los datos de los clientes.
Por un lado, esta figura también está obligada a cumplir con el deber de confidencialidad o secreto durante el ejercicio de sus funciones.
Sin embargo, el DPO también tendrá acceso a aquellos datos personales y procesos del tratamiento, aunque sean de carácter confidencial. El responsable o encargado del tratamiento no se podrá oponer al acceso de dicha información por parte del DPO, aunque esté sujeta al principio de confidencialidad.
Es decir, el DPO puede acceder a información confidencial de los clientes, sin que el responsable o encargado del tratamiento puedan evitarlo, pero a su vez debe guardar secreto sobre la información confidencial a la que haya tenido acceso.
Casos concretos de aplicación del principio de confidencialidad
Veamos cómo se trata la confidencialidad de los datos de los clientes en diferentes situaciones. Por ejemplo, a la hora de tratar datos con finalidad estadística, los datos relativos a la salud o el acceso a la información en procedimientos judiciales.
Tratamiento de datos con fines estadísticos
La ley de confidencialidad de datos señala que el tratamiento de datos con fines estadísticos debe realizarse adoptando las medidas adecuadas para salvaguardar los derechos y libertades de los interesados, así como la confidencialidad estadística.
Dicho de otro modo, se puede tratar la información con fines estadísticos, siempre y cuando los individuos objeto del estudio no sea identificables y se asegure su anonimato. Tienes más INFO en nuestro artículo sobre la confidencialidad en cuestionarios.
Datos relativos a la salud
Del mismo modo, la Directiva 17ª de la LOPDGDD indica que los datos tratados con fines de investigación en el ámbito de la salud deberán exigir un compromiso de confidencialidad y la seguridad de que no se va a realizar ninguna actividad de reidentificación.
Hay que tener en cuenta que los datos personales relativos a la salud están considerados como datos especialmente sensibles, por lo que el principio de confidencialidad cobra especial importancia.
Confidencialidad de datos en procesos judiciales
Existen casos en los que se puede anular la obligación de confidencialidad de la información. Por ejemplo, cuando dicha información sea requerida por las autoridades en un proceso judicial para el ejercicio de sus funciones. En este sentido, el acceso a la información personal ha de ser pertinente y proporcionada.
¿Qué incluir en un contrato de confidencialidad?
Para garantizar la seguridad e integridad de la información, las empresas han de incluir en los contratos unas cláusulas sobre la confidencialidad de los datos de los clientes. En concreto, un documento confidencialidad de datos ha de incluir lo siguiente.
- Cuál será la información objeto del tratamiento y qué datos son considerados confidenciales.
- Derechos y obligaciones respecto al tratamiento de la información. Se ha establecer la obligación de guardar el deber de secreto y determinar los usos autorizados y prohibidos de la información.
- Establecer las excepciones al principio de confidencialidad de datos de clientes. Por ejemplo, en caso de que la información sea exigida por un juez en el transcurso de un proceso judicial.
- Titulares, responsables y encargados del tratamiento o sus representantes.
- Determinar los mecanismos a través de los cuáles se intercambia la información, así como las medidas técnicas y organizativas aplicadas para garantizar su confidencialidad.
- Definir las sanciones o consecuencias a las que se tendrán que enfrentar las partes en caso de incumplir las obligaciones pactadas en el acuerdo.
En definitiva, el deber de confidencialidad es uno de los principios básicos de la normativa de protección de datos y es fundamental para garantizar la privacidad, seguridad e integridad de la información.