Rol patrón-trabajador en la seguridad de datos personales

Es viable fijar políticas para el manejo de estos elementos, así como de atención cuando algún subordinado afecte su salvaguarda

(Foto: Getty Images)
 (Foto: Getty Images)  (Foto: Redacción)

Existe personal en las compañías dedicado al tratamiento de datos personales (DP) por imposición de la legislación regulatoria de la protección de dichos datos; derivado de esto los lineamientos aludidos responsabilizan a sus empleadores a cubrir multas exorbitantes cuando aquel fracture la seguridad en su manejo.

Si bien existe el régimen aludido, también lo es que en las relaciones de trabajo las normas de carácter interno de las empresas son de las cuales emanan las obligaciones y los derechos de las partes que constituyen aquellas, además de las disposiciones constitucional, convencional, legal y reglamentaria, las normas oficiales mexicanas, los principios generales de derecho, la jurisprudencia, la costumbre, la equidad y los contratos individuales y colectivos de trabajo.

En este contexto, el esquema de manipulación y custodia de los DP por los colaboradores asignados a dicha tarea puede fundarse en los manuales elaborados ex profeso por los patrones.

De ahí que tomando como referencia la experiencia y el estudio realizado por la doctora Isabel Davara De Marcos, socia en la firma Davara y Asociados sobre este tema para el Foro IDC de noviembre 2017, enseguida se precisa qué debe entenderse por DP; quiénes son los responsables de custodiarlos; la descripción de lo que implica la vulneración a la seguridad de esa información, así como las consecuencias jurídicas para las partes obrero-patronales.

Concepto de datos personales

Son los elementos característicos de las personas físicas que les permiten ser identificadas o identificables, interactuar con otras, así como con los entes públicos o privados; parte de esta información es importante y se le considera sensible porque incide en la esfera íntima del dueño de los mismos o implican un riesgo grave para él.

Por tanto, su regulación tiene por objeto impedir que sean utilizados para una finalidad diferente para la cual se proporcionaron y con ello causar algún perjuicio a las prerrogativas y libertades de los titulares de los datos personales.

Los DP pueden ser externados a través de las siguientes formas: numérica; alfabética; fotográfica; gráfica, o acústica o de cualquier otro tipo.

Sujetos obligados a salvaguardarlos

Son los particulares, ya sean personas físicas o morales del ámbito privado, que manejan datos personales.

No deben considerarse como responsables en términos de la Ley Federal de Protección a Datos Personales en Posesión de los Particulares (LFPDPP) los siguientes:

  • sociedades de información crediticia cuando la información esté relacionada con las actividades previstas en la Ley para Regular las Sociedades de Información Crediticia, y
  • personas dedicadas a la recolección y el almacenamiento de los datos personales para uso exclusivamente personal, y sin fines de divulgación o utilización comercial (art. 2, LFPDPPP)

Tampoco se debe observar la normatividad que ampara a los DP, de conformidad con el numeral 5o., del Reglamento de la LFPDPP (RLFPDPP) cuando se trate de información sobre:

  • sociedades
  • comerciantes o profesionistas, o
  • personas físicas que presten sus servicios para alguna moral o física con actividades empresariales o de prestación de servicios y se trate únicamente de elementos tales como: el domicilio físico; la dirección electrónica; el teléfono, y el número de fax, con la condición de que en cualquier caso esa información sea tratada para fines de representación del empleador o contratista

Es indispensable que las compañías revisen si los datos que manipulan corresponden a los rubros señalados, porque esto les ayudará a delimitar la responsabilidad propia y la de los subordinados encargados, así como a definir los parámetros necesarios para capacitar a estos últimos sobre los DP objeto de protección legal.

Responsabilidad de los encargados de la información

En términos de la LFPDPPP y su reglamento, el patrón debe nombrar a un responsable o departamento que atienda las solicitudes sobre el ejercicio de los derechos al acceso, rectificación, cancelación y oposición de estes datos (ARCO); rol que en la práctica recae en las áreas de recursos humanos de los centros de trabajo (art. 30, LFPDPP).

Ante ello, los subordinados pertenecientes a esas áreas se consideran garantes de la administración de los DP, porque a partir de que se les delegan las tareas de recabar y decidir sobre la forma en que esa información se manejará, tienen que conducirse con discreción respecto de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa (arts. 134, fracc. XIII, LFT y 21, LFPDPPP). 

.
 .  (Foto: IDConline)

Vulneración de la custodia

En este ámbito se debe considerar que pasará si sobreviene la pérdida o la destrucción no autorizada; el robo, el extravío o la copia no aprobada; el uso, el acceso o el tratamiento no autorizado, o el daño, la alteración o modificación no permitida de los DP, esto conforme al precepto 66 del RLFPDPP.

Las empresas deben estar conscientes que una ruptura al sistema de protección de DP que tengan implementado genera daños a los titulares de los mismos, tales como: el robo de su identidad; pérdidas financieras; una amenaza a su seguridad física o bienestar emocional; la disminución de oportunidades de empleo o negocios; la humillación o la afectación a su reputación, o el acoso laboral o social.

Se debe hacer consciencia que un hecho de esta naturaleza involucra a los encargados y a las compañías propiamente (las responsables) y los enfrenta a consecuencias de tipo legal y económico; así como a la afectación de su imagen corporativa.

Así, ante un quebranto del esquema de custodia de los DP, el primer paso a dar es descubrir si es real, ello para iniciar el proceso de reacción de conformidad con las políticas que se creen con este objeto; asimismo esto les permitirá revelar quienes son las personas o los subordinados involucrados, con el fin de efectuar el procedimiento rescisorio correspondiente.

Es pertinente que tanto los empleadores como los colaboradores implicados soliciten apoyo legal al reaccionar ante una vulneración.

EFECTOS LABORALES

Si el o los individuos encargados de llevar la información en comento no guardan la confidencialidad exigida por la normatividad aplicable, incurrirán en la causal de rescisión laboral sin responsabilidad para la empresa prevista en el numeral 47, fracción IX de la LFT (revelar secretos de fabricación o dar a conocer asuntos de carácter reservado, en perjuicio de la compañía).

En tal caso, la organización debe entregar al colaborador infractor el aviso rescisorio respectivo o solicitar a la Junta de Conciliación y Arbitraje (JCA) competente que se lo notifique –para ello debe manifestar el último domicilio del rescindido–, quedando obligada a cubrir el finiquito correspondiente (partes proporcionales de vacaciones, prima vacacional y aguinaldo, así como 12 días de salario por cada año de servicio prestado por concepto de prima de antigüedad) –arts. 76; 80; 87 y 162, fracc. III, LFT–.

Lo anterior no libera a la empresa de la imposición de una multa, cuya cuantía oscila de 200 a 320,000 veces el valor de la Unidad de Medida y Actualización (VUMA), equivalente de 16,120.00 25,792,000.00 pesos (arts. 63, fracc. VIII y 64, fracc. III, LFPDPPP). 

.
 .  (Foto: IDConline)

CONSECUENCIAS CIVILES Y PENALES

De conformidad con el artículo 67 de la LFPDPPP quien estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia se le impondrá una sanción privativa de la libertad de tres meses a tres años.

Sin perjuicio de lo anterior, es de considerar que si el colaborador viola las obligaciones derivadas del convenio de confidencialidad, la organización puede demandar a aquel por la vía judicial, ante un juez civil, la reparación de los daños y perjuicios ocasionados con su actuación (arts. 32, LFT y 1910 y siguientes del Código Civil Federal).

Además, puede denunciar penalmente a ese sujeto, en virtud de que conforme a los artículos 210, 211 y 211 del Código Penal Federal, la revelación de algún secreto o comunicación reservada derivados del empleo, cargo o puesto que se desempeñe se sanciona con la realización de 30 a 200 jornadas de trabajo en favor de la comunidad, o si se tratase de servicios técnicos, puede ser objeto de una pena privativa de la libertad de uno a cinco años y una multa de 50 a 500 pesos y la suspensión de su actividad de dos meses a un año.

Si bien existe un régimen sancionador de los subordinados que infringen la confidencialidad de los datos del resto del personal o de terceros que les corresponda manejar, los patrones deben brindarles la capacitación necesaria para llevar a cabo esa tarea tan delicada.

Con ello no solo cumplen un deber legal, sino que se protegen de la acción que en su contra promuevan los titulares de la información.

Creación de políticas, indispensable

Como se aprecia en el tratamiento de los DP se compromete a las empresas y los trabajadores encargados de esta labor; por ende, es indispensable que aquellas emitan las directrices aplicables para tal efecto.

Lo recomendable es elaborar un manual que les permita a los trabajadores conocer su responsabilidad en torno a la manipulación de los DP. Esto es básico porque este documento es una de las disposiciones internas que se obligan a cumplir los colaboradores (arts. 134, fracc. I, LFT).

En este cuerpo normativo deben precisarse reglas que versen sobre los siguientes aspectos:

  • reconocimiento de información y datos que no sean objeto de protección de la normatividad en materia de salvaguarda de DP. Se refiere a la prevista en el numeral 5o. del  RLFPDPP, por ejemplo la denominación o razón social de personas morales; los nombres comerciales de personas físicas comerciantes o profesionistas o los datos patronales como el domicilio, la dirección electrónica, y el número de teléfono
  • identificación de bases de datos y sistemas de manejo. Tienen que especificarse los casos en que los encargados deben observar la LFPDPP y demás normatividad relativa; definir la naturaleza de ese bagaje; organizar en un inventario los DP y determinar los plazos de conservación.
    Es esencial explicar el fundamento y motivo de la creación de los avisos de privacidad; su aplicación y mecanismos de difusión
  • protección de la información. Describir las medidas y acciones encaminadas a la protección de la información por medio de soportes físicos y digitales. Asimismo lo concerniente a la vulneración de la seguridad de los DP
  • tratamiento de los DP–Relaciones con terceros. Especificar las hipótesis en que se comunican y reciben los DP a otras empresas, así como el acto jurídico idóneo para establecer los deberes de las partes y el señalamiento de la responsabilidad de sus respectivos encargados
  • fijar los casos en que se produzcan nuevos tratamientos. Para esto es necesario analizar las medidas definidas que deben considerarse y llevar a cabo una evaluación del impacto a la privacidad para determinar qué obligaciones se deben cumplir y la forma en que lo harán al interior de la compañía, y
  • estrategias y acciones ante la vulneración de la seguridad. Se trata de la creación del manual correspondiente por parte del patrón. Se recomienda considerar los elementos básicos a contener en esta clase de documento en la infografía visible en la página cuatro de esta sección
.
 .  (Foto: IDConline)

Conclusión

Si bien las compañías pueden imponer deberes, medidas, y mecanismos de reacción en sus políticas relativas a la vulneración del esquema de cuidado de DP, también lo es que es indispensable que los encargados conozcan totalmente su contenido y alcances; consecuentemente aquellas, deben implementar su difusión oportuna y la capacitación en torno a aquel.