LA OBLIGACIÓN DE TODO EMPLEADOR DE RESGUARDAR LOS DATOS PERSONALES DE SUS TRABAJADORES Y LA RELEVANCIA DE ADOPTAR UN MODELO DE PREVENCIÓN
En algunos casos suele asociarse que la protección de datos personales desde el plano laboral es exclusivo de plataformas digitales, aplicaciones tecnológicas y en general al comercio electrónico, cuestión que constituye un error, toda vez que si bien habitualmente es el lugar donde están más expuestos a riesgos de filtración de datos y por ende donde deben adoptarse mayores resguardos, lo cierto es que el adecuado tratamiento de datos personales trasciende lo expuesto y en general debe ser una preocupación de todas las empresas sea que estas tengan una vinculación con el comercio electrónico o no. Lo anterior se sostiene porque si efectuamos una vinculación entre datos personales y relaciones de trabajo el principio general es que en general toda empresa recolecta y trata ( dicho en términos coloquiales “almacena”) datos personales de sus trabajadores, entendiéndose por dato personal toda aquella información que puede ser atribuible a una persona como por ejemplo el nombre, rut, domicilio, correo electrónico, cuestión que se efectúa desde que se hace un proceso de selección para incorporar a un nuevo trabajador a la empresa y le pido que me remita su Curriculum, luego cuando ya es dependiente de la compañía y en muchos casos permanece inclusive tiempo después de que finaliza el vínculo contractual. Pues bien, teniendo presente lo anterior nuestro legislador consagró en el artículo 154 bis del Código del Trabajo la obligación del empleador de guardar reserva de toda la información y datos privados del trabajador que tiene acceso con ocasión de la relación laboral y junto con ello le otorgó en el artículo 19 Nº 4 de la Constitución Política de la República el carácter de derecho fundamental a los datos personales. De modo que es clara la relevancia que tiene la materia, al punto que podría verme expuestos a multas por la Dirección del Trabajo si se ve infringido el deber de reserva del artículo 154 bis y también a una demanda de tutela por vulneración de derechos fundamentales dado el rango constitucional de los datos personales; por lo que la duda que surge es: ¿Cómo prevengo tales riesgos?.
La interrogante expuesta se responde desde la óptica de adoptar un modelo de prevención, manifestándose ello en que sea establecido en los documentos internos de la empresa como lo es el (i) Reglamento Interno de Orden, Higiene y Seguridad y los (ii) contratos de trabajo, la protección y resguardo de los datos personales. Así por ejemplo y tal como sostiene la profesora Macarena Gática en tales documentos debiese establecerse la obligación de todos los trabajadores de cumplir con las políticas de privacidad, protocolos y demás procesos relacionados con el tratamiento de datos personales en la empresa, consagrándose que una infracción a ello podría constituir causal de término del contrato de trabajo por incumplimiento grave ( artículo 160 Nº 7 del Código del Trabajo). Asimismo, dicho modelo de prevención debe contemplar capacitaciones a los trabajadores(as) sobre como se protegen los datos personales, cuales son los riesgos a los que pueden verse expuestos y como se mitigan ellos. Finalmente es importante que los trabajadores conozcan los derechos que poseen sobre sus datos, es decir porque se solicitan, donde se almacenan, si son tratados directamente por la empresa o por terceros, por cuanto tiempo se almacenan, etc; cuestión que perfectamente podría regularse vía anexo de contrato o en otro documento interno de la empresa al que tenga acceso el trabajador.
Con el modelo de prevención antes expuesto tendré menos riesgos de que los datos personales de mis trabajadores(as) sean tratados indebidamente o filtrados a terceros ya que todo aquel dependiente de la compañía sabe a los riesgos que se expone, al punto que incluso podría darle término a la relación laboral. Seguidamente, en el caso que lamentablemente ocurra una filtración de datos hacia terceros si tengo el modelo de prevención instaurado , internamente podré aplicar medidas sancionatorios como una amonestación y/o un despido y aquella decisión será difícil de cuestionar. Valga en este punto la precisión que no debemos pensar en la filtración de datos como una cuestión exclusiva de hackers o de atentados a la ciberseguridad de una empresa, sino que en algo mucho más sencillo, como por ejemplo que un trabajador no autorizado ingrese al “sistema SAP” de la empresa y divulgue con terceros información de los trabajadores como sus días de feriado legal, domicilio, correo electrónico personal, sus antecedentes de salud, etc. De otra parte, un aspecto relevante de enunciar te es que si el o los afectados ante una filtración acude a tribunales y demanda tutela por infracción al artículo 19 Nº 4, perfectamente podré defenderme señalando que como empleador adopté todas las medidas que estuvieron a mi alcance para evitarlo, pero que no obstante ello igualmente se produjo la misma, pudiendo ser exonerado de responsabilidad o morigerarse esta, ya que se ha entendido por la doctrina especializada que el resguardo de los datos personales es una obligación de medios, es decir emplear la máxima diligencia en su protección, y no de resultados ( evitar la filtración).
En base a lo explicado de nada servirá ante una filtración de datos o el conocimiento de datos de un trabajador por una persona no autorizada que yo explique ante un tribunal que tenía una inversión importante en ciberseguridad y sistemas informáticos robustos que detectan filtración, si internamente desde el punto de vista laboral no tenía ningún modelo de prevención para cumplir con el artículo 154 bis del Código del Trabajo, ya que allí perfectamente una respuesta posible será que la obligación de reserva se ve infringida en la medida que los dependientes de la compañía en ningún momento tuvieron conocimiento sobre como debían tratarse los datos, al punto que por ejemplo la palabra dato personal ni siquiera era mencionada ni en los contratos de trabajo ni en el Reglamento Interno. He ahí la importancia que los contratos de trabajo, el Reglamento Interno de Orden, Higiene y Seguridad y en general exista una política interna de prevención para el debido resguardo de los datos personales, a través de capacitaciones e información periódica. Solo así, se dará cumplimiento íntegro al deber de reserva que establece el Código del Trabajo y no vulneraré el derecho fundamental de los datos personales de mis dependientes.
Felipe Correa Bravo
Abogado Judicial
Lizama Abogados
