Confidencialidad y deber de secreto


El deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española.

Tal precepto, además de ser un pilar de garantía de los derechos a la intimidad y al honor es en sí mismo, el derecho a la libertad frente a las potenciales agresiones a la dignidad de la persona provenientes de un uso ilegítimo del tratamiento de los datos.

El deber de secreto es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la protección de datos, a que se refiere la STC 292/2000, y que persigue garantizar a cualquier persona un poder de control sobre sus datos personales, sobre su uso y destino, y por lo que ahora interesa, comporta que los datos personales no pueden ser conocidos por ninguna persona o entidad ajena, fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.

La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) contempla en el artículo 10 el deber de secreto profesional en el que se dispone que «El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».

Así, el Tribunal Superior de Justicia de Madrid ha declarado en su Sentencia núm. 361 dictada con fecha 19/07/01 que: «El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)».

Por tanto, el deber de secreto incumbe a los responsables que almacenen datos y a toda persona que intervenga en cualquier fase del tratamiento; y es que el desempeño de un trabajo, del tipo que fuere, que permita el acceso a datos personales, genera automáticamente la obligación de guardar secreto respecto de los mismos, inclusive en los casos de un trabajo temporal, subsistiendo dicha obligación, aún después de finalizadas las relaciones con el responsable del fichero. Por ejemplo, si como empleado de una empresa se tiene acceso a los datos de carácter personal contenidos en los ficheros de esa entidad, el trabajador tiene la obligación legal de guardar secreto y no transmitir dichos datos a nadie, incluso una vez que el empleado haya dejado de prestar servicios en dicha entidad.

Y es que en virtud de la prestación de los servicios que cualquier trabajador realiza dentro de la empresa a la que se encuentra vinculado laboralmente, dicho empleado puede tener acceso a documentos en soporte papel, documentos electrónicos, soportes informáticos, electrónicos y telemáticos susceptibles de contener información considerada confidencial, así como información relativa a datos de carácter personal, entendiendo por tales toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.

Es por esta razón que cualquier empresa debe recoger en los contratos laborales que suscribe con sus empleados, cláusulas por las que obligan a éstos a guardar el deber de secreto respecto de los datos personales a los que tengan acceso como consecuencia del desempeño de sus funciones en la empresa.

En estas cláusulas se debe garantizar que, tras la terminación de la relación laboral, el trabajador guardará igual secreto profesional respecto de la información confidencial y de los datos de carácter personal a que haya tenido acceso durante el desempeño de sus funciones, y devolverá inmediatamente cualquier soporte o documento en el que conste información confidencial o algún dato de carácter personal objeto del tratamiento, que por cualquier causa obrare en su poder, o la destruirá siguiendo los procedimientos de seguridad para el borrado de información establecidos por la empresa.

De igual manera, en los contratos de prestación de servicios suscritos entre los responsables de ficheros y los encargados del tratamiento con motivo de un acceso a datos por cuenta de terceros, se deben recoger cláusulas que obliguen a las empresas prestatarias a mantener la confidencialidad sobre los datos personales a los que acceden y tratan para cumplir con el servicio encomendado por el responsable.

La vulneración del deber de secreto puede ser constitutiva de infracción leve en materia de protección de datos. Si además, la información revelada se refiere a datos relacionados con la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la LOPD, la infracción será de carácter grave; y, finalmente, si como consecuencia del incumplimiento del deber de secreto y confidencialidad se revela información que contenga datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como datos recabados para fines policiales sin consentimiento de las personas afectadas, la infracción será muy grave.

Las sanciones impuestas por la Agencia Española de Protección de Datos al responsable del fichero o al encargado del tratamiento que cometa cualquiera de las infracciones previstas en la LOPD relacionadas con la vulneración del deber de secreto y confidencialidad de los datos personales, pueden oscilar entre los 601.01 y los 601.012,10 euros.

Precisamente, para evitar riesgos frente la apertura de un procedimiento sancionador por parte de la Agencia Española de Protección de Datos con motivo de alguna denuncia contra la empresa, se recomienda a cualquier entidad que lea estas líneas adoptar, entre otras medidas de adecuación a la LOPD dentro de su organización, Acuerdos de Confidencialidad para su firma por cada uno de los empleados y/o terceros que tengan acceso a los datos personales registrados en los ficheros responsabilidad de la empresa. Estos Acuerdos de Confidencialidad pueden incluirse como Anexo al Contrato de Trabajo suscrito entre el empleado y la empresa, o bien en documento aparte.

Sólo de esta manera, además de evitar la posible apertura de un procedimiento sancionador por parte de la Agencia Española de Protección de Datos, la empresa podrá constituir medios documentales de prueba válidos en Derecho que, en caso de fuga de información a la competencia -supuesto éste cada vez más frecuente en las empresas-, la empresa podrá derivar ante los Tribunales ordinarios, la correspondiente responsabilidad contra el empleado o el tercero que ha vulnerado el deber de secreto y confidencialidad de los datos de carácter personal.