La Revista

La legislación varía si la empresa ha implantado o no medidas técnicas y organizativas para la protección de datos

De sanción a despido: ¿qué pasa por robar datos sanitarios confidenciales?


17 dic. 2021 12:10H
SE LEE EN 5 minutos
POR SARA CABRERO
¿Qué le puede ocurrir a un empleado si roba datos de su empresa? ¿Qué medidas puede tomar una compañía para proteger información confidencial? Después de que el pasado mes de noviembre Pfizer amenazase con el despido de uno de sus trabajadores por, supuestamente, haber compartido en internet miles de archivos de la farmacéutica, incluidos algunos relacionados con la vacuna contra el Covid-19, en Redacción Médica nos hemos preguntado qué dice al respecto la legislación española, cuáles son las consecuencias y qué puede hacer la empresa para preservar los datos más valiosos.

Ricardo De Lorenzo Aparici, director del Área de Derecho Digital de De Lorenzo Abogados, explica a este periódico que la legislación varía en función de si la empresa ha implantado o no medidas técnicas y organizativas para cumplir con la normativa de protección de datos. En el primer caso, el empleado se enfrenta a tres situaciones diferentes según la perspectiva desde la que se aborde (laboral, civil o penal).


Si un empleado incumple la normativa de protección de datos de la compañía, la empresa puede abordar la infracción desde tres perspectivas distintas: laboral, civil o penal 



Desde el punto de vista laboral, el letrado informa de que el robo de datos y/o documentos “supondría un incumplimiento del deber de confidencialidad y sigilo profesional de los trabajadores” (recogido en el artículo 5a del Estatuto de los Trabajadores) que podrían derivar tanto en sanciones como amonestaciones, suspensiones de empleo y sueldo e, incluso, el despido, siempre que suponga “un incumplimiento grave y culpable”, matiza De Lorenzo Aparici.

También se trata de una infracción que vulnera el cumplimiento del artículo 1258 del Código Civil, en el que se recoge que “los contratos se perfeccionan por el mero consentimiento, y desde entonces obligan, no sólo al cumplimiento de lo expresamente pactado, sino también a todas las consecuencias que, según su naturaleza, sean conformes a la buena fe, al uso y a la ley”, añade el experto.

Por último, desde el punto de vista penal, el artículo 3.1. de la Ley 1/2019 “considera ilícita toda copia no autorizada de dichos datos, y en el caso de que la conducta fuera tendente a su revelación frente a terceros (por ejemplo, otros laboratorios interesados en adquirir datos de investigaciones realizadas con pacientes o datos de pacientes potenciales), podría alcanzar la consideración de un delito de descubrimiento de secretos, castigado con el artículo 197 del Código Penal”, defiende el abogado.

La legislación española demanda pruebas a la compañía si quiere emprender acciones penales o despedir al trabajador por incumplir la normativa de protección de datos



Con todo, De Lorenzo Aparici recuerda que, para el ejercicio de acciones penales o de despido del trabajador, el empresario debe tener pruebas. Así, recomienda al empleador medidas técnicas como el cifrado de la información confidencial corporativa; la instalación, configuración y actualización de cortafuegos; la monitorización y control de equipos o las herramientas de control de dispositivos externos de almacenamiento y dispositivos extraíbles como USB para evitar fugas de información. Mientras, las medidas organizativas que podrían implantarse son, entre otras, acciones de formación y/o concienciación y la firma de contratos de confidencialidad e instrucciones del tratamiento “que permitan, no solo dar a conocer las obligaciones del trabajador en lo que respecta al tratamiento de datos, sino repetirles el importe de las infracciones impuestas por las autoridades de control”, indica.

No obstante, destaca que si no se cuenta con esta última opción se podría igualmente proceder a la imposición de amonestaciones o sanciones. También sería posible el despido del trabajador “de conformidad con la graduación de la infracción”, así como el ejercicio de acciones penales siempre y cuando la compañía cuente con evidencias, advierte.

La pena de cárcel, descartada por falta de competencias 


Mientras, la pena de cárcel por incumplir la normativa de protección de datos no es posible a día de hoy dada “la falta de competencias en materia penal que padecen las instituciones europeas”, declara. Por ello, recuerda que el artículo 84 RGPD señala que "los Estados miembros deben elaborar un desarrollo normativo sancionador aplicable a las conductas que constituyen infracciones de derechos, en particular las infracciones que no se sancionen con multas administrativas y que las mismas deben ser efectivas, proporcionales y disuasorias”.

Es por esta razón que, desde De Lorenzo Abogados, recomiendan una buena formación de los responsables del área de protección de datos como medida preventiva y reactiva pues, en este caso, conocerán los mecanismos de defensa de los que disponen si hay una infracción.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.