Trabajadores: deber de secreto y confidencialidad

La LOPD dice en su artículo 10:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Es decir, todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento, en la utilización, etc.) están obligadas por ley al secreto profesional respecto de los mismos.

También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que no tenga acceso a dichos datos alguien no autorizado.

Para dar a conocer esto a todos los trabajadores involucrados, además de formarlos y concienciarlos, es conveniente darles a firmar un compromiso de confidencialidad y deber de secreto, a través del cual se comprometen a no revelar ningún dato incluso después de finalizada la relación laboral, de forma que podamos acreditar que les hemos informado adecuadamente.

A TENER EN CUENTA

Aunque un trabajador vulnere el deber de secreto y revele datos, la sancionada a priori será la entidad responsable del fichero, no el trabajador en cuestión.

 

Fax con datos personales enviado al trabajo

El procedimiento sancionador de la AEPD PS/00575/2009, iniciado a instancias de una denuncia presentada por un particular a la entidad GENERAL ELECTRIC MONEY BANK SA pone de manifiesto la necesidad que tienen las organizaciones de adecuar sus procedimientos de contacto con los clientes de forma que se cumpla en todo momento la normativa y se protejan los datos de dichos individuos.

En este caso, el hecho es que la denunciante suscribió un crédito con la mencionada entidad.

Al resultarse impagadas algunas de las cuotas de dicho crédito, la entidad envió un fax al trabajo del denunciante exponiendo el hecho de que existían cuotas impagadas e instando a su regularización (fax que evidentemente estuvo a disposición del resto del personal que trabajaba en las instalaciones, suponiendo esto una vulneración del deber de secreto profesional).

La entidad no había podido acreditar que existía consentimiento de la denunciante para enviar dicha información al fax de su trabajo.

El resultado: una sanción de 3.000 € por infringir el artículo 10 de la LOPD (grave), relativo al secreto profesional y al deber de guardar dichos datos por haber posibilitado y facilitado que otras personas tuviesen acceso a datos personales de aquélla sin su consentimiento.

Nota: hemos de tener en cuenta que se ha aplicado el artículo 45.4, rebajando la cuantía de la sanción.

IMPORTANTE

Corresponde a la entidad acreditar el consentimiento otorgado por cualquier medio de prueba admitido en derecho.

 

Delegados de Prevención y LOPD

El informe 0355/2010 de la AEPD da respuesta a la consulta planteada sobre si los delegados de prevención pueden acceder a los datos de salud de los empleados públicos contenidos en los partes de accidentes de trabajo y en la relación de accidentes de trabajo sin baja médica, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y a su Reglamento de desarrollo.

A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:

  • Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, podrá facilitarse a los delegados de prevención de forma disociada. Es decir, sin hacer referencia a qué trabajador corresponden dichos datos.
  • Que los datos suministrados sean adecuados, pertinentes y no excesivos para esa finalidad.
  • Que no se utilicen para ninguna otra finalidad.
  • En todo caso, los delegados de prevención deberán guardar secreto respecto de la información así obtenida (artículo 10 de la LOPD).

A TENER EN CUENTA

Siempre que se traten datos especialmente protegidos, las medidas de seguridad han de extremarse.

La Agencia Española de Protección de Datos presenta el portal ‘Tú decides’, dirigido a la protección de los menores en Internet

Puede acceder desde este enlace: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/common/octubre/131024_NP_TudecidesenInternet.pdf

¿Qué plazos de tiempo existen para el ejercicio de los derechos y qué se debe aportar?

Depende del derecho que se ejerza.

Para el derecho de acceso, la empresa dispone de 30 días para estimar la solicitud y luego 10 días para efectuar la contestación efectiva.

Se debe contestar al derecho de acceso incluso si no se posee ningún dato del interesado.

Los derechos de rectificación y cancelación deben hacerse efectivos y contestarse en un plazo máximo de 10 días desde su recepción.

Si se ha producido una cesión de datos, debe extenderse la petición efectuada a todas las entidades cesionarias de dichos datos para que también se haga efectivo en las mismas.

El derecho de oposición debe hacerse efectivo y contestarse también en un máximo de 10 días.

Para poder ejercer cualquier derecho, el titular o representante debe aportar:

  1. Fotocopia del DNI/NIE o documento equivalente del titular de los datos.

  2. Petición en que se concreta la solicitud.

  3. Dirección a efectos de notificaciones.

  4. Documentos acreditativos de la petición que formula, en su caso.

  5. Fecha y firma.

A TENER EN CUENTA

El ciudadano puede pedir tutela a la Agencia Española de Protección de Datos en caso de que no sea atendida su petición de ejercicio de derecho.