lunes, 12 de julio de 2010

La protección de datos en el entorno laboral entendida como arma arrojadiza

En la línea de los últimos post que vengo compartiendo con Ustedes, quiero llamarles la atención sobre esta resolución de la Agencia.

Los hechos son los siguientes: Una trabajadora realiza una fotocopia de su nomina en la fotocopiadora de la empresa y descubre que en el reverso aparecen datos de carácter personal de otros trabajadores. Al parecer, alguien había colocado en la bandeja de papel de la máquina documentos de deshecho para aprovechar la cara en blanco con nuevas impresiones.

La trabajadora denuncia a la empresa ante la Agencia Española de Protección de Datos, que abre un procedimiento sancionador, imponiendo a la entidad una multa de 6.000 euros. La empresa disponía de una política de tratamiento de la información en soporte papel, de obligado conocimiento y cumplimiento por todos los empleados de la compañía, y había implantado en sus instalaciones medidas de seguridad apropiadas.

En mi opinión, esta sanción es inmerecida. En este caso, los datos de carácter personal nunca salieron de la empresa y sólo accedió a ellos una trabajadora sometida al deber de secreto de acuerdo al art. 1o de la LOPD. Entiendo que la obligación de un trabajador que detecta una incidencia o un fallo de seguridad en la empresa es ponerlo en conocimiento del responsable de seguridad o de quién corresponda, a la mayor brevedad posible. Sin embargo, esta trabajadora se fue derechita a la Agencia.

Estamos llegando a una situación absurda, en la que las empresas invierten cada vez más dinero en formar a sus trabajadores en protección de datos y en seguridad de la información, y éstos aprovechan los conocimientos que adquieren para sabotear desde dentro. La Agencia, aceptando este tipo de denuncias, fomenta un régimen similar al de la STASI: Cualquier incidencia de seguridad, hasta la de más escasa repercusión, que debería resolverse internamente, se transforma en un procedimiento sancionador si llega a conocimiento del trabajador equivocado. Y créanme, he vivido situaciones similares en la práctica que ya les contaré algún día.

Buenas noches.

9 comentarios:

Osete dijo...

Qué razón tienes. Para hacer daño (el trabajador) y recolectar (la Agencia) se admiten cosas que no tienen sentido. Es obvio que no ha habido salida de esos datos y el trabajador tiene obligación de secreto...pero en fin, las cosas de la Agencia.

Ad Edictum dijo...

Hombre, Don José Ignacio!! Pensaba que se había marchado Usted de vacaciones...Por casualidad no me podría Usted arrojar luz sobre lo que comentaba en mi post de ayer???? En qué norma dice que hay que informar obligatoriamente de que se va a grabar una conversación telefónica???

Anónimo dijo...

Osete, teniendo en cuenta la generosidad con que se aplica el artículo 45.5, yo no diria que la Agencia tenga tanto ánimo de recolectar. Podria recolectar mucho mas, y no lo hace.

Otra cuestión que veo es la mala defensa que hacen muchos abogados ante la Agencia. Pero eso daria no para un comentario, sino para un libro.

Ad Edictun:
Art. 5 de la LOPD, pues las grabaciones sonoras tambien son dato de caracter personal.

Pit.-

Ad Edictum dijo...

Estimado Anónimo:

Yo no me refería a la información del art. 5, sino a la información sobre que se va a grabar la conversación por motivos de seguridad. Si se fija, muchas empresas indican simplemente "le informamos de que esta conversación será grabada". Ninguna ley, que yo sepa, te obliga expresamente a indicar a un cliente que vas a grabar su conversación.

Respecto a la "generosa" aplicación del art. 45.5, supongo que la Agencia "se conforma" con ingresar sanciones millonarias de las grandes empresas de siempre (las que sabe que tienen dinero y que van a pagar) y cobrarle los 600 o 1000 eurillos a las Pymes. Estas minimultas, al final, las acaban pagando las pymes, porque les viene mejor y les sale más barato que recurrir ante la Audiencia Nacional. Piense que para recurrir, además de las costas de abogado y procurador, hay que pagar provisionalmente en cumplimiento del principio "solve et repete" o presentar aval.

alfonso dijo...

No conozco ninguna norma, salvo el art. 5 LOPD, que obligue a advertir de que la grabación de la conversación. Otra cosa que se advierta para recoger el consentimiento en caso de sus uso como prueba en un juzgado en caso de ser necesaria. Cuestión que daría lugar a otro debate.

alfonso dijo...

No conozco ninguna norma, salvo el art. 5 LOPD, que obligue a advertir de que la grabación de la conversación. Otra cosa que se advierta para recoger el consentimiento en caso de sus uso como prueba en un juzgado en caso de ser necesaria. Cuestión que daría lugar a otro debate.

Ad Edictum dijo...

Alfonso: Debe de ser por eso, aunque realmente, la conversación la presentaría como prueba una de las partes que interviene en ella, por eso, en principio no necesitaría el consentimiento del otro interviniente. En el caso de los bancos, por ejemplo, se advierte también por escrito en la firma de algunos contratos de que las conversaciones con el banco podrán ser grabadas.
En fin, a mí lo que me sorprende es que, cuando le digo algunos clientes que tienen que poner una alocución con la cláusula LOPD, me lo discuten y responde que no es obligatorio...En cambio, no cuestionan que tengan que informar de que se va a grabar la conversción, a pesar de que ninguna norma lo exige expresamente.

alfonso dijo...

En relación con esta entrada dejando a un lado el tema de las grabaciones, me gustaría introducir o dejar la pregunta de donde esta el lote del secreto profesional en el voto de una empresa. Un trabajador que por un descuido por ejemplo revela la edad o la calificación profesional de otro yo creo que no violaría el secreto profesional otra cosa es si lo publica en Google. Que opináis al respecto????

Ad Edictum dijo...

Pues que lo que haga un trabajador de una empresa, salvo que se incluya dentro de una actividad profesional suya, no sería sancionable por la Agencia. Sí es posible que constituyera algún delito, y por tanto, se le pudiera exigir responsabilidad penal, o que supusiera el incumplimiento de cláusulas contractuales, de las que se derivara responsabilidad civil.

En el caso que comenta, el afectado siempre puede recurrir a la ley del Derecho al Honor, pero a la LOPD, no creo.