FOCUS RGPD et employés : quel cadre légal ?

ENFOQUE RGPD y empleados: ¿qué marco legal?

Legal Watch – Mayo 2019.

Dos casos recientes que involucran a una importante librería en línea plantean preguntas sobre el margen de maniobra que tienen los empleados a la hora de procesar los datos personales de los clientes de la empresa.

Aunque el tratamiento de datos está ahora regulado en detalle por la ley y por numerosas directrices, ya sean las de la CNIL o del Comité Europeo de Protección de Datos (CEPD), las responsabilidades dentro de la propia empresa aún plantean muchos interrogantes.

¿Cuál es la responsabilidad del empleador respecto al tratamiento de datos personales por parte de sus empleados? Se deben tener presentes algunos principios:

El ámbito de aplicación del RGPD es amplio[1]. De hecho, el tratamiento automatizado de datos personales abarca las operaciones realizadas con datos mediante software tradicionalmente empleado en las empresas: bases de datos, correo electrónico, hojas de cálculo, etc., así como, en su caso, el tratamiento de datos realizado mediante procesadores de texto.

La responsabilidad por las acciones de los empleados generalmente recae en el empleador según el Código Civil2, pero también según el RGPD, porque el empleador es el controlador de datos: es el empleador quien define los medios y los fines del procesamiento en el sentido de la ley3.

Por la misma razón, el empleador será responsable en caso de una violación de seguridad, incluso si resulta de las acciones de un empleado, porque es el empleador quien tiene la obligación de asegurar los datos dentro de su empresa4.

Si el empleador es responsable ante terceros, puede, por supuesto, emprender acciones legales contra el empleado que haya actuado ilegalmente, en particular por abuso de confianza o fraude, e imponer una sanción disciplinaria o incluso el despido. El acceso fraudulento, o el mantenimiento del acceso a la totalidad o parte de un sistema automatizado de tratamiento de datos, también constituye un delito penal.

Independientemente de la responsabilidad del empleador, el empleado también puede asumir su propia responsabilidad frente a su empleador, pero también frente a terceros: el empleado que se desvía de las instrucciones dadas por el empleador y persigue sus propios fines se convierte en responsable del procesamiento en el sentido de la ley (véase el análisis del Grupo de Trabajo Europeo sobre el Artículo 29 6 – ahora CEPD).

Lo mismo se aplica si viola los estatutos de TI de la empresa al utilizar los datos para su propia cuenta.

En conclusión, es fundamental que el empleador tome las siguientes precauciones:

  • Definir con precisión los fines y medios del tratamiento y poner este marco en conocimiento de los empleados
  • Haga que firmen una cláusula de confidencialidad adjunta al contrato de trabajo, así como una carta de TI.
  • Involucrar al DPO y al comité de empresa en la preparación de estos documentos.

Estas precauciones tendrán el doble beneficio de proteger mejor a las personas cuyos datos se procesan y de aclarar la responsabilidad del empleador en caso de abuso.

Cabe señalar que los empleados también se benefician de la protección de su privacidad y de sus datos personales en el lugar de trabajo. Esto será objeto de desarrollos posteriores.

Y además:

En Francia:

El 15 de abril, la CNIL publicó su informe de actividad y anunció que centrará sus futuras auditorías en el respeto de los derechos de las personas, el tratamiento de datos de menores y el reparto de responsabilidades entre el responsable del tratamiento y el subcontratista.

Actualmente presidida por Marie-Laure Denis, la CNIL cuenta con un nuevo colegio.

En Europa:

El 12 de abril, el CEPD adoptó unas directrices sobre la recopilación de datos en el contexto de los servicios de la sociedad de la información, centrándose especialmente en la base jurídica para la recopilación en el contexto de una relación contractual con el cliente (artículo 6, apartado 1, letra b), del RGPD). Este texto está sujeto a consulta pública hasta el 24 de mayo.

En el mundo:

Nigeria adopta una ley de protección de datos similar al RGPD.

1 Artículos 2.1. y 4 1) y 2) del RGPD.

2 Véase en particular el artículo 1242 apartado 1 y apartado 5 del Código Civil.

3 Artículo 4.7) RGPD.

4 Artículo 32 RGPD.

5 Artículo 323-1 del Código Penal.

6 Página 16

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES