Retos patronales en protección de datos personales

Elementos a considerar sobre cómo blindarlos y la manera en que el régimen legal impacta a los vínculos de trabajo

La salvaguarda de los datos personales (DDPP) de los individuos es un derecho humano reconocido en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos y regulado a nivel legal en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Los DDPP son los elementos relacionados con una persona física identificada o identificable, por lo que los sujetos físicos o morales del ámbito privado deben observar los lineamientos que contienen la forma de su recepción, manejo, custodia, modificación y eliminación; así como impedir su revelación o uso indebido (art. 3o., fracc. V, LFPDPPP).

Por lo que esos sujetos al recibirlas deben conducirse observando los principios de licitud; consentimiento; información; calidad; lealtad; proporcionalidad, y responsabilidad.

Dicho régimen también es aplicable a los lazos de tipo laboral, en donde las empresas tienen que adecuar su actuación a aquel; el primer momento nace al realizar sus procesos de selección y atracción de talento, pues captan información que requiere una administración controlada en términos de la LFPDPPP y el segundo surge después de tomar la decisión de celebrar el vínculo de trabajo.

Los empleadores al estar forzados a firmar contratos individuales laborales; a llevar registros de pago de salarios y demás prestaciones, y a concentrar los documentos aludidos, entre otros, sigue en la responsabilidad de tratar con cuidado los DDPP.

Los patrones tienen que considerar que están obligados a reconocer y respetar el derecho de sus colaboradores en cuanto a la protección del numeral 16 de la Carta Magna; sin embargo en la práctica surge el antagonismo entre la figura de la subordinación existente en los lazos laborales y la facultad de todo ser humano a vivir en privacidad.

Derivado de esto, la maestra Ana Belem Hernández González, especialista en protección de datos personales (DDPP) y el maestro Oscar Zavala Gamboa, profesor de la Facultad de Derecho de la UNAM y vocal de la Sociedad Mexicana de Derecho del Trabajo y de la Seguridad Social (SMDTSS) enseguida exponen su visión sobre la coexistencia subordinación-secrecía, precisando las disposiciones aplicables a los DDPP y los axiomas a acatar.

Preámbulo

Doctrinalmente la subordinación se entiende como la potestad de mando o dirección efectuadas por el empleador hacia el colaborador y genera un cúmulo de derechos y obligaciones, y en algunos casos, causan tensiones con el esquema de protección de datos personales.

Esta resistencia deriva de que no es suficiente el reconocimiento de la prerrogativa a la salvaguarda de DDPP del trabajador para conseguir la limitación de manera automática del poder de mando o dirección del patrón, ya que el problema realmente es determinar cuáles son las barreras o los límites a dicha fuerza, y lo más importante, cómo hacerlo coexistir con las facultades propias de aquel.

Es así como la concepción de la persona, portadora de derechos humanos en sus relaciones laborales, choca con la práctica al encontrarse caracterizada por una sujeción plena y exclusiva de los trabajadores al poder y el control de los patrones, mismo que se sujeta a las restricciones justificadas en la ejecución de las actividades.

Por ejemplo, se tendría que analizar el hecho de que los patrones puedan indagar en los antecedentes de la vida privada de los subordinados, como son: su condición de salud, los datos relativos a su vida familiar, e incluso sexual, los penales, etc.; tanto en el proceso de selección para ocupar un cargo, como durante el tiempo en que aquellos permanecen en las empresas.

.
 .  (Foto: IDC)

Es por ello que sostenemos la necesidad de analizar esta tensión entre ese poder de mando y la privacidad e intimidad del trabajador, a través de la proporcionalidad y congruencia que debe existir cuando se lleva a cabo el tratamiento de datos personales de los colaboradores, cuáles son los límites a dicho manejo, así como los principios y deberes con los que se debe cumplir, pues se piensa que en la relación laboral existen restricciones a ciertos derechos que en otros contextos difícilmente tienen lugar.

Subordinación y su relación con los DDPP

Si bien no existe una definición legal para la noción de subordinación, en distintas resoluciones, el Poder Judicial de la Federación la ha concebido como la facultad de las compañías de disponer de la fuerza de trabajo del obrero de acuerdo con la ley o el contrato.

Esta noción tiene mucho camino recorrido en la doctrina en el campo laboral, pero en el caso mexicano es poca la regulación existente que permita identificar sus elementos, sobre todo sus alcances. Esto dificulta la conceptualización respecto de la protección de los DDPP del personal, pues sus fronteras no son fácilmente identificables, sobre todo en escenarios laborales complejos como la subcontratación o el outsourcing.

Así, en la actualidad vemos que los empleadores para contar con elementos que le permitan hacer una selección de trabajadores, en aras del derecho a la libertad de contratación, recaban datos personales de distinta índole, que en ocasiones vulneran el respeto a la esfera individual de estos, a la que no cualquiera puede tener acceso. Y es que la relación laboral puede llegar a condicionar el ejercicio de algunas de sus prerrogativas, porque con ellos se busca justificar o restringir la ejecución de las tareas, de tal forma que en otros contextos seguramente no sucedería.

Por ello es importante resaltar que el derecho humano a la salvaguarda de los DDPP, no puede ser limitado o restringido, sino por otro de igual jerarquía, sin que exista un daño al bien tutelado de que se trata.

Según la naturaleza de las relaciones laborales, la Organización Internacional del Trabajo (OIT) ha tenido ciertas consideraciones en este tema, particularmente a través del Repertorio de recomendaciones prácticas para la protección de los datos personales de los trabajadores, mismo que abarca rubros relevantes, a saber: acopio, conservación, almacenamiento, uso y comunicación de datos, especialmente en escenarios más complejos y propensos a la simulación, como las agencias de colocación y en las relaciones colectivas de trabajo.

La OIT limita a los empleadores en el manejo de los datos personales de los trabajadores, en aspectos estrictamente necesarios como el perfil para la selección de los candidatos; la formación y promoción del personal; la salvaguarda de la seguridad personal y laboral; y el control de calidad en las actividades realizadas. Sin embargo, estos avances han sido insuficientes, y en muchos casos limitados ante escenarios laborales complejos.

Régimen regulatorio de los DDPP en México

La LFPDPPP, establece un conjunto de axiomas y obligaciones para quienes llevan a cabo el tratamiento de esta información.

Prevé en su numeral 3o., fracción V qué debe entenderse por datos personales: cualquier información concerniente a una persona física identificada o identificable. El mismo artículo, en su fracción XVIII señala que es tratamiento: la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Como se aprecia, hablar de tratamiento de los DDPP implica, sin duda, analizar si los patrones llevan a cabo este.

El precepto 3o., fracciones XVI y XVII de la LFPDPPP fija qué se debe entender por:

  • responsable: persona física o moral de carácter privado que decide sobre el tratamiento de DDPP, y
  • titular: la persona física a quien corresponden los DDPP

Al respecto, la LFPDPPP, en su dispositivo 2o., indica que son sujetos regulados por esa ley, los particulares personas físicas o morales de carácter privado que efectúan el tratamiento de datos personales, con excepción de las:

  • sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Informaci ón Crediticia y demás disposiciones aplicables, y
  • personas que lleven a cabo la recolección y el almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial

De lo anterior es interesante resaltar que, en efecto, las compañías son sujetos regulados por la LFPDPPP, ya sea como entes físicos o morales, al no situarse en los supuestos de excepción transcritos, porque no recolectan y almacenan DDPP para uso exclusivamente personal y sin fines de divulgación, pues dado su carácter de empleador es indudable que los difundirá para cumplir con las obligaciones que tienen en materia de seguridad social y hacendaria.

.
 .  (Foto: IDC)

Por otro lado, conforme a la definición, de dato personal, derivada también de la LFPDPPP, los patrones cuentan con información que particulariza o hace identificable a los subordinados.

Lo anterior se ilustra de mejor manera si se considera que los colaboradores ponen a disposición de las empresas información que revela aspectos de su vida privada. Por ejemplo: los datos académicos y profesionales, los hábitos de vida, sus relaciones privadas, e incluso su ideología o creencias religiosas, entre otros.

De ahí que se afirme que los patrones realizan el tratamiento de datos personales puesto que los obtienen, usan, divulgan o almacenan, lo cual a su vez los convierten en responsables, al decidir sobre el tratamiento que se les da a dichos datos y lo sujeta a esta normatividad especial.

.
 .  (Foto: IDC)

Principios y deberes a cumplir

Para determinar las máximas que deben seguir los patrones al administrar los DDPP de cada uno de los individuos que integran su plantilla laboral, se debe partir de la premisa que existe cierta información del trabajador que no puede ser conocida o divulgada por el empleador, la pregunta sería ¿cuál es? y ¿qué parámetros se deben considerar para tal decisión?

Como se ha comentado, llegar a tal conclusión es complejo, pues es necesario tomar en cuenta la legislación en materia de protección de DDPP, la cual permite crear las pautas generales que deben seguirse; sin embargo, ante cada uno de los casos concretos que se presenten, es indispensable llevar a cabo un examen por medio del cual se conozca si los datos recabados de los subordinados, son idóneos y proporcionales y no menoscaban otros derechos.

Así, la LFPDPPP contempla ocho axiomas de cumplimiento obligatorio en el ámbito de protección de DDPP: la licitud, el consentimiento, la información, la calidad, la finalidad, la lealtad, la proporcionalidad y la responsabilidad; y dos deberes: la seguridad y la confidencialidad.

Además, señala cuáles son los derechos para los titulares (acceso, rectificación, cancelación u oposición), y las garantías de salvaguarda en el supuesto de que esas prerrogativas se quebranten durante el tratamiento de los DDPP, o bien se hubiese incurrido en algún otro tipo de vulneración.

De manera complementaria el responsable está obligado a adoptar medidas técnicas, físicas y administrativas que permitan proteger los datos, contra daño, pérdida, alteración o destrucción, o el uso, acceso o tratamiento no autorizado, considerando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad de la información y el desarrollo tecnológico; y a guardar confidencialidad respecto de los datos que trata, aun después de finalizar su relación con el titular (art. 19, LFPDPPP).

Es así que la LFPDPPP, de forma genérica, regula el tratamiento de DDPP de todos aquellos sujetos que los obtienen, los usan, los divulgan o los almacenan, y en el caso de los empleadores, esta ley también es aplicable a ellos, por fungir como responsables de toda la información de los trabajadores a la que tienen acceso, aprovechan, manejan, transfieren o de la que disponen.

.
 .  (Foto: IDC)

Conclusiones

En los últimos años han sido muchas las discusiones en torno a la protección de los derechos humanos, y en particular, respecto de la protección de los DDPP en las relaciones laborales, no puede ser la excepción, en razón del desarrollo tecnológico y su impacto en el mundo laboral.

Según indica el Banco Mundial, las tecnologías de la información y las comunicaciones (TICs) transforman el ámbito del trabajo mediante dos modalidades distintas: la creación de nuevas oportunidades de empleo y el aumento de la innovación, la inclusión y la globalización de las relaciones laborales.

Estas mutaciones generan nuevos esquemas, cuyas implicaciones no se limitan a la prestación del trabajo, si no que abarcan otros aspectos de la relación laboral, como la interacción entre patrones y colaboradores por medios electrónicos; la utilización de nuevos mecanismos de control y vigilancia en los centros de trabajo; así como la evolución del derecho procesal que incorpora mecanismos en las legislaciones para la valoración de pruebas aportadas por la tecnología, esto sin dejar de considerar las modalidades atípicas de empleo como la subcontratación y el teletrabajo, situaciones que obligan a reflexionar sobre un tema fundamental como es la protección de datos y privacidad de los trabajadores.

Es en este sentido, en donde la legislación laboral mexicana, específicamente la LFT, tiene importantes retos en la protección de los datos personales de los colaboradores, especialmente porque es el marco jurídico especial en el que se deben analizar las particularidades de los lazos entre las empresas y su personal. Es un gran error analizar la protección de datos de los subordinados, bajo las premisas que aplican a otro tipo de relaciones jurídicas, pues históricamente esto no ha sido así.