Cuando hablamos de protección de datos surgen una serie de novedosos conceptos que con buen acierto y criterio (casi siempre) la propia ley se encarga de definir.
De entre esas nociones, aparece con especial trascendencia el concepto de Responsable del Fichero, persona (física o jurídica, pública o privada) que decide sobre la finalidad, contenido y uso del fichero que contiene datos de carácter personal (fichero y dato de carácter personal también definidos por la LOPD).
Sobre esta persona, el Responsable del Fichero, recae toda la responsabilidad de protección. Él es el que debe velar porque toda la normativa de protección de datos se destine precisamente a eso, a la efectiva protección.
Debe proceder a la notificación de ficheros a la AEPD, observar todo el elenco de medidas técnicas y organizativas destinadas a salvaguardar los datos, plasmarlas en un Documento de Seguridad, informar al interesado o afectado y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Pero ocurre que en el ámbito empresarial el Responsable del Fichero no efectúa el tratamiento de los datos de que es titular por sí mismo, sino que es su personal laboral (en exclusiva o conjuntamente con el propio Responsable) el que se encarga del tratamiento, del trabajo diario de relacionarse con datos de carácter personal.
Es por ello que la normativa sobre protección de datos (concretamente el Reglamento aprobado por el RD1720/2007 de 21 de diciembre, de desarrollo de la LOPD, art. 88) establece que las medidas recogidas en el Documento de Seguridad serán de obligado cumplimiento para el personal con acceso a los sistemas de información (es decir, a los sistemas, procesos o programas informáticos en los que se encuentran los datos de carácter personal). Y no es otro que el Responsable del Fichero (o el encargado del tratamiento, en su caso), el que debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento (art. 89 RD 1720/2007 de 21 de diciembre de desarrollo de la LOPD).
Por un lado tenemos que el responsable de las infracciones que puedan cometerse en el ámbito de la protección de datos es el Responsable del Fichero; es quien debe recabar, informar y probar (llegado el caso) el consentimiento del afectado en la recogida de datos, implantar las medidas técnicas y organizativas destinadas a su protección, ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.
Por otro lado nos encontramos con que quien debe hacer efectivas, en la práctica, estas medidas, son los propios usuarios del fichero, el personal laboral (o estatutario) del Responsable del Fichero.
De ahí la importancia de que el Responsable del Fichero informe al personal de sus derechos y obligaciones así como de la observancia de todo el conjunto de medidas técnicas y organizativas destinadas a la protección del dato.
Pero se entiende que la actitud del Responsable del Fichero respecto de su personal no ha de ser meramente informativa, cuanto más, va a ser él quien responda de la posible falta de diligencia de sus trabajadores. Es por eso que la normativa de protección de datos habla de “obligado cumplimiento”.
Entonces, ¿cómo puede el empresario hacer efectiva esa obligación?¿está realmente legitimado?¿pueden responder sus trabajadores por el incumplimiento de esas obligaciones?
Es en este punto cuando nos remitimos al poder de dirección del empresario y su principal manifestación, el poder reglamentario, establecido en el Estatuto de los Trabajadores (artículo 20 ET):
1. El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue.
2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.
3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
En relación con el artículo 5 del mismo cuerpo legal; deberes laborales básicos:
a) Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.
b) Observar las medidas de seguridad e higiene que se adopten.
c) Cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas.
La infracción de estos derechos-deberes por parte del trabajador nos lleva a la tercera potestad que el ET otorga al empresario: el poder disciplinario.
En palabras de Alonso García, el poder disciplinario es la facultad del empresario por la que éste puede imponer determinadas sanciones a los trabajadores ligados a él por relación laboral, cuando se den los supuestos determinantes de éstas, dentro de los límites legal o contractualmente señalados y con las garantías formalmente establecidas.
Los supuestos determinantes de las sanciones que el empresario puede imponer al trabajador no son otros que la propia infracción del artículo 20, que se resume en el deber de obediencia, de diligencia y de buena fe.
La sanción más grave que el empresario puede imponer en el ejercicio de su potestad disciplinaria es el despido, que sólo cabría en los incumplimientos por parte del trabajador establecidos en el artículo 54.2 del ET. Aunque es un artículo que debe interpretarse de modo restrictivo, la jurisprudencia ha establecido que en los supuestos de despido es necesario valorar las especiales circunstancias de cada caso, realizando una individualización del trabajador para determinar la sanción.
Podemos resumir que en las infracciones de la normativa sobre protección de datos será el Responsable del Fichero quien responda ante la AEPD, independientemente de que haya sido diligente a la hora de informar (y obligar) a sus trabajadores de sus obligaciones y medidas a adoptar en relación con la protección de datos, pero que si el empresario fue lo suficientemente cuidadoso en su política de protección de datos y la infracción se debe al incumplimiento o desidia del trabajador, aquel podría hacer uso de su potestad sancionadora, sin perjuicio de las posibilidades de repetición del Derecho Civil o incluso de las correspondientes penas que pudieran corresponder si la infracción de la protección de datos ha incluido la comisión de algún ilícito penal.