martes, 21 de octubre de 2008

¡Oh, los compromisos de confidencialidad!

A aquellos obsesionados con hacer firmar compromisos de confidencialidad a todo el peronal con acceso a datos , les interesará leer el Informe 346/2008 de la AEPD, y en concreto el párrafo que dice:

"La segunda y tercera cuestión está íntimamente conectada con la anteriormente señalado, dado que el deber de confidencialidad y secreto se ha de cumplirse por todos aquellos que tratan datos de carácter personal sin necesidad de formalizar un contrato específico sobre dicho extremo pues así lo establece el artículo 10 de la Ley Orgánica15/1999".

Este tipo de acuerdos resultan inútiles si no se transmiten a los empleados instrucciones concretas sobre lo que se debe y lo que no se debe hacer en relación al tratamiento de los datos personales.

En mi vida profesional, me he topado con compromisos de confidencialidad que repetían textualmente el artículo 197 del Código Penal (¿qué pasa? ¿el Código Penal no es derecho imperativo y se requiere el acuerdo de las partes para exigir su cumplimiento?), pero que no incluían ninguna referencia a cuestiones tan importantes la prohibición de sacar sorportes o documentos de lo lugares de trabajo. No tiene sentido recoger en un contrato lo que la ley ya dispone que se cumpla de manera obligatoria.

Por mi parte, no me canso nunca de repetir a mis clientes que lo fundamental no es que el trabajador firme un contrato de confidencialidad de cuatro páginas, sino un "recibí" de la normativa interna de seguridad que se le entrega en el momento de iniciar su relación laboral con la empresa, reconociendo haberla leido y comprometiéndose a su cumplimiento bajo de pena de sanción disciplinaria.

En lugar de atemorizar al empleado con la posibilidad ir a la cárcel, hay que explicarle claramente cuáles son sus obligaciones, las consecuencias del incumplimiento, y por supuesto, dejar prueba de ello. "Recibís", correo electrónicos remitidos con recordatorios de obligaciones concretas, planes de concienciación sobre protección de datos, registros de asistencia a cursos sobre seguridad....todas estas evidencias podrán ser aportadas en un juicio, o ante la Agencia Española de Protección de Datos, para acreditar que los empleados de una compañía conocían cómo debían actuar.

No hay comentarios: