22 Mar Acuerdos de confidencialidad y formación del personal
Cuando un empleado se niega a firmar el acuerdo de confidencialidad lo primero que viene a la cabeza es que el RT tiene un problema, porque si su empleado no se compromete a respetar la confidencialidad existirá un alto riesgo para el RT.
Estos son los únicos artículos del GDPR que hablan de las personas a cargo del RT o ET:
Artículo 29 GDPR. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros .
Artículo 32 GDPR. Seguridad del tratamiento
- El responsable y el encargado del tratamiento tomarán medidas para garantizarque cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Artículo 28 GDPR. Encargado del tratamiento
- b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidado estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
Además se debe tener en cuenta:
Artículo 5 LOPDGDD. Deber de confidencialidad
- Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
- La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
- Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
Artículo 5.f) GDPR. Principios relativos al tratamiento
Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
De todas formas, tanto el GDPR como la LOPDGDD no disponen que obligatoriamente se deba firmar un acuerdo de confidencialidad, pero sí que se deben tomar medidas y una medida es firmar el acuerdo.
En estos casos aconsejamos entregar el acuerdo y la política de seguridad al empleado utilizando un mecanismo que posibilite la prueba de que se ha entregado la documentación, por ejemplo por correo con acuse de recibo.
SOBRE LA FORMACIÓN EN MATERIA DE PROTECCIÓN DE DATOS
El GDPR no especifica expresamente que se debe formar al personal en protección de datos, pero sí dice que el RT «aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento«. Y eso es determinante para que se forme o se informe al personal de las medidas que aplica el RT.
También dice que «cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros«.
Por lo que el personal debe seguir las instrucciones del RT o ET, y estas instrucciones deben determinar que el personal tiene suficiente conocimiento para tratar los datos confidencialmente y con las medidas de seguridad impuestas por el RT o ET.
Esto, para empresas donde la actividad principal no es tratar datos personales, es suficiente entregar la política de seguridad. Y para empresas que la actividad principal es tratar datos personales pero no precisan DPO ni DPIA, será suficiente entregar las políticas de información y de seguridad e informar de los protocolos de los derechos del interesado y de las violaciones de seguridad. No es imprescindible en ningún caso hacer un curso de formación.
En el único lugar del GDPR donde sale la formación es en las funciones del DPO, en este caso y como el tratamiento tiene unas características más complejas (actividad principal de tratar datos a gran escala, organismos públicos, etc.) sí que obliga a que el personal autorizado tenga una formación específica: «formación del personal que participa en las operaciones de tratamiento«, por lo que en tratamientos que precisan DPO la formación debe ser más específica, ya que los riesgos son mucho más elevados.