Sanciones protección de datos a una empresa por culpa de sus empleados

¿Debería pagar una empresa por los actos de sus empleados?

Casos como este han ocurrido varias veces en los últimos años:

  1. Una clienta compra un producto a una tienda online en la que confía.
  2. La tienda online contrata el envío con una empresa de logística.
  3. Un empleado de la empresa de logística entrega el paquete a la clienta.
  4. Al poco tiempo después, el empleado utiliza los datos de la clienta para ponerse en contacto con ella vía whatsapp para “ligar con ella”.

Empleado acosa a clienta via whatsappEste es un claro ejemplo de mal uso de los datos de carácter personal.

La clienta entregó sus datos a la tienda online con una finalidad: Comprar un producto que le interesaba.

La tienda online encargó el tratamiento de los datos de su clienta a una empresa de logística con una finalidad: Que le entregasen el producto que la clienta había comprado.

Si la clienta se siente molesta con el “empleado ligón” y denuncia estos hechos a la Agencia de Protección de Datos, el resultado previsto es el siguiente:

 

1) Si la empresa a la que la clienta compró (la tienda online) puede acreditar que tiene debidamente implantada la protección de datos, tendrá firmado un contrato de “Encargado del Tratamiento” con la empresa de logística, pudiendo derivar la responsabilidad hacia esta última. De no ser así la tienda online se enfrenta a una importante sanción.

2) Si la empresa de logística puede acreditar que tiene debidamente implantada la protección de datos, tendrá un documento de confidencialidad y tratamiento de datos firmado por el “empleado ligón” (y por todos los demás) y le podrá demostrar a la AGPD que el único responsable de esa acción es el “empleado ligón”. La empresa deberá sancionarlo por la vía disciplinaria laboral (con amonestación o despido), pero la empresa no debería recibir ninguna sanción, puesto que ha tomado las medidas necesarias ANTES de que ocurriera. De no ser así, la empresa logística se enfrenta a una importante sanción.

Este tratamiento indebido de datos acabará mal para el infractor directo (el “empleado ligón”), y puede acabar mal también para otras dos empresas: Su empleador (la empresa de logística) y la tienda online donde la clienta realizó la compra, si no tienen bien implantado un sistema de gestión de la protección de datos.

Un buen sistema de gestión de la protección de datos es la única manera de poner cortafuegos ante las acciones de “empleados ligones”, “empleados cotillas”, “empleados desleales” y otras especies similares.

 

Nuevo Reglamento de Protección de Datos

Nuevo Reglamento de Protección de Datos

El 25 DE MAYO 2018 entrará en vigor el Reglamento Europeo de Protección de Datos, que armoniza la legislación en todos los estados de la Unión Europea bajo un mismo marco común.

Este nuevo reglamento que afecta a todas las empresas, empresarios individuales y organizaciones, y conlleva una serie de cambios respecto de la actual legislación:

OBLIGACIÓN DE REALIZAR UN ANÁLISIS DE RIESGOS. Identificando los tratamientos que realiza una empresa, los riesgos que pueden presentarse, y adoptando unas medidas.

CONSENTIMIENTO EXPRESO Y CLÁUSULAS INFORMATIVAS. Deja de permitirse el consentimiento tácito obligando a las empresas a revisar el conjunto de cláusulas informativas y rehacerlas.

NUEVOS DERECHOS DE LOS CIUDADANOS: Derecho a la portabilidad, derecho de supresión, derecho al olvido…

NOTIFICACIÓN DE BRECHAS DE SEGURIDAD. El responsable tendrá que notificar los fallos de seguridad a la Agencia Española y a los afectados en un plazo de 72 horas. Cada empresa tendrá que “auto-acusarse” así como informar a sus clientes de si sus datos han sido pirateados.

FORMACIÓN. Educación y sensibilización de los empleados que tratan datos en la aplicación de las nuevas obligaciones del RGPD.

CONTRATOS CON TERCEROS: Nuevas cláusulas que concretan el alcance de la relación entre el Responsable del Fichero y el Encargado del Tratamiento.

CREACIÓN DE LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS. El DPO (Data Protection Officer) tiene responsabilidad compartida y va a tener que identificar los riesgos y buscar las soluciones para solventarlos. Será obligatorio si están manejando grandes cantidades de datos sensibles o monitorizan el comportamiento de muchos consumidores.

En Adelopd estamos pendientes de todas las guías, orientaciones y directrices que va publicando la Agencia de Protección de Datos, modificando y adaptando nuestro sistema informatizado, para que el 25 de mayo de 2018, todos nuestros clientes, sigan cumpliendo la legislación de protección de datos.