¿Personal responde por vulneración de seguridad?

Los patrones y sus trabajadores deben cuidar la información de terceros, pero cuando se rompen las defensas, ambos pueden ser culpables
Mtro. Alexis Cervantes Padilla
Socio en la firma Davara y Asociados

Preámbulo

Las empresas son constituidas con la intención de desarrollar cierta actividad, e independientemente de si su objetivo es alcanzar un lucro o no, interactúan en su entorno con personas físicas de quienes solicitan información a la que se le atribuye el carácter de reservada, o bien crean vínculos negociales o sociales con otros entes, que implican la manipulación de datos de individuos.

Esto alude a los elementos de identificación de cada ser humano señalados como datos personales (DDPP), objeto de protección constitucional y legal (art. 16, apartado A, fracc. II, Constitución Política de los Estados Unidos Mexicanos y Ley Federal de Protección de Datos Personales en Posesión de los Particulares –LFPDPPP–).

Tal situación conlleva que las organizaciones al contactar a sujetos que, en términos de la LFPDPPP, son el centro de imputación del derecho a la protección de los DDPP y por el cual tienen que respetar la facultad de la privacidad, requieran la información señalada, por lo que tienen el deber legal de guardarla, administrarla, corregirla y cancelarla, según el deseo de sus titulares.

Este régimen impone diversas responsabilidades, entre las más trascendentales para las compañías, es la de crear sistemas de seguridad que blinden los DDPP y eludan violación a las plataformas o bases de datos en donde estén contenidos (art. 19, LFPDPPP).

El tema es complejo por el bien jurídico que se cuida (los DDPP), y de la misma manera lo es, porque el tratamiento al interior de las empresas es realizado a través de sus colaboradores.

Estos últimos si bien tienen el deber de obediencia ante la instrucción patronal que los ciña a acatar la legislación de DDPP, también lo es que los patrones son responsables de prepararlos para ejecutar las tareas que involucren este tipo de información.

Resulta necesario que los empleadores y los subordinados involucrados con DDPP de terceros, sepan los alcances de su deber de escudarlos de roturas a sus esquemas y las consecuencias de sus actos. Esto incluso en la seguridad correspondiente a los expedientes laborales.

De ahí que IDC Asesor Fiscal Jurídico y Laboral conversó con el maestro en derecho económico Alexis Cervantes Padilla, socio de la firma Davara y Asociados en cuanto a lo que debe entenderse como una vulneración; la forma en que esta puede incidir en las relaciones de trabajo; los puntos a considerar para fijar a los subordinados las funciones vinculadas con el manejo de los DDPP; qué acciones tienen que realizarse para avisar sobre un quebrantamiento a los afectados; los alcances de la responsabilidad patronal y del personal, etc.

¿Qué es la vulneración de seguridad de los datos personales bajo el tratamiento de una empresa? y ¿esto puede afectar al ámbito laboral?

La legislación mexicana precisa que cualquier empresa que trate datos personales es responsable o encargada; independientemente del carácter de aquella; porque tiene que cumplir con ciertas obligaciones relativas a los DDPP.

Entre esas responsabilidades está la de brindar seguridad, es decir, que la compañía se cerciore que la información bajo su custodia sea debidamente protegida con el propósito de evitar alguna vulneración de los DDPP e incurrir en una infracción

Se debe entender como vulneración de seguridad de DDPP el uso, el acceso; el robo; el extravío, la copia, el daño o la alteración no autorizada en cualquier fase del tratamiento.

Respecto de la manera en que impacta el quebrantamiento referido a las organizaciones, estas pueden ser:

  • expuestas, porque revela que carecen de las medidas de salvaguarda de dichos elementos
  • sancionadas de conformidad con la LFPDPPP. Esto es la imposición de multas que oscilan entre 100 a 320,000 veces la UMA, esto equivale a 8,060 a 25,792,000 pesos (arts. 63 y 64, LFPDPPP), y
  • marcadas con cierta reputación ante los clientes; es decir pierden la confianza de estos al observar que no cuentan con los mecanismos de protección respectivos. Es de recordar que a las personas les preocupa que su información sea bien tratada, y si no sucede, pueden decidir terminar el vínculo que los une con aquellos que adolecen de sistemas de resguardo para que dejen de manejar sus DDPP
  • Es de alertar que las empresas que descuiden esta área perderían su negocio, sufriendo un gran daño económico, pues según el giro al que se dediquen o el servicio que proporcionen, los titulares de la información se alejarían al igual que las negociaciones con las que tengan algún tipo de alianza y consideren que no son de fiar para permitirles acceder a sus bases de datos.

¿Cuál es la manera correcta de asignar a un trabajador las tareas relacionadas con el tratamiento de DDPP?

Se debe partir de la identificación de los roles y las funciones que les son asignadas a los puestos que ocupan los subordinados y saber con exactitud si para cumplir con estas actividades deben tener acceso a la información de carácter personal de terceros, en posesión de la compañía.

Después debe realizarse un entrenamiento general para todos los subordinados de la organización y uno específico para cada puesto. A continuación, deben integrarse las políticas de protección de DDPP a cada una de las tareas de las distintas áreas que integran aquella.

Es menester crear documentos por medio de los cuales se fijen y delimiten las obligaciones que adquiere cada colaborador en relación con los DDPP. Igualmente es indispensable imponer límites acerca de las conductas permitidas y las prohibidas al efectuar la manipulación.

Una vez concretado lo anterior, debe medirse la participación del personal de la compañía y calificar su desarrollo mediante la acreditación satisfactoria de los programas de capacitación.

Cabe señalar que parte de los instrumentos generadores de los deberes jurídicos de los trabajadores en torno a este tópico, es el programa de capacitación y adiestramiento y las constancias de este entrenamiento, en los cuales se reflejen la imposición de una instrucción practicada al inicio y la instrucción proporcionada periódicamente.

Es bueno que se provea de una formación general sobre el rubro de los DDPP, y además de esta, conceder una específica de conformidad con el puesto que les corresponde desarrollar; al hacerlo se allega de los medios probatorios de que se han tomado las estrategias preventivas y correctivas para asegurarse que un subordinado realmente está informado de lo que puede hacer o no.

Es de contemplar que si un subordinado, conociendo tales restricciones, ejecuta una conducta prohibida, el patrón cuenta con todas las herramientas legales contra el incumplido, y sobretodo para deslindarse de una futura responsabilidad ante una vulneración imputable al colaborador.

.
 .  (Foto: IDC)

En la práctica se puede crear un “disclaimer” de no aplicación de la normatividad en materia de DDPP, ¿esto también tiene que hacerse saber al personal?

Un disclaimer es el aviso de privacidad de cuando se utilizarán los DDPP; la legislación no impone el deber de entregar uno especial cuando las organizaciones no vayan a tratar este tipo de elementos, pero no están sujetos al ámbito de aplicación de la normatividad.

Es conveniente generarlos para comunicar a los terceros que se está recibiendo y manipulando información que no está regulada por los ordenamientos legales y reglamentarios de la materia; sin embargo, al exhibirlos, el fin es dejar en claro que no se acatarán tales reglas, así como implementar una táctica de protección ante el reclamo de un tercero que se sienta afectado y busque delimitar su trato.

Así, si se determina su emisión, es indispensable que las organizaciones se preparen, a saber: realicen una labor de indagación acerca de los DDPP detentados, y soliciten una asesoría de la cual se desprenda si los datos están bajo el amparo de la normatividad de salvaguarda de DDPP y cuáles no

Esto facilita la creación del disclaimer de no aplicación y la concreción de las razones por las que no se está ante conceptos sujetos a las directrices aludidas.

En cuanto a los colaboradores, por supuesto que es preciso señalarles aquello que se manipula, pero que no conlleva acatar los lineamientos, las restricciones y el tratamiento de los DDPP objeto de protección, y los motivos que dan origen a esta determinación.

En este ámbito toda empresa tiene que desarrollar un estudio previo a la manipulación de DDPP, que le permita ubicar: si los poseerá; los controles que se establecerán en torno a ellos; los avisos de privacidad que se ocuparán o las leyendas de no aplicación; el objetivo de contar con los datos; el flujo lógico que seguirán dentro de la corporación; los sitios o las fuentes de donde se recabarán y en los que se utilizarán o almacenarán; los terceros a quienes se comunicarán; el momento en el cual se eliminarán; de ahí que al carecer de esta indagación se verá imposibilitada para crear cualquier disclaimer.

¿Cuándo se está obligado a notificar la existencia de una vulneración de seguridad de DDPP?

En México no todas las vulneraciones de DDPP se notifican a los titulares afectados. Esto es, cuando la compañía sufre un quebrantamiento debe observar si encuadra en el supuesto en que esto no es objeto de alertamiento; se tiene que comunicar siempre y cuando las violaciones causen un daño significativo a los derechos morales o patrimoniales de los titulares.

Aquí la pregunta es ¿en qué hipótesis se causa un daño de esa naturaleza? No todos los quebrantamientos son objeto de aviso; de ahí que estos se notificarán cuando se cumplan los siguientes tres criterios, que exista: una conducta no autorizada; una probabilidad alta de que la ruptura pueda causar al afectado un daño significativo, en sus bienes o en su psique, e imposibilidad de la entidad implicada de mitigar el posible peligro a través de la aplicación de medidas correctivas.

El concepto de daño patrimonial o moral significativo no está definida en el ámbito de protección de DDPP, pero sin lugar a dudas, cualquier impacto emocional, físico, psicológico, financiero o reputacional entra en este campo.

Así para poder determinar si existe una afectación elevada se requiere de un análisis de daño en el cual se determine la probabilidad de que exista una posible incidencia en los titulares de la información que ostenta la empresa y las consecuencias de esta falla.

Por tanto, los aspectos a contemplar para hacer el referido estudio son: la naturaleza de los DDPP alterados; si el sistema tenía algún control de salvaguarda, y si contaba con este, la viabilidad de que fuese superado; el perfil de los sujetos que estuvieron en contacto con esa base; la factibilidad de que estos individuos quisieran causar algún perjuicio a los dueños de la información; la naturaleza del incidente, y cualquier otro factor relevante.

.
 .  (Foto: IDC)

¿Cómo incide en las relaciones laborales que un colaborador esté involucrado en una vulneración a DDPP?

En la práctica las trasgresiones ocurren por una acción interna por parte de algún subordinado. Afecta su esfera jurídica si ellos actúan de mala fe, lo cual los haría incurrir en alguno de los delitos previstos en la LFPDPPP y hacerse acreedores a sanciones consistentes en penas privativas de la libertad.

Sin embargo, los patrones no pueden “lavarse las manos” (de inmediato) de lo que hubiesen hecho sus trabajadores. Para responsabilizar totalmente a los involucrados, aquellos tienen que acreditar que:

  • el personal está perfectamente capacitado en materia de protección de DDPP y conoce las implicaciones que produce el tratarlos de forma errónea o equivocada, y
  • cuenta con las medidas físicas, técnicas y administrativas (estas últimas con las constancias a través de las cuales se acredite la instrucción y entrenamiento sobre el tema)

En la realidad, en caso de que las compañías prueben estos dos extremos, en la mayoría de los asuntos, se le imputa íntegramente la infracción al subordinado implicado, pues este a pesar de ser conocedor de las acciones que no debía llevar a cabo, las ejecuta. Adicionalmente dicha comprobación revela que no medio mala fe por parte de las empresas.

Como se puede apreciar las tácticas enunciadas configuran candados preventivos tendientes a evitar que el personal cause una violación a los DDPP de terceros.

Ante la vulneración del sistema de seguridad de los DDPP ¿qué tipo de apoyo legal deben solicitar las empresas y los trabajadores?

La normatividad en el campo de cuidado de DDPP la obliga a las empresas, sin importar su tamaño, a crear un departamento o un responsable de la privacidad en esta materia.

Una de las funciones principales del área aludida es atender lo relativo a la trasgresión del esquema de protección; por ende, la misma debe desarrollar un plan de acción, que tenga definidos los parámetros que dan los indicios de una alteración y los pasos a seguir inmediatamente después de producirse una violación a los DDPP, e informar a los colaboradores de esta política y protocolo.

Los patrones deben ser conscientes de que esto es indispensable porque a veces ni siquiera advierten que se suscita la ruptura por no contar con la alerta o el entrenamiento por el cual adquieran esa aptitud o ignoran las acciones a desplegar; por tanto, se oculta la falla o ellos prefieren esconderla, entonces la vulneración no sale a la luz y cuando en algún momento se desvela la vulneración tiene efectos desastrosos y es poco viable contener los efectos dañinos.

De esta suerte, los propios planes de acción deben contener como táctica la de contar con asesoría externa; así la unidad encargada de este ámbito en la organización, una vez presentada la crisis, debe contactar a dicho especialista con el objeto de que juntos empiecen a implementar la estrategia de respuesta y desarrollar el análisis de peligros que se hubiese fijado en aquellos; y de esta manera, estén en posibilidad de identificar los peligros al patrimonio y la moral de los titulares de los DDPP afectados; si se debe realizar la notificación referida y el medio para hacerla –existe la libertad de decidir si es vía telefónica, correo electrónico o presencial– y los mecanismos recomendables a efectos de salvaguardar sus intereses.

¿Cuál es la postura del Instituto Nacional de Acceso a la Información (INAI) ante aquellas empresas que quebrantan los sistemas de seguridad de datos personales?

En el Instituto se han presentado diversos casos en este sentido, entre estos se encuentran asuntos en los cuales la vulneración fue consecuencia de una falta de pericia del trabajador. Por ejemplo, si un colaborador al enviar un correo electrónico no elige la remisión de una copia oculta a los destinatarios, o bien, al momento de gestionarlo adjunta un documento mediante el que revela la lista de clientes de la empresa a varias personas.

Si han ocurrido violaciones derivadas de los subordinados por actuar de manera contraria a sus funciones que implican una vulneración a los DDPP para los patrones.

En la mayoría de estos conflictos los empleadores se defienden diciendo que todo se desprendió de un error involuntario del trabajador implicado, y por tanto, sale de su alcance.

En esos casos el INAI, no ha deslindado a la compañía, le impone una sanción económica bajo el argumento de que aunque fuese originado por un error del subordinado, esa cuestión no lo exime del deber de cuidado que conlleva su carácter de empleador.

Son pocos los casos en que los patrones lograron ser relevados de tal obligación, lo superaron en razón de que probaron que sí tenían establecidos en su interior diversos controles de seguridad que le permitieron acreditar que antes y durante el transcurso de los vínculos laborales, contaba con las estrategias de seguridad de los DDPP para evitar cualquier tipo de vulneración, y que en los asuntos que se expusieron ante el Instituto, le fue imposible llevar a cabo alguna otra medida adicional para eludir la conducta del trabajador infractor.

El ente gubernamental, en estas circunstancias al observar que la ruptura provocada por el personal excede la capacidad del patrón, entiende que no hay sistema de seguridad perfecto, por lo que la salvaguarda no se puede producir al 100 %.