¿Es obligatoria la formación en protección de datos?
La formación como medida transversal para mitigar riesgos en protección de datos es clave. Los asesores solemos recomendar siempre a los responsables del tratamiento de datos que realicen formación, así como acciones de sensibilización en materia de protección de datos y de seguridad de la información, pero…¿es la formación en protección de datos una obligación legal?
La respuesta es sí, ya que, si bien en relación con la formación en protección de datos no existe ningún artículo que obligue “literalmente” al empresario a formar a la plantilla en materia de Protección de Datos, hay que tener en cuenta que los trabajadores son la maquinaria de cumplimiento. Aunque una empresa tenga un plan de Protección de Datos brillante, si no traslada a sus trabajadores las obligaciones y prohibiciones en este ámbito, el plan de Protección de Datos se convierte en papel mojado.
Es por ello que, si bien la normativa de manera literal no obliga a los responsables a formar a los trabajadores, sí prevé trasladar la responsabilidad por los incumplimientos realizados al responsable cuando éste no ha realizado formación efectiva y acreditable. Esto significa que si el trabajador incumple y la empresa no es capaz de acreditar que le había informado previamente de sus obligaciones, no podrá evadir responsabilidad por grave que sea el incumplimiento, ya que debió haber previsto que si el trabajador no conocía sus obligaciones no iba a cumplirlas. Con lo cual, el responsable del tratamiento podría verse sujeto a una sanción económica importante impuesta por la Autoridad de Control.
Podemos ilustrar este planteamiento a través de un ejemplo.
Un trabajador de la recepción de un hospital recibe una llamada de una persona que le pregunta si el paciente Fulano Rodríguez está hospitalizado, por qué patología, y en qué habitación. El trabajador revisa sus registros y facilita la información. ¿Ha actuado correctamente? No, los pacientes tienen derecho a la confidencialidad de su información, y si no han autorizado que se facilite esta información a terceros, no puede informarse a cualquier persona de su padecimiento o localización en el hospital. En este caso estaríamos ante un incumplimiento grave del Reglamento (Ue) 2016/679 de 27 de Abril De 2016 (RGPD) y la Ley 3/2018 de 5 de diciembre de protección de datos y garantía de los derechos digitales (LOPDGDD).
Pero ¿Quién asumirá la responsabilidad ante esta infracción? Si la entidad previamente ha realizado acciones de formación de la plantilla (no necesariamente cursos), explicando a cada trabajador sus obligaciones, y es capaz de acreditarlo, podría utilizarse esta medida como defensa legal. Sin embargo, si el trabajador no ha sido informado o formado en relación con esta medida, o si la empresa no puede acreditarlo, la responsabilidad íntegra recaerá sobre el Hospital, quien tendrá muy probablemente que afrontar una multa que podría ser millonaria.
En tal sentido, de cara a mitigar riesgo de sanciones, la formación en protección de datos de la plantilla es una medida clave para las empresas.
Cabe destacar que existe una referencia en la LOPDGDD (artículo 88.3) a la formación en materia de desconexión digital que sí viene taxativamente prevista.
Derecho a la desconexión digital en el ámbito laboral:
- El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.
En tal sentido puede decirse que, si bien la formación general en protección de datos es clave para evitar sanciones (que no literalmente obligatoria), la formación es materia de desconexión digital sí es obligatoria.
¿Qué tipo de formación debe impartirse?
Debe tratarse de formación sencilla, que si bien puede ser un curso (bonificado o no) que contenga conceptos básicos, debe venir acompañado de una formación complementaria de carácter específico sobre las medidas de protección de datos que se deben aplicar en la empresa.
Si se imparte un curso general sobre la historia de la protección de datos y otros temas de menor importancia, pero no existe un módulo donde se traslada de manera específica y clara la información sobre las medidas, entonces esta formación no será efectiva ni cumplirá el objetivo perseguido de mitigar riesgos.
En Umbra Formación contamos con cursos online de protección de datos sencillos, dinámicos, que contienen videos, juegos, no obstante, siempre consideramos necesario que, después de finalizado el curso, el asesor o delegado de protección de datos mantenga un encuentro con la plantilla para aclarar aspectos específicos del sector o la empresa.
¿Necesitas ayuda para formar a tu plantilla en protección de datos? Contáctanos en
Lilliam Valenzuela Abogada Socia DPD Certificado
