A la hora de implantar en una empresa unos modelos de cumplimiento o compliance, con el fin de evitar la responsabilidad penal de dicha empresa, por los delitos que comentan sus empleados, se deben poner en practica medias y procedimientos que afectan a la formación y control de las actividades desarrolladas por estos empleados, motivo por el cual deberá tenerse en cuenta el cumplimiento de las condiciones y requisitos de privacidad de los datos personales.
El código penal establece los requisitos de supervisión, vigilancia y control que debe cumplir una empresa para no verse afectada por los delitos que cometan sus trabajadores, en el caso de que la comisión de dichos delitos revierta en una ventaja o beneficio para la empresa. Y estas medidas comienzan con un análisis de los posibles delitos penales que pueden cometerse por los empleados, y a partir de este análisis, llevar a cabo las acciones de control y vigilancia sobre todo lo que realizan los trabajadores para evitar que cometan estos delitos, o en el peor de los casos, para detectar los delitos cometidos.
Al estar relacionadas las medidas del compliance con las acciones de los empleados, las acciones que se lleven a cabo, vendrán relacionada con la recogida y análisis de información y datos de dichos empleados. Así por ejemplo, se recabarán datos de su capacitación, las funciones encomendadas, la forma en la que realizan estas funciones, los delitos que puedan cometer, y al final del todo las denuncias de los delitos que cometan. Por tanto se deberán tener en cuenta en los programas de compliance las exigencias de privacidad o protección de los datos de carácter personal.
Estas implicaciones de la privacidad en las actividades de supervisión, vigilancia y control de los empleados, comienzan desde el primer momento, cuando son seleccionados para un puesto de trabajo, ya sea por su contratación, por su promoción o por la simple designación de un puesto o función. A partir de este momento ya se iniciarán unos tratamientos de datos distintos a los que se venían haciendo antes de implementar los programas de cumplimiento normativo, comenzando desde de este instante la necesidad de garantizar los derechos de los trabajadores y el cumplimiento de los principios sobre el tratamiento de los datos de carácter personal.
Posteriormente se controla el desempeño de su trabajo, conociendo no solo el puesto que se la ha asignado en la compañía, sino también la forma que llevan a cabo su trabajo. Para ello se pueden llevar a cabo diferentes acciones, pero derivarán la mayoría de ellas en la recogida de información del propio trabajador. Ya sea porque se supervisa el uso de los diferentes recursos puestos a disposición del trabajador por la empresa, como pueden ser los dispositivos electrónicos, como los ordenadores y teléfonos móviles; se supervisan los permisos y autorizaciones para el uso de infraestructuras de la empresa, como las cuentas de usuario, claves de acceso, tarjetas de identificación; se controlan los contenidos e información transmitida con otros empleados, clientes, proveedores. En general todo tipo de información relacionada y vinculada con una persona física, el empleado.
Todas estas labores de supervisión, vigilancia y control del trabajador suponen la captación de datos personales del trabajador, que en muchos casos no solo se ciñen a información del desempeño de su trabajo, sino que también estarán relacionados con su vida personal e incluso con su personalidad.
También se nutre la empresa de información y datos de sus empleados, no por la propia labor de vigilancia y control, sino por la labor que realizan los propios trabajadores, dado que entre otras de las medidas que se adoptan en el compliance son los canales de denuncias o whistleblowing, donde son los propios trabajadores quienes denuncian las acciones de otros compañeros. En estos mecanismos de denuncias entre trabajadores se debe tener en cuenta la protección del denunciante, ante las posibles represalias y amenazas por el resto de compañeros, como la protección de denunciado, ante la posibilidad de denuncias falsas. Por lo que deberá garantizarse en todo momento la confidencialidad de estos canales de denuncia.
Todas estas exigencia del cumplimiento de la privacidad en el manejo de los datos de los trabajadores obliga a la empresa, al establecer las medidas de supervisión, control y vigilancia del compliance, a garantizar los derechos de los trabajadores al tratar sus datos de carácter personal, así como a cumplir los principios de la protección de datos, como el de calidad, información, consentimiento, seguridad, confidencialidad,…..
El hecho de implantar un programa de cumplimiento normativo o compliance puede evitar a la empresa la responsabilidad por los delitos penales que puedan cometer sus empleados. Pero el no cumplimiento por parte de la empresa de las exigencias sobre la privacidad en el tratamiento de los datos de carácter personal, a la hora de implementar el compliance, si supone para la empresa una responsabilidad, que derivará en una sanción económica, a parte de la repercusión mediática que afectará a su reputación y credibilidad.
Gonzalo M.Flechoso
Abogado-CISA