Nuestra opinión: La firma de un documento confidencialidad –medidas de seguridad por el empleado con acceso a información

Algunas veces nos plantean si es o no necesaria la firma de un documento de confidencialidad-medidas de seguridad por parte del personal con acceso a la información ya que, a veces, alguno se niega a firmarlo.

El documento que facilitamos en UNEON contiene, sin especificarse, varios temas de interés:

            EL DEBER DE CONFIDENCIALIDAD

PUESTA EN CONOCIMIENTO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE LA INFORMACIÓN

            MEDIDAS DE CONTROL DE USO HERRAMIENTAS DE LA EMPRESA.

CONFIDENCIALIDAD

La confidencialidad en el acceso a información está regulada en varias normas.

Ley de Competencia Desleal (Ley 3/1991), que establece en su artículo 13:

             Artículo 13. Violación de secretos.

1. Se considera desleal la divulgación o explotación, sin autorización de su titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítimamente, pero con deber de reserva, o ilegítimamente, a consecuencia de alguna de las conductas previstas en el apartado siguiente o en el artículo 14.

El Código Penal en su artículo 197:

Artículo 197. 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

El deber de confidencialidad no está regulado explícitamente en el Estatuto de Trabajadores.

Sin embargo, se señala el incumplimiento de este deber por parte de la jurisprudencia como “quebranto” de la buena fe contractual.

En este sentido, el artículo 5 del Estatuto de Trabajadores dispone:

Artículo5.Deberes laborales.

Los trabajadores tienen como deberes básicos:

Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe El artículo 20.2 del Estatuto dispone:

2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

El incumplimiento grave de la buena fe contractual puede tener como consecuencia el despido. En este sentido, el artículo 54 del Estatuto dispone:

Artículo 54. Despido disciplinario

1. El contrato de trabajo podrá extinguirse por decisión del empresario, mediante despido basado en un incumplimiento grave y culpable del trabajador.

2. Se considerarán incumplimientos contractuales:

a) Las faltas repetidas e injustificadas de asistencia o puntualidad al trabajo.

b) La indisciplina o desobediencia en el trabajo.

c) Las ofensas verbales o físicas al empresario o a las personas que trabajan en la empresa o a los familiares que convivan con ellos.

d) La transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo.

e) La disminución continuada y voluntaria en el rendimiento de trabajo normal o pactado.

f) La embriaguez habitual o toxicomanía si repercuten negativamente en el trabajo.

Destacamos como ejemplo la STC TSJ 19 de abril de 2.001 Jurisdicción: Social Recurso de Suplicación núm.483/2001. Obtención de los ficheros de clientes de la empresa sin estar autorizado.

 

En definitiva el responsable del fichero, la empresa demandada viene obligada a velar por la conservación de la información en el ámbito para el cual ha sido creado con la finalidad de evitar su alteración, pérdida, tratamiento o acceso no autorizado, debiendo adoptar las medidas tanto técnicas como organizativas necesarias, entre las que se encuentran las disciplinarias respecto a sus trabajadores, para evitar cualquier fuga en la información almacenada. El deber de secreto es exigible no sólo a la empresa responsable del fichero sino también a cualquier empleado que tenga o pueda tercer acceso a los datos personales informatizados. Al obtener el trabajador de forma no autorizada y por tanto indebida los referidos datos, aunque los mismos no hayan sido divulgados, ha quebrantado gravemente de forma plena la confianza en él depositada por la empresa, y ha incumplido también de forma grave normas éticas de conducta individual, todo lo cual lleva aparejada una responsabilidad que puede perfectamente acabar en el deseo empresarial de expulsión de su seno, esto es, el despido, por cuanto los hechos imputados son perfectamente subsumibles en el punto 2, letra d) del art. 54 del ET, en relación con lo dispuesto en el art. 68, letra e) del vigente Convenio Colectivo de la empresa y art. 5, letra a) del propio ET, al haberse producido una violación trascendente, grave y culpable de la buena fe contractual.

Respecto al deber de confidencialidad en el acceso a datos personales se señala en la Ley Orgánica de Protección de Datos lo siguiente:

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

En consecuencia, el deber de confidencialidad lo tienen todos los trabajadores con independencia de la firma de documento alguno.

PUESTA EN CONOCIMIENTO DE LAS MEDIDAS DE SEGURIDAD

La Ley de protección de datos en su artículo 9 dispone la obligación genérica de seguridad de la información:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

La empresa ha de cumplir además de las medidas de seguridad con lo siguiente, según el artículo 89 del Reglamento 1720/2007:

Artículo 89. Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

La interpretación de cómo poner en conocimiento de forma comprensible las medidas no está explícitamente señalada, pero parece claro que a efectos de prueba de cumplimiento de esta obligación, lo adecuado es hacerlo por escrito.

CONTROL DE USO HERRAMIENTAS DE LA EMPRESA

La empresa puede definir medidas de control como son saber por dónde navegan por Internet sus empleados, controlar los gastos telefónicos y, la cuestión no pacífica, de visualización de e-mail corporativo en caso de ausencia y/o despido.

Ante esta situación lo aconsejable es notificar por escrito la adopción de estas medidas.

A este respecto, la STC del Tribunal Supremo, Sala de lo Social (Sec. 1), de 26 septiembre 2007

Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones.

En conclusión,

Es cierto que no es necesario que se firme documento alguno en relación a la confidencialidad en el acceso a la información, si bien consideramos que al no existir norma alguna definitoria se pacte la confidencialidad por escrito y que conste el carácter indefinido de la misma.

En relación a la puesta en conocimiento de las medidas de seguridad y de las consecuencias de su incumplimiento, si bien es cierto que no tiene por qué hacerse por escrito, es lo aconsejable, puesto que la mejor manera de acreditarlo es este medio.

Si un trabajador dice que no se le ha puesto en conocimiento, ¿cómo vamos a acreditar que sí?

En relación a la puesta en conocimiento de las medidas de control, tampoco se especifica que se haga por escrito, pero es el mejor medio y queda constancia de la prueba de su realización.

Por tanto, aconsejamos que se haga todo por escrito y si el empleado no quiere firmar el documento deberemos dejar constancia que se le ha mostrado, que lo ha leído y que no ha querido firmarlo.