ACUERDOS ESCRITOS
Acuerdos internos de confidencialidad para empleados
Es común tener acuerdos internos de confidencialidad para los empleados dentro de una empresa. Alternativamente, una cláusula de confidencialidad en el contrato de trabajo. Además, es importante incluir una cláusula de confidencialidad en los acuerdos de tratamiento de datos.
Los acuerdos escritos son los más apropiados
En muchos casos, los acuerdos orales y escritos son igualmente válidos, pero es más fácil probar los acuerdos escritos en caso de disputa. Por lo tanto, se recomienda celebrar acuerdos por escrito. Sin embargo, no hay requisitos formales de que los acuerdos de confidencialidad deban ser por escrito para que sean válidos, lo que significa que en teoría pueden ser verbales. Sin embargo, puede dar lugar a problemas con respecto a la evidencia del alcance del acuerdo de confidencialidad oral, y por lo tanto debe ser por escrito.
Acuerdos de confidencialidad o una cláusula de confidencialidad en el contrato de trabajo
El empleador debe celebrar un acuerdo separado de confidencialidad con sus empleados, en lugar de incluir solo una cláusula de confidencialidad en el contrato de trabajo. Puede ser que las partes externas soliciten ver el alcance de la confidencialidad acordada. Entonces es más fácil presentar los acuerdos internos de confidencialidad celebrados por separado para los empleados, que pueden ser un anexo al contrato de trabajo. Los acuerdos internos de confidencialidad para los empleados rara vez contienen datos personales sensibles a la privacidad, a diferencia del contrato de trabajo.
Una alternativa a los acuerdos internos de confidencialidad para los empleados es establecer una política de confidencialidad, que se aplica a todos los empleados. En tales casos, debe hacerse referencia a la política en el contrato de trabajo y que el empleado se compromete a cumplirla. Esto significa que cada empleado individual no tiene que firmar la política de confidencialidad.
Posibles consecuencias sin requisitos claros de confidencialidad
- Fugas de datos u otras formas de divulgación no autorizada de datos personales;
- Daños a los interesados debido a la ocurrencia de violaciones de datos personales, como el acceso no autorizado a datos personales debido a una violación de la confidencialidad.
- Multas de los reguladores por incumplimiento del RGPD.
Incluir cláusula de privacidad en los Acuerdos de Procesamiento de Datos
De conformidad con el artículo 28, apartado 3, letra b), del RGPD, un acuerdo de tratamiento de datos debe ser por escrito. Además, el contrato debe incluir una cláusula en virtud de la cual el encargado del tratamiento garantice que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad, o que están sujetas a un deber legal adecuado de confidencialidad. Si esto no se indica en el Acuerdo de procesamiento de datos, no está completo y viola el artículo 28 del RGPD. El responsable del tratamiento también tiene derecho a revisar el cumplimiento del Reglamento por parte del encargado del tratamiento. Por lo tanto, es bueno si el procesador elabora acuerdos internos de confidencialidad para sus empleados.
Ejemplos de datos personales a los que los empleados a menudo tienen acceso
Nombre, dirección de correo electrónico, número de teléfono, dirección postal, historial de compras y otros datos personales pertenecientes a los clientes de la empresa, registrados en el sistema informático de la empresa (por ejemplo, registro de clientes, sistema financiero, sistema CRM, etc.). Si los clientes son clientes corporativos, a menudo se procesan los datos personales de sus personas de contacto y representantes.
Nombre, número de teléfono, dirección de correo electrónico y cualquier otro dato personal de otros empleados de la empresa.
Datos personales sensibles de conformidad con el artículo 9 del RGPD registrados en los sistemas de la empresa. Por ejemplo, información sobre baja por enfermedad, posibles alergias, discapacidades u otros datos de salud, información sobre afiliación sindical o similares.
No todos los empleados siempre necesitan tener acceso a los datos personales
No siempre es necesario que todos en una empresa tengan acceso a todos los datos personales que se procesan. Especialmente si se trata de datos personales sensibles a la privacidad. Por lo tanto, es importante implementar una gestión de autorización adecuada. Por ejemplo, un CFO que maneja toda la contabilidad diaria y la nómina en la empresa generalmente necesita procesar datos personales sobre todos los empleados. Esto incluye información sobre su posible baja por enfermedad, que son datos personales sensibles. Sin embargo, no es necesario que todos los demás empleados de la empresa tengan acceso a estos datos personales.
¿Qué debe contener un acuerdo de confidencialidad?
Definir lo que es confidencial
Es importante definir exactamente lo que se clasifica como confidencial. Es decir, el alcance de la obligación de confidencialidad y el significado del término «información confidencial». Por ejemplo, información sobre clientes, sistemas específicos, datos personales y similares.
Aclarar la prohibición
Deje claro que no está permitido difundir la información a terceros, sin una base jurídica válida en virtud del RGPD y sin una necesidad real de intercambio de datos.
Requisitos para proteger los datos personales
El acuerdo de confidencialidad debe incluir requisitos para proteger los datos personales. Por ejemplo, al no permitir que los empleados lean información clasificada en lugares públicos y almacenen información clasificada de una manera suficientemente segura. Es importante que el empleado se comprometa a tomar las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales del acceso, divulgación y uso no autorizados.
Duración de la confidencialidad
No es raro que la confidencialidad siga siendo vinculante incluso después de la terminación del empleo, ya sea indefinidamente o durante un cierto número de años. Es importante aclarar en el acuerdo la duración de la confidencialidad tras la rescisión del contrato de trabajo.
Consecuencias del incumplimiento
Asegúrese de incluir lo que sucede si el empleado viola la confidencialidad. Por ejemplo, puede tener consecuencias en la legislación laboral, como el despido o la dimisión.
Consulte otras políticas internas de la empresa
No es raro que en el acuerdo de confidencialidad también se haga referencia a otras políticas internas relacionadas aplicables, como la política de seguridad de TI o los diferentes procedimientos RGPD.
Aplicar la confidencialidad en la práctica
Tenerlo como parte del proceso de incorporación
Asegúrese de que todos los nuevos empleados estén informados sobre las reglas actuales de no divulgación, que los entiendan y firmen un acuerdo de no divulgación, antes de que tengan acceso a los datos personales.
Garantizar la formación periódica del personal
Puede ser útil recordar la confidencialidad y formar al personal con regularidad. Tenga en cuenta que los empleados deben entender lo que realmente significa el compromiso de confidencialidad en la práctica y cómo se mantiene.
¿Qué sucede durante el offboarding?
Es bueno recordar a los empleados que dejan de trabajar sobre la confidencialidad. A menudo, la confidencialidad también se aplica después de la terminación del empleo sin limitación en el tiempo, o por un período fijo.
Determinadas funciones y profesiones pueden requerir una mayor confidencialidad
Algunos roles profesionales (como finanzas, recursos humanos y servicio al cliente) pueden requerir una mayor confidencialidad, ya que estos empleados pueden tener acceso a información bastante sensible. Lo mismo se aplica a ciertos roles profesionales, como psicólogos y maestros.
Cuando puede ser realmente apropiado celebrar acuerdos internos de confidencialidad para los empleados
- Cuando los empleados utilizan sistemas de CRM para gestionar la información sobre los clientes de la empresa.
- Personas que administran datos personales del personal. Por ejemplo, consultores contables contratados externamente o el CFO.
- Las personas que trabajan con soporte informático y en su trabajo tienen acceso a información sobre los clientes o usuarios de los sistemas informáticos de la empresa.
APRENDE MÁS
Rutina de escritorio limpio
Otra medida de seguridad organizacional que puede ser buena para que las empresas implementen es una rutina de escritorio limpio y tener una política de escritorio limpio asociada. En otras palabras, que los empleados no dejen documentos u otra información que contenga datos personales u otros datos importantes sin supervisión o donde personas no autorizadas puedan verlos. Una rutina de escritorio limpio es una medida organizativa simple que puede reducir el riesgo de acceso no autorizado a la información.