Compromiso de confidencialidad empleados RGPD

Compromiso de confidencialidad empleados RGPD
febrero 3, 2021| Protección de datos

✔ Una de las preguntas que más llega a nuestro Despacho, es si los trabajadores de las organizaciones deben firmar algún compromiso de confidencialidad en materia de protección de datos o, si por el contrario, se presupone que el empleado cuando entrar a trabajar en la Organización conoce este deber y, por tanto, debe respetarlo.

En el post de hoy, explicamos (i) qué es concretamente el compromiso de confidencialidad empleados RGPD, (ii) dónde se encuentra regulado y (iii) qué deben hacer las organizaciones para asegurarse de que sus trabajadores conocer en deber de confidencialidad.

¿Qué es el compromiso de confidencialidad empleados RGPD?

​El compromiso de confidencialidad de los empleados a los efectos del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) y también  la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), es la obligación que ostentan los trabajadores de guardar el secreto de aquellos datos de carácter personal (datos de clientes, potenciales clientes, proveedores, otros empleados, etc.) que conozcan con ocasión del desempeño de sus funciones laborales.

Este deber de secreto implica que los trabajadores no podrán difundir, relevar o comunicar de cualquier forma los datos de carácter personal a terceros externos (incluyendo amigos y familiares) o, incluso, a personas que trabajen en la misma organización, pero que no deban conocerlos por las tareas que desarrollan (ej. el Responsable de RR. HH. no puede comunicar las nóminas de un trabajador al resto de trabajadores).

¿Dónde se regula el compromiso de confidencialidad empleados RGPD?

El compromiso de confidencialidad se regula de forma indirecta en el artículo 5.1 °f) RGPD, como uno de los principios relativos al tratamiento (principio de “integridad y confidencialidad”) estableciendo que la Organización deberá adoptar medidas para evitar que los datos sean objeto de un tratamiento no autorizado o ilícito, pérdida, destrucción o daño accidental:

 ✔ Art.5 RGPD (Principios relativos al tratamiento): 

1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Por su parte, la normativa española lo regula más directamente en el artículo 5 LOPDGDD disponiendo que:

  • Todos los trabajadores que participen en el tratamiento (es decir, todos aquellos que puedan visualizar datos con independencia de su grado de intervención), tiene el deber de confidencialidad.
  • El deber de confidencialidad es complementario (no sustituto) del deber de secreto profesional (médicos, abogados, sacerdotes, etc.).
  • El deber de confidencialidad no se extingue una vez finalizada la relación laboral con la organización; lo que implica que perdura toda la vida del trabajador.

Conclusión: ¿qué deben hacer las organizaciones para garantizar el compromiso de confidencialidad empleados RGPD?

Dado que la mayoría de los trabajadores no conocen todos los extremos del deber de confidencialidad, la Organización deberá informarles de en qué consiste este deber a través de un compromiso de confidencialidad empleados RGPD.

Aunque es la práctica habitual, no es necesario que el empleado firme el compromiso de confidencialidad sino tan solo que la Organización pruebe que este “ha leído y entendido” el compromiso.

Existen varias maneras de probar que el trabajador ha sido informado de su deber de confidencialidad. Las más comunes y legítimas son las siguientes:

 ✔ Recoger el compromiso en un documento y solicitar la firma manual, electrónica o a través de un formulario con “acepto” en una herramienta o aplicación interna.

 ✔ Remitirlo por correo electrónico en forma de comunicado con confirmación de lectura u otro mecanismo equivalente.

Estimado lector, ¡gracias por su tiempo!