Por Iván Blume, Master of Industrial and Labor Relations (MPS) Cornell University. Abogado por la Universidad Católica del Perú. Asociado senior del Estudio Rodrigo, Elías & Medrano Abogados.

INTRODUCCIÓN

¿Hasta dónde debe una empresa responder por los actos de sus empleados? Esa pregunta no tiene una respuesta fácil. Según el artículo 1981 del Código Civil de 1984[1], cuando un empleado causa un daño, el empleador responderá de manera solidaria si este ocurrió en “el ejercicio del cargo o en cumplimiento del servicio respectivo”. Es lo que se conoce en derecho como “responsabilidad vicaria”. No siempre, sin embargo, es claro si una acción determinada puede considerarse parte de ese ejercicio o cumplimiento.

Pensemos, por ejemplo, en un empleado que por las funciones a su cargo tiene acceso y manejo de datos protegidos o información sensible sobre muchas personas. Las normas sobre protección de datos obligan al empleador a adoptar medidas de seguridad y confidencialidad para prevenir que sus empleados le den mal uso a la información que manejan y evitar que violen el derecho a la privacidad de las personas que han suministrado sus datos.

En ese sentido, si un empleado no cumple con las medidas de seguridad o las políticas del empleador, la empresa podría tener que responder ante los eventuales daños que se generen. Pero ¿qué pasa si las motivaciones que generaron ese mal manejo no tienen ninguna relación con las funciones o responsabilidad del cargo y no se pueden atribuir a fallas en las medidas o políticas de seguridad establecidas por el empleador? ¿qué ocurre, por ejemplo, si el trabajador publica los datos con el propósito deliberado de hacerle daño a la empresa?

EL CASO WM MORRISONS SUPERMARKETS PLC V VARIOUS CLAIMANTS

Una decisión reciente de la Corte Suprema de Gran Bretaña tuvo que abordar esa pregunta específica. Se trata de un caso en que un auditor senior de una cadena de supermercados reveló públicamente los datos personales y confidenciales de cerca de 126.000 trabajadores de la empresa, al parecer como una acción de represalia por una sanción disciplinaria. Los datos revelados incluían el nombre, la dirección, el sexo, la fecha de nacimiento, el número de teléfono, el número de seguro nacional, el código de clasificación bancaria, el número de cuenta bancaria y el salario de cada trabajador.

Mientras estaba haciendo sus labores de auditoría, el empleado accedió a esos datos, los copió y los subió a una carpeta de acceso público. Luego compartió enlaces a esa carpeta en varias páginas web. Lo hizo de manera anónima e intentando implicar a un compañero de trabajo que estaba relacionado con el caso disciplinario por el que había sido sancionado.

Luego, envió los datos en un CD a tres periódicos diciendo que era un ciudadano que había encontrado esa información en los sitios web mencionados. Hizo esto último el mismo día en que Morrisons Supermarkets (en adelante, Morrisons) debía publicar sus resultados financieros anuales, con el claro propósito de afectar la reputación de la compañía. Los periódicos no publicaron los datos y pusieron en sobre aviso a la empresa, quien actuó rápidamente para eliminar los datos de los sitios públicos y proteger la información de sus trabajadores. Las autoridades encontraron al responsable y este fue condenado a ocho años de prisión, aplicando las penas que contempla la ley británica de protección de datos.

Al mismo tiempo, 9.263 trabajadores presentaron una demanda civil contra Morrisons como responsable vicario de las acciones de su empleado. Las dos primeras instancias que revisaron el caso declararon fundada la demanda. Si bien no encontraron responsabilidad directa del empleador, pues la publicación de los datos no se podía atribuir a una política de la compañía ni a falta de medidas de seguridad, consideraron que los actos del trabajador se habían realizado «en el curso de su empleo» y, por tanto, la empresa tenía una responsabilidad vicaria.

La Corte de Apelaciones consideró, además, que la motivación del empleado era irrelevante para establecer si había configurado o no la responsabilidad vicaria. Lo importante, en su opinión, era que existía un «factor de conexión» entre el empleo del individuo y sus acciones, pues no podría haber revelado los datos si no hubiera tenido acceso a ellos en ejercicio de su trabajo.

Morrison apeló y el caso llegó a la Corte Suprema que emitió recientemente su sentencia definitiva. La decisión fue favorable a la empresa e hizo precisiones importantes sobre el alcance de la responsabilidad vicaria. Si bien aclaró que esta aplica a la protección de datos, puntualizó que en este caso específico no se había establecido dicha responsabilidad. Para el alto tribunal, la conducta ilícita debe tener una relación estrecha con su función y responsabilidades. No estuvo de acuerdo en que los motivos del individuo fueran irrelevantes, como lo había sostenido la Corte de Apelaciones. Consideró, en cambio, que era importante tener en cuenta que había actuado por razones puramente personales. Según ese criterio, no se configura la responsabilidad vicaria cuando el trabajador aprovecha las circunstancias o la oportunidad que le brinda su empleo, pero sus acciones ilegales no tienen ninguna relación con sus funciones o con los negocios que realiza la empresa.

ASPECTOS LEGALES 

Si bien la sentencia de la Corte Suprema de Gran Bretaña ofrece un referente favorable para la defensa de empleadores que puedan verse envueltos en situaciones similares, las decisiones preliminares de las otras cortes y todo el camino que recorrió el proceso muestran los riesgos que pueden derivarse de la responsabilidad que en general pueda tener el empleador sobre el manejo de datos personales que puedan efectuar sus empleados.

Por esta razón, es importante tener claras las obligaciones legales frente al manejo de los datos. En primer lugar, la Ley No. 29733, Ley de Protección de Datos Personales (LPDP) y su Reglamento, aprobado por Decreto Supremo No. 003-2013-JUS, regulan el tratamiento[2] de datos personales[3] de personas naturales contenidos o destinados a ser contenidos en bancos de datos[4] personales de carácter público o privado en el Perú. Contienen normas de orden público que deben ser respetadas a cabalidad tanto por las autoridades administrativas como por el sector privado.

En segundo lugar, se debe guardar confidencialidad sobre esos datos personales. Solo podrán ser relevados de la obligación de confidencialidad, a través de un consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o sanidad pública, sin perjuicio de guardar el secreto profesional (Artículo 17, LPDP).

En tercer lugar, se deben implementar medidas técnicas, organizativas y legales que garanticen la seguridad, confidencialidad y eviten su alteración, pérdida, tratamiento o acceso no autorizado de los datos personales. La Dirección General de Protección de Datos Personales ha emitido la Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales aprobada por Resolución Directoral No. 019-2013-JUS/DGPDP (Directiva de Seguridad), la cual establece estándares de seguridad según las características particulares de cada banco de datos.

Es importante recordar que el Tribunal Constitucional ha establecido que la protección de la intimidad incluye también la “información referida a deudas contraídas, aportes efectuados, descuentos efectuados, préstamos obtenidos, cargos cobrados, consumos realizados, contrataciones celebradas y todo tipo de afectaciones a las remuneraciones del trabajador consignados en la planilla de pago, (…) puesto que atañen a asuntos vinculados íntimamente con el entorno personal y/o familiar cercano y con el desarrollo personal de sus miembros, las que al quedar descubiertos podrían ocasionar daños irreparables en el honor y la buena reputación” (STC No. 05982-2009-PHD/TC, fundamento 12).

Por último, en el contexto actual la Autoridad de Protección de Datos Personales ha recordado que compartir información sobre la salud de una persona (COVID-19, factores de riesgo, entre otros), identificándola sin su consentimiento es una infracción a la LPDP, que puede ser sancionada con una multa de entre 21,500 y 215,000 soles. Por ejemplo, este sería el caso de un médico que revela información personal (el nombre, dirección, fotografía, historial clínico, etc.), a través de los medios de comunicación o redes sociales, sin el consentimiento del paciente.[5]

CONSEJOS DE TRABAJO

Para evitar o mitigar el riesgo por responsabilidad en situaciones como el caso descrito, además de adoptar las políticas y los protocolos para la protección de datos exigidos por la ley, el empleador debe asegurarse de que los empleados que tienen acceso a ellos sean supervisados, capacitados y monitoreados de manera adecuada. En esta línea, aconsejamos lo siguiente:

  • Asegurarse de que los trabajadores conozcan y apliquen las disposiciones legales, guías y lineamientos para el tratamiento y protección de los datos personales a los que tienen acceso.
  • Capacitar a sus trabajadores sobre estas regulaciones y su relación con el procesamiento y manejo de los datos que deben efectuar en cumplimiento de sus funciones y responsabilidades.
  • Revisar y, si es necesario, actualizar regularmente las políticas de privacidad, archivo y retención de la información.
  • Revisar los permisos de acceso a la información y establecer sistemas de seguridad que impidan el acceso no autorizado a los datos protegidos que maneja la empresa.
  • Suscribir convenios de confidencialidad con los empleados que manejen o tengan acceso a los datos protegidos o a la información sensible.
  • Documentar adecuadamente y supervisar la aplicación de todas las medidas anteriormente mencionadas.

En conclusión, en los casos en los que se cumplan los puntos arriba mencionados, el empleador contará con elementos sólidos para defenderse ante una demanda y sanciones administrativas por responsabilidad relacionada a la divulgación ilegal de datos personales por parte de sus empleados.


[1] “Aquél que tenga a otro bajo sus órdenes responde por el daño causado por éste último, si ese daño se realizó en el ejercicio del cargo o en cumplimiento del servicio respectivo. El autor directo y el autor indirecto están sujetos a responsabilidad solidaria”

[2] El numeral 17 del artículo 2, de la LPDP establece que tratamiento de datos personales significa cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

[3] El artículo 2, numeral 4 del Reglamento define como datos personales a “aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales o de cualquier tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que pueden ser razonablemente utilizados”.

[4] El artículo 2, numeral 2, de la LPDP señala que se entiende por banco de datos personales al “conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera se a la forma o modalidad de su creación, formación, almacenamiento, organización y acceso”.

[5] https://www.gob.pe/institucion/autoridad-nacional-de-proteccion-de-datos-personales/noticias/108842-divulgar-datos-personales-de-pacientes-con-coronavirus-puede-ser-multado-hasta-con-215-mil-soles.

Fuente de imagen: Newspreneur. 

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here