Alcances de la ruptura de protección a datos personales

Las consecuencias laborales de que los trabajadores estén involucrados en un error de esta clase van desde la amonestación hasta la rescisión
.
 .  (Foto: iStock)

El cuidado de los datos personales de los individuos es un derecho humano reconocido en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos y regulado en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Los datos personales (DDPP) son los elementos relacionados con una persona física identificada o identificable y si no se administran en términos de la normatividad referida, quienes los compilen pueden ser sancionados con multas por la autoridad competente (art. 3o., fracc. V, LFPDPPP).

Las personas físicas o morales del ámbito privado deben observar los lineamientos que prevén la forma en que deben ser recibidos, manejados, custodiados, modificados y eliminados, así como la de impedir su revelación o uso indebido. Esto las obliga a implementar sistemas de seguridad de los DDPP (SSDP) que deben ser permanentemente ejecutados, evaluados y si es el caso actualizados para evitar que sean hurtados, utilizados, menoscabados o perturbados en cualquier etapa del tratamiento al que estén sujetos.

La plantilla laboral de las compañías tiene injerencia por el solo hecho de que es parte de la estructura de estas; por ende es viable establecer un esquema de consecuencias si un trabajador quebranta los escudos que amparan los DDPP al interior de las corporaciones.

El grado de compromiso de cada uno de los colaboradores es diferente; por ende, los efectos laborales que se pueden producir en ellos también lo son, pero esto debe ser cuidadosamente evaluado y decidido por el patrón al momento de presentarse una incidencia en el SSDP.

En cualquier caso, las organizaciones deben sensibilizar a sus empleados que cuando estén ante información de esta naturaleza deben observar los principios de licitud; consentimiento; información; calidad; lealtad; proporcionalidad, y responsabilidad.

Derivado de esto, enseguida se señalan los aspectos indispensables a considerar por las empresas para la implementación de un régimen de responsabilidades laborales aplicable a su capital humano, cuando se suscite una ruptura de los mecanimos de seguridad y este se vea involucrado, con miras a inhibir la violación de los DDPP por parte de ellos y establecer las acciones procedentes.

Imposición del poder de mando

Una relación laboral implica la prestación de una tarea personal y subordinada por parte de un sujeto llamado trabajador, a otro físico o moral identificado como patrón, quien le cubre un salario (arts. 8o., primer párrafo y 20, LFT).

La subordinación conlleva, por una parte, el poder jurídico de mando del patrón por virtud del cual ordena, supervisa y dirige al trabajador dentro de su jornada laboral, en lo referente a la realización de las actividades contratadas; y por otra, la obligación de este último de cumplir con las instrucciones recibidas, respecto del trabajo concertado; por lo que en este contexto, deben incluirse las conductas obreras relativas al aparato de salvaguarda de los DDPP.

Este componente es el que posibilita a los empleadores, bajo el rol de sujetos obligados en términos del precepto 3o., fracción XVI de la LFPDPPP, a ordenar, supervisar y dirigir a sus colaboradores en general y a los involucrados en el tratamiento de DDPP, todo lo concerniente a los principios, manipulación, protección de la información confidencial, y en contraposición, aquellos deben obedecer las instrucciones respectivas.

De hecho si se observa que el dispositivo 134, fracción XIII señala como carga de los subordinados: guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa; el rubro de los datos encuadra en esa hipótesis.

Sin embargo, por la complejidad del régimen aplicable a los DDPP y el detrimento que tiene para las empresas si se llega a vulnerar, es exigible el respeto de estos y del SSDP a los empleados.

Creación de SSDP actualiza principio legal

En la protección de los DDPP deben regir los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad y deben aplicarse por las personas físicas o morales identificadas como responsables (arts. 3o., fraccx XVI y 6o., LFPDPPP).

Implementar un SSDP conlleva la adopción de medidas que garantizan la aplicación adecuada de los DDPP y su salvaguarda. Para ello deben existir mecanismos técnicos, físicos y administrativos que permitan el blindaje de la información contra pérdidas, daños, alteraciones, destrucciones, uso, acceso o manipulación sin autorización del dueño de la información (art. 19, LFPDPPP).

De tal suerte que el rango de protección surge a partir de que cualquier ente o individuo los obtiene, utiliza, divulga o almacena erigiéndose como responsables de todos los datos.

Es preciso dar a conocer a los colaboradores los principios inherentes al cuidado de los DDPP, pues con ello se les sensibiliza sobre la trascendencia del respeto a un derecho humano como lo es el cuidado de estos.

¿Qué es la vulneración de seguridad?

Es cuando al interior de una organización se sufre la pérdida o la destrucción no autorizada; el robo; el extravío; la copia no aprobada; el uso, el acceso o el tratamiento no autorizado, o el daño, la alteración o modificación no permitida de los DDPP (art. 66, Reglamento LFPDPP).

Dicha quiebra ocasiona daños a los titulares de la información como pueden ser: el robo de identidad; los detrimentos financieros; las amenazas a su integridad física o mental; la reducción de sus oportunidades de obtener algún empleo; la humillación; la afectación a su reputación; o el acoso laboral o social.

.
 .  (Foto: IDC)

Alcances de la responsabilidad de los trabajadores

El primer paso para la consolidación del esquema de compromisos del personal en relación con la salvaguarda de los DDPP y del SSDP, es que las organizaciones lleven a cabo un estudio a su interior para determinar cuáles son los elementos de identidad de terceros que manejan; qué áreas y procesos los requieren y quiénes deben manipularlos.

Conocer esto íntegramente le permitirá delimitar el nivel de responsabilidad de cada uno de los colaboradores y facilitar la creación de los medios que acrediten la implementación de estrategias preventivas y correctivas en la materia.

Dentro de este paso, igualmente deben identificarse las actividades que correspondan a cada uno de los subordinados, y si en razón de estas, acceden a información personal de terceros, ello permite distinguir las áreas de la empresa que manipulan DDPP. Por ejemplo: las de recursos humanos, compras, ventas, estudios de mercado, finanzas, etc.

Asimismo, esto arrojará las oficinas que no tratan DDPP, tales como: inventarios, diseño, mantenimiento, entre otras; no obstante, no es impedimento para ceñir a estos últimos a atender los casos de ruptura del blindaje de ese bagaje, porque se puede plantear como un deber contractual que es viable hacer cumplir con el señalamiento de un efecto jurídico para quien no preste atención a este compromiso.

Como segundo paso, es menester elaborar y poner a disposición de todo el personal las políticas y los manuales relacionados con el SSDP que contenga los protocolos de atención a emergencia; los datos de contacto del asesor que contribuirá a atender la vulneración del SSDP; cómo realizar el análisis de riesgos y el área a la que le corresponde; casos en que procede la notificación de la ruptura y las formalidades para realizarla.

PERSONAL EN GENERAL

El patrón debe darles a conocer a los trabajadores que se compilan DDPP y que esto conlleva el deber de todos de echar andar el SSDP y las directrices internas, en el supuesto de ser centro de una vulneración.

Dicho propósito se logra con la creación de campañas de difusión que enfaticen: la importancia de los DDPP; la existencia del SSDP; las razones por las cuales deben tratar aquellos adecuadamente, y la existencia de las reglas que prevén acciones para cuidarlos y advertir de un quebrantamiento de la información.

Si del análisis realizado a los DDPP recopilados por la organización se desprende la necesidad de vincular a todos los trabajadores, manejen o no esos elementos, es recomendable impartir capacitación y adiestramiento, focalizada en la adquisición de conocimientos que les permitan evitar su manipulación irregular cuando los traten.

En este supuesto, los colaboradores son responsables de acudir a dicha instrucción, aun si por sus funciones no manipulan DDPP; se les debe formar para obstaculizar la divulgación o darles recursos intelectuales para detectar potenciales riesgos de una vulneración. Por ejemplo: enseñarles el envío correcto de mensajes digitales; la operación de softwares con ciertas restricciones técnicas; la ubicación de DDPP y de rupturas o causas de estas, entre otros (arts. 134, fraccs. III; XIII, y 153-D, LFT).

Así las cosas, la sugerencia para vincular a cada uno de los subordinados es que en los contratos individuales de trabajo respectivos, se agregue una cláusula como la señalada a continuación:

.
 .  (Foto: IDC)

TRABAJADORES QUE TRATAN DDPP

Al detectarse los puestos que manejan y tienen acceso directo a los DDPP se debe incluir en los contratos laborales del personal de esas áreas, las obligaciones que tienen al respecto y las conductas permitidas y las que no lo son.

Los subordinados además de cumplir el SSDP y las reglas internas, deben acudir a la capacitación impartida por la empresa, y tratar con secrecía la información que manipulan por sus funciones, y ceñirse a la firma de un pacto de confidencialidad (arts. 134 fraccs. I; II; III; IV; XIII, 153-D, LFT). Los términos básicos de dicho acto se muestran en el siguiente convenio1 –también puede ser descargado en el código QR visible en esta hoja–, el instrumento puede ser ajustado según las necesidades empresariales:

.
 .  (Foto: IDC)
.
 .  (Foto: IDC)


.
 .  (Foto: IDC)


.
 .  (Foto: IDC)

La responsabilidad laboral de este tipo de colaboradores es conducirse con discreción, bajo pena que de no hacerlo incurrirían en una causal de rescisión sin responsabilidad para el patrón, prevista en el artículo 47, fracción IX de la LFT (revelar secretos de fabricación o dar a conocer asuntos de carácter reservado, en perjuicio de la compañía).

Se sugiere que en el contrato de trabajo se inserten cláusulas sobre las actividades que se esperan del subordinado y las que fijen el deber de cumplir con el SSPD, las políticas al respecto y la celebración del pacto de secrecía; esto según los textos propuestos enseguida.

La alusiva a las tareas que debe desempeñar el colaborador:

.
 .  (Foto: IDC)

La estipulación sobre los deberes a cumplir por el subordinado relativa a la materia de protección de DDPP:

.
 .  (Foto: IDC)

Si bien es cierto que existe la posibilidad de proceder laboralmente en contra de los colaboradores que violen el SSDP e incumplan con la normatividad laboral de las empresas, también lo es que los patrones deben brindarles la capacitación necesaria para llevar a cabo esa tarea tan delicada (art. 132, fracc. IX y 153-A, LFT).

Con ello no solo cumplen con una imposición normativa, sino que se protegen de la acción que intenten en su contra los titulares de la información, ya que el tratamiento de la información personal por los empleados, abre la posibilidad de que ante alguna conculcación a la LFPDPPP ellos esgriman como defensa que carecieron de los conocimientos necesarios para cumplir con su encargo; lo que en su caso haría ostensible la transgresión a lo dispuesto en el dispositivo 132, fracción XV de la LFT, así como lo previsto en los numerales 19 de la LFPDPPP y 2o., fracción V del RLFPDPPP.

La relevancia de la capacitación en materia del tratamiento de datos personales es elemental, para evitar ser objeto de las sanciones económicas señaladas, y para crear un contexto de seguridad jurídica para las partes (patrón-trabajador) que también a nivel internacional se exige.

Respecto a esto el Repertorio de recomendaciones prácticas sobre la protección de los datos personales de los subordinados de la Organización Internacional del Trabajo (OIT) en su numeral 5.9 prevé como uno de los principios rectores en este ámbito que: “Las personas encargadas del tratamiento de datos personales deben recibir periódicamente una formación que les permita comprender el proceso de acopio de datos y el papel que les corresponde en la aplicación de los principios enunciados en el presente repertorio”.

Si un colaborador conociendo estas limitantes ejecuta las conductas prohibidas, el patrón puede ejercer las acciones legales que más adelante se describen para deslindarse de una futura responsabilidad por las rupturas al SSDP en diferentes ámbitos.

Se recomienda la elaboración de un acta administrativa, en la cual se convoque al implicado para que acuda en un día y hora determinados, acompañado de dos testigos, con el objeto de que manifieste lo que a su derecho convenga, para que con la misma se configure una prueba documental privada de la falta.

Parámetros de capacitación sobre DDPP

Los planes y programas de capacitación, adiestramiento y productividad (PPCAP) son instrumentos que permiten conjuntar las acciones específicas tendientes a atender las necesidades de formación, actualización y crecimiento de los subordinados en las empresas.

En los mismos se debe visualizar el logro de las siguientes acciones: la actualización y la mejora de los conocimientos y las habilidades para manejar nueva tecnología; la prevención de riesgos de trabajo; el aumento de la productividad; el mejoramiento del nivel educativo, o la preparación para ocupar vacantes o puestos de nueva creación.

Los PPCAP tienen que constar en el formato DC-2, “Elaboración de planes y programas de capacitación, adiestramiento y productividad”; ahí se tienen que plasmar datos como nombre o razón social; RFC; número de registro patronal (NRP); Clave Única de Registro de Población (CURP) si se trata de persona física; domicilio (calle; números exterior o interior; colonia; Código Postal; entidad federativa; municipio o delegación política; localidad; teléfono; correo electrónico; fax); actividad principal; cantidad de colaboradores considerados en el esquema de capacitación (total; número de mujeres y hombres); objetivos y modalidad de la capacitación; número de inmuebles en los que regirán y de las etapas en que consistirá, y periodo de inicio y término del plan (anotando: año; mes y día).

Como se aprecia, es viable la inserción de los tópicos relacionados con la materia de protección de los DDPP y los alcances del SSP.

De manera enunciativa mas no limitativa, se debe capacitar a los subordinados respecto a los siguientes temas:

  • identificación de los DDPP, indicarles que es cualquier información concerniente a una persona física identificada o identificable; cuyo tratamiento implica la obtención, el uso, la divulgación o el almacenamiento de los DDPP (art. 3o., fracc. V y XVIII, LFPDPPP)
  • protección a los DDPP es un derecho humano, el numeral 6o., apartado A, fraccs. II y III de la Constitución Política de los Estados Unidos Mexicanos dispone que la información relacionada con la vida privada de los individuos que incluye la facultad de que accedan gratuitamente a ella, pues lo que se pretende es garantizar la secrecía y la prerrogativa a la autodeterminación informativa de los sujetos.
  • Es preciso transmitir a todo el personal que el cuidado de tales elementos como una garantía fundamental, no puede ser limitado o restringido; por el contrario, se tienen que respetar, y en este proceso, ellos están comprometidos por el desarrollo de las tareas por las que se contrataron; por lo que, si ellos incurrieran en la conculcación a ese SSDP pueden sobrevenir consecuencias legales y económicas tanto para la compañía, como para ellos en los ámbitos administrativo, laboral, civil o penal
  • principios rectores para la salvaguarda de la información reservada, licitud; consentimiento; información; calidad; lealtad; proporcionalidad, y responsabilidad
.
 .  (Foto: IDC)
  • aviso de privacidad, transmitirles cuáles son los componentes del mismo, es decir los elementos sobre: la identidad y el domicilio de quien recaba la información privada; la finalidad del manejo que se les va a dar; las opciones y los medios que las empresas ofrezcan para limitar su uso o divulgación; la transferencia de datos que se efectúen, en su caso; las herramientas para ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO), y el procedimiento por el cual la compañía comunicará a su personal los cambios que pudiesen presentarse en los avisos, y
  • consecuencias para la compañía de la violación al SSDP, hacer de su conocimiento que sufrir una ruptura tiene como efectos negativos para aquella, los siguientes:
  • sanción según la LFPDPPP, desde 100 a 320,000 veces la UMA, actualmente es de 8,060 a 25,792,000 pesos (arts. 63 y 64, LFPDPPP)
  • ser objeto de demandas sustanciadas por los sujetos afectados por la vía civil, ante el Juez de la materia; o de denuncia penal ante el Ministerio Público o la administrativa como el INAI
  • proyectar hacia el exterior que se carece de medidas de protección de dichos elementos, y
  • una mala reputación ante los clientes, porque pierden su confianza al detectar que no cuentan con los mecanismos de protección respectivos; desafortunadamente esto puede provocar que decidan terminar el lazo jurídico que los une

Cabe señalar que los centros de trabajo, de conformidad con los numerales 153-H de la LFT están obligados a mantener a disposición de la STPS los programas de capacitación para conocer y reaccionar ante vulneraciones a los esquemas de seguridad.

¿Cómo determinar el efecto laboral?

Después de que se produce una falla en el SSDP, las empresas tiene que efectuar los análisis de riesgos para determinar las causas y la afectación a los DDPP; lo cual hace propicio el comienzo de la evaluación sobre el nivel de participación de los subordinados, porque es lo que les permitirá adoptar la acción laboral más congruente con la realidad.

Como se aborda más adelante, si un colaborador está involucrado en una intrusión al SSDP, se puede hablar de la imposición de una medida disciplinaria y hasta la rescisión del lazo de trabajo; sin embargo, para los patrones es indispensable contar con datos objetivos acerca de la conducta, así como las constancias que la acrediten. Esto último es así, pues los patrones, en principio, son quienes tienen la carga probatoria (art. 784, LFT).

Para ello, deben implementar, como parte de las políticas en la materia, la sustanciación de un proceso de revisión o de auditoría de las actividades del personal, y si este acató los protocolos relacionados con el SSDP, cercano o no al incidente, con miras a obtener las pruebas documentales de la participación del trabajador identificado, o en su defecto, ubicar los hechos que pueden ser materializados a través de una acta adminIstrativa o de investigación.

Rescisión sin responsabilidad patronal

El despido justificado es una consecuencia directa, porque la conducta infractora del personal puede encuadrar en las causales de: falta de probidad (por hacer mal uso de los DDPP); la comisión, con o sin dolo, de una afectación, y la desobediencia del implicado a la dirección patronal (arts. 47, fraccs. II; V; VI; XI; 134, fraccs. I; II; III; IV, y XIII, LFT).

El momento de la entrega del aviso rescisorio puede ser:

  • inmediatamente después de que se conozcan los hechos. La razón por la que puede darse en este tiempo deviene de la pérdida del derecho patronal para despedir al trabajador, es decir que le prescribe en el plazo de un mes, contado a partir de la realización de la conducta del colaborador (art. 517, fracc. I, LFT).

La acreditación del motivo se puede lograr con el acta administrativa que se elabore para dejar una prueba del suceso, las constancias de capacitación o de difusión de información sobre los alcances del SSDP y las políticas respectivas (art. 784, fracc. IV, LFT).

Aquí podría hacer viable que el empleador, en un juicio laboral en donde un separado le demande el despido injustificado, ofrezca como pruebas las constancias generadas en el proceso sustanciado por el INAI, tratándolas como supervenientes, en términos de los artículos 778 y 783 de la LFT, o

  • posteriormente a que se conozca la resolución del INAI que condena al pago de una multa. Esta puede hacer suponer que la empresa detectó la actuación violatoria a las condiciones de trabajo, pero continúa el vínculo laboral o que dentro de los procesos que conoce el INAI, se reveló la culpa de algún trabajador durante el transcurso del mecanismo que ejecuta el organismo para adoptar una decisión.
.
 .  (Foto: IDC)

Ahí la fecha en que el empleador se considera afectado por la resolución del Instituto o se advierte la ocurrencia de la actuación trasgresora al SSDP del subordinado es la multa recibida de la autoridad, por lo que, la prescripción patronal corre desde ese día y año

Así las cosas, en cualquier caso el patrón debe preparar el aviso de rescisión correspondiente, el cual debe reunir como mínimo datos como: el lugar y fecha de la rescisión; el nombre del trabajador a quien va dirigido; la narración circunstanciada (modo, tiempo y lugar en que sucedieron los hechos) de la conducta o conductas que motivaron la rescisión, los fundamentos legales en los que se basa la rescisión, y la firma del representante del patrón.

De conformidad con el numeral 47, antepenúltimo párrafo de la LFT, el patrón puede elegir entregar directamente el aviso referido al momento del despido o requerir por escrito la intervención de la Junta de Conciliación y Arbitraje (JCA) correspondiente dentro de los cinco días hábiles siguientes a la separación para que se lo notifique –es preciso manifestar el último domicilio del rescindido–, quedando obligado a cubrir el finiquito correspondiente –partes proporcionales de vacaciones, prima vacacional y aguinaldo; así como 12 días de salario por los años de servicio prestado por concepto de prima de antigüedad, en caso de ser subordinado de planta (arts. 76; 80; 87 y 162, fracc. III, LFT)–.

En ambos casos el trabajador cuenta con dos meses para ejercer las acciones derivadas del despido (prescripción), el cual no correrá hasta que reciba personalmente dicho aviso. La falta de entrega del aviso, ya sea personal o por conducto de la JCA competente, tendrá por consecuencia la nulidad del despido.

Es menester contemplar que el empleador tiene la obligación de acreditar tal resolución; por ende, independientemente de los medios probatorios que exhiba, tales como: las actas administrativas o de investigación; las digitales deben presentarse como probanzas los programas de capacitación, las constancias de habilidades y los papeles que evidencien los monitoreos periódicos que realiza la organización en cumplimiento del SSDP (art. 784, fracc. IV, LFT).

¿Aplicación de medida disciplinaria?

Esto implica que la compañía cuente con un reglamento interior de trabajo (RIT) debidamente depositado ante la JCA, en el que se contenga la directriz relativa a la conducta omisa de alertamiento de la falla al SSDP o la violatoria de dicho esquema, y la consecuencia respectiva, esta puede ir desde la amonestación o suspensión de la relación de laboral por un periodo máximo de ocho días (art. 423, LFT).

Para imponer la sanción el patrón cuenta con un lapso de 30 días, contados a partir del día siguiente a la fecha en que se tenga conocimiento de la infracción (art. 517, LFT).

Ante la falta de dicho cuerpo normativo, cualquier medida disciplinaria que se pretenda aplicar se considerará inválida, porque conforme a la LFT para ser legal tiene que contenerse en el RIT, este ser elaborado por una comisión mixta de representantes del patrón y de los colaboradores, así como ser depositado ante la JCA respectiva (art. 424, LFT).

Si la empresa decide ejecutar alguna acción de este tipo sin estar debidamente contenida en el RIT, está expuesta al riesgo de que el subordinado afectado le demande ante la JCA competente, la rescisión del vínculo de trabajo que los une, sin responsabilidad para él, porque se incurriría en una falta de probidad.

Descuento en virtud de la multa del INAI

El hecho de que uno de los colaboradores produzca una pérdida o averías en el patrimonio del patrón, como lo sería una sanción económica impuesta por el Instituto Nacional de Acceso a la Información (INAI), consistente en una multa cuya cuantía oscila de 200 a 320,000 veces la UMA equivalente de 16,120.00 a 25,792,000.00, es viable la realización de las retenciones al salario de los colaboradores que vulneraron los SSDP (arts. 110, fracc. I, LFT; 63, fracc. VIII y 64, fracc. III, LFPDPPP)

Únicamente el empleador podría efectuar la retención dentro del límite previsto en el artículo 110, fracción I de la LFT; esto es que la cantidad exigible no sea mayor del importe de los salarios de un mes y el descuento es el que convengan el trabajador y el patrón, sin que pueda ser mayor del 30 % del excedente del salario mínimo.

Incluso puede efectuarse al finiquito, en caso de que se determine el despido del infractor, sin observar la restricción de la fracción I del numeral 110 de la LFT, pues ya no existiría una relación laboral.

Por otra parte, la compañía también tiene como opción cubrir al infractor el total del finiquito y demandarlo en un juicio de carácter civil, en donde le reclame el resarcimiento por daños y perjuicios que se hubiesen sufrido con su actuación.

Lo anterior, porque es una realidad que el monto de las multas puede resultar exorbitante, y la afectación de las remuneraciones es inviable porque se rebasaría el parámetro legal permitido en el precepto 110, fracción I de la LFT.

.
 .  (Foto: IDC)

Multas a los trabajadores

El artículo 107 de la LFT dispone que está prohibida la imposición de estas a los colaboradores cualquiera que sea su causa o concepto.

De hacerlo, daría lugar a que el subordinado involucrado demande la rescisión justificada de su contrato de trabajo, por causas imputables al patrón, porque este realizó una reducción salarial ilegal. Esto trae como consecuencia el pago de las indemnizaciones consistentes en tres meses de salario y de 20 días de remuneraciones por cada año de servicios; la prima de antigüedad equivalente a 12 días de salario por cada año laborado, con una base de cálculo topada al doble del salario mínimo; las prestaciones devengadas pendientes de pago, tales como aguinaldo; vacaciones; prima vacacional, y los salarios caídos (arts. 48; 50; 51, fracc. IV; 76; 79; 87, y 162, fracc. III, LFT).

Qué procede si el dueño de los datos demanda civilmente

La LFT en el precepto 489, fracciones I y II fija aun cuando el subordinado asuma los riesgos laborales acarreados por la actividad o que la contingencia ocurra como producto de la negligencia o error de aquel o de un tercero o un compañero, no liberar al empleador de la responsabilidad ante la víctima por el evento ocurrido.

En este contexto es más probable que la víctima ejecute alguna acción en contra del patrimonio de la empresa y no respecto de los bienes del colaborador; ante ello, el patrón puede recuperarse de dichos gastos a través de un proceso civil en términos del numeral 32 de la LFT.

Esta disposición señala que los trabajadores tienen que afrontar la responsabilidad civil causada por el incumplimiento de las normas laborales; por lo que el patrón afectado por la ruptura del SSDP de parte de su subordinado, tiene la alternativa de demandar ante los tribunales del orden civil, el resarcimiento de los daños causados por su negligencia, contando para ello con un plazo de dos años, a partir de la fecha en la cual sucedieron los hechos (arts. 32, LFT y 1910 y siguientes del Código Civil para el DF y sus correlativos en los estados de la República Mexicana).

Se debe considerar que las compañías pueden proceder de la misma forma, si concluido un lazo de trabajo el subordinado separado quebranta el SSDP, pues el respaldo de su compromiso de respeto y secrecía de este tipo de información se fija en el convenio de confidencialidad por tiempo indefinido.

Efectos penales

Los dispositivos 210 y 211 del Código Penal Federal señalan que la revelación de algún secreto o comunicación reservada derivados del empleo, cargo o puesto que se desempeñe se sanciona con la realización de 30 a 200 jornadas de trabajo en favor de la comunidad, o si se tratase de servicios técnicos, puede ser objeto de una pena privativa de la libertad de uno a cinco años y una multa de 50 a 500 pesos y suspensión de la actividad de dos meses a un año.

.
 .  (Foto: IDC)

Conclusión

Los patrones, antes de pensar en estas repercusiones laborales por la violación de SSDP, deben privilegiar la cultura de la prevención entre su personal; brindarles toda la orientación sobre la protección de los DDPP y el impacto de que aquella se rompa, para sensibilizarlos.

Igualmente es imprescindible puntualizarles cómo el fenómeno referido trastocaría el patrimonio corporativo y el de ellos mismos, cuando se viola la secrecía de los DDPP de terceros.

Finalmente, por los aspectos constitucionales, legales y económicos concurrentes en el régimen de salvaguarda de los elementos de identificación de los individuos, los patrones deben crear controles internos estrictos y monitoreos constantes, pues son un blindaje para los recursos financieros de las empresas que son los que permiten hacer frente a los reclamos que realice quien se considere agraviado.