¿Qué relación hay entre deber de confidencialidad y protección de datos? ¿Qué dice la normativa de protección de datos sobre el deber de confidencialidad? ¿Tiene el trabajador de una empresa respetar y cumplir el deber de confidencialidad? En este artículo respondemos a estas y otras cuestiones sobre el deber de confidencialidad y la protección de datos.
En este artículo hablamos de:
- ¿Qué es el deber de confidencialidad?
- El principio de confidencialidad en la protección de datos
- Sanción por incumplir el deber de confidencialidad
- ¿Tiene el trabajador que cumplir el deber de confidencialidad en protección de datos?
- Si un empleado no cumple el deber de confidencialidad ¿quién recibe la sanción?
- ¿Cómo garantizar el deber de confidencialidad de los empleados?
¿Qué es el deber de confidencialidad?
El deber de confidencialidad es la obligación legal y ética de mantener la confidencialidad de datos e información que se intercambian o a los que se tiene acceso en el contexto de una relación profesional o comercial.
Por lo tanto, el deber de confidencialidad se aplica a cualquier tipo de información obtenida en el desarrollo de una relación laboral (empresa – empleado), de una relación comercial (empresa – cliente o empresa – proveedor) o de una relación profesional (empresa – autónomo o autónomo – cliente), por citar algunos ejemplos.
Así mismo, puede articularse de diferentes formas, dependiendo de la relación establecida entre las partes. Por ejemplo, entre socios comerciales o colaboradores de un proyecto o negocio, es habitual que el deber de confidencialidad tome forma en un acuerdo de confidencialidad, en el que las partes o una de las partes de se compromete a no revelar la información marcada como confidencial durante la relación contractual y el tiempo posterior que se acuerde. Deber que suele recordarse, por ejemplo, a través del aviso de confidencialidad en las comunicaciones vía email que afecten a esa información secreta.
Cumplir con el deber de confidencialidad supone no revelar o hacer públicos los datos o información considerados confidenciales por las partes (por ejemplo, datos de clientes, información financiera, información comercial, propiedad intelectual o industrial, etc.). No cumplir con este deber, cómo veremos más adelante, puede tener tanto consecuencias legales como reputacionales y provocar la pérdida de confianza de clientes, empleados y/o socios.
El principio de confidencialidad en la protección de datos
El principio de confidencialidad está recogido en la normativa de protección datos, puesto que mantener la confidencialidad de datos depende, en gran medida, de que aquellos que manejan o tienen acceso a datos personales, cumplan con el deber de confidencialidad y no divulguen o hagan públicos los datos personales a los que tienen acceso en el desempeño de sus funciones y obligaciones laborales. Cómo veremos más adelante, respetar el principio de confidencialidad es una obligación que recae sobre todo aquel que tenga acceso a datos personales.
El deber de confidencialidad en el RGPD
El deber de confidencialidad en el RGPD está regulado de manera indirecta en el artículo 5.1.f), que establece el principio de integridad y confidencialidad como uno de los principios de la protección de datos:
Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Así mismo, el apartado 2 del artículo 5 establece que el responsable del tratamiento es quien debe garantizar que se cumpla con el principio de confidencialidad, siendo capaz de demostrarlo (principio de responsabilidad proactiva).
El deber de confidencialidad en la LOPDGDD
La LOPDGDD sí que nos habla directamente del deber de confidencialidad en su artículo 5, en el que establece que:
- Responsables y encargados del tratamiento de datos, así como todo aquel que intervenga en cualquier fase de este (es decir, los trabajadores), estarán sujetos al deber de confidencialidad en los términos establecidos en el artículo 5.1.f) del RGPD.
- La obligación de cumplir el deber de confidencialidad es complementaria del deber de secreto profesional de acuerdo a su normativa aplicable.
- El deber de confidencialidad deberá cumplirse incluso cuando haya finalizado la relación laboral entre el trabajador y el responsable o encargado del tratamiento (empleador o empresa).
Sanción por incumplir el deber de confidencialidad
La LOPDGDD señala como infracción muy grave la vulneración del deber de confidencialidad (art. 72.1.i), estableciendo como sanción por incumplir el deber de confidencialidad multas de 300.001 a 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que resulte superior).
¿Tiene el trabajador que cumplir el deber de confidencialidad en protección de datos?
El deber de confidencialidad del trabajador, cómo hemos visto en el apartado anterior, está establecido explícitamente en la LOPDGDD y, de manera indirecta, en el RGPD, puesto que el responsable del tratamiento debe establecer medidas que garanticen la confidencialidad de los datos y entre esas medidas está asegurar que sus empleados cumplen con las políticas de protección de datos de la empresa, lo que pasa por comunicar y formar a los empleados sobre la aplicación de dichas medidas.
Aunque el deber de confidencialidad puede darse por supuesto al formalizar la relación contractual (basado en la buena fe contractual), dado que la normativa de protección de datos establece el principio de responsabilidad proactiva para los responsables y encargados del tratamiento, documentar este acuerdo de confidencialidad entre trabajador y empresa se hace necesario.
Para esto no existe una fórmula estándar u oficial, puede ser un anexo informativo sobre el deber de mantener la confidencialidad de los datos e información a los que tendrá acceso el trabajador en el desempeño de sus obligaciones laborales, o una cláusula de confidencialidad en el contrato que debe aceptar y firmar. Lo importante es que el trabajador debe ser informado de su deber de confidencialidad y de las consecuencias de no cumplirlo.
En ese sentido, son legales los contratos de confidencialidad entre empresa y trabajador, siempre y cuando se hagan de acuerdo a los límites que establece la ley para estos.
Así mismo, como se señala en la ley, el deber de confidencialidad en protección de datos debe mantenerse incluso finalizada la relación laboral entre trabajador y empleador. La ley no indica por cuánto tiempo, por lo que debemos entender que, en el caso de datos personales, esta confidencialidad debe mantenerse siempre.
Si un empleado no cumple el deber de confidencialidad ¿quién recibe la sanción?
Ya hemos señalado que vulnerar el deber de confidencialidad se considera una infracción muy grave en la LOPDGDD, pero si es un empleado quien incumple con el deber de confidencialidad, por ejemplo, sustrayendo datos personales de la base de datos de clientes de la empresa y usándola en su propio beneficio o en beneficio de terceros, ¿quién recibe la sanción?, ¿la empresa o el empleado?
La sanción que podría imponer la AEPD por este hecho, recaería sobre la empresa o el empleador, por ser este el responsable del tratamiento y quien debe demostrar que ha aplicado las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos, lo que incluye también asegurarse de que sus empleados cumplen con las políticas de protección de datos de la organización, aplican las medidas contempladas en ellas y cumplen con su deber de confidencialidad.
Ahora bien, esto no quiere decir que el empleado que hubiera vulnerado el deber de confidencialidad no vaya a sufrir ninguna consecuencia. Como ya se ha asentado en la jurisprudencia laboral, vulnerar el deber de confidencialidad puede ser motivo de sanción al trabajador por parte de la empresa y hasta de despido disciplinario (es importante que la empresa cuente con un régimen sancionador interno o, que como mínimo, las consecuencias de vulnerar la confidencialidad estén recogidas en el anexo o cláusula sobre la confidencialidad en el contrato de trabajo).
Así mismo, la empresa podría tomar acciones legales contra el trabajador, demandándole por los daños y perjuicios que le haya podido ocasionar la revelación de información y datos confidenciales.
¿Cómo garantizar el deber de confidencialidad de los empleados?
Ya lo hemos adelantado más arriba, si bien cumplir el deber de confidencialidad es algo que puede darse por supuesto, es recomendable registrar este compromiso entre empleados y empresa. Para ello, se pueden recurrir a las siguientes fórmulas para garantizar que los trabajadores cumplen con el deber de confidencialidad en materia de protección de datos:
- Establecer la cláusula de confidencialidad en el contrato de trabajo y requerir su aceptación y firma.
- Elaborar un documento informativo sobre el deber de confidencialidad y las consecuencias de su incumplimiento, y comunicarlo a todos los empleados, por ejemplo, mediante una circular.
Así mismo, el deber de confidencialidad debe estar establecido dentro de las políticas de protección de datos de la empresa, junto a las medidas para dar cumplimiento a este deber. Es fundamental que los trabajadores que tendrán acceso a datos personales para el desempeño de sus funciones, sepan que deben respetar y cumplir el deber de confidencialidad y que, de no hacerlo, se podrán tomar medidas disciplinarias, porque, como hemos dicho a lo largo de este artículo, el deber de confidencialidad es una obligación legal y una responsabilidad para todo aquel empleado que trata con datos personales.