Formación en protección de datos personales para empleados: ¿es necesaria?

Servicio

La formación de los empleados sobre la protección de datos personales es un elemento importante del sistema de protección de datos personales en todas las empresas. A menudo, es el ser humano el eslabón más débil que puede provocar incidentes graves que afecten la seguridad de los datos procesados. En el peor de los casos, el error de un empleado puede resultar en la pérdida de la reputación de la empresa o en una sanción económica severa.

¿Todos los administradores de datos personales tienen que impartir formación a los empleados?

El GDPR no menciona explícitamente la obligación de capacitar a los empleados en el campo de la protección de datos personales, pero se refiere claramente a ella en varios lugares. Uno de los puntos más importantes es el artículo 39, que define las tareas del delegado de protección de datos. El inspector es responsable de supervisar el cumplimiento de la GDPR, otras leyes de protección de datos de la Unión o de los Estados miembros y las políticas del controlador o procesador en el campo de la protección de datos personales, incluida la segregación de funciones, las actividades de concienciación y la capacitación del personal que participa en operaciones de procesamiento y auditorías relacionadas.

Es cierto que la disposición anterior no puede interpretarse como una orden inequívoca para realizar la formación, porque no todas las entidades económicas tienen que nombrar un delegado de protección de datos. Sin embargo, esto no significa que, en ausencia de un inspector, no exista la obligación de capacitar. En tal situación, sus funciones las lleva a cabo el administrador de datos personales (por ejemplo, el propietario de la empresa). Es obvio que la responsabilidad principal de la protección de datos personales recae en él. El administrador es responsable de quien procesa los datos personales en su nombre, otorgando cada vez autorizaciones a todas las personas de la empresa que tienen acceso a estos datos. Al responsable del tratamiento le interesa que estas personas tengan los conocimientos y las cualificaciones adecuados. Es imposible esperar que todos los empleados conozcan las disposiciones que rigen el procesamiento de datos personales y, además, puedan implementar estas disposiciones, teniendo en cuenta la especificidad de la empresa en la que trabajan.

Por tanto, la formación debe considerarse un elemento obligatorio de la actividad empresarial. Esta obligación se aplica a todas las empresas que procesan datos personales, incluso en la menor medida. Hoy en día, es difícil imaginar una empresa que opere sin el uso de estos datos. La excepción son las pequeñas empresas donde el propietario es responsable de todos los aspectos formales relacionados con la actividad empresarial. Luego emplea a personas que no tienen acceso a datos personales.

Ejemplo 1.

El empresario tiene un taller de reparación de automóviles. Emplea a dos empleados que reparan automóviles y no se comunican con los clientes de ninguna manera. En tal situación, la capacitación es completamente innecesaria, porque solo el administrador de datos personales (es decir, el propietario) procesa los datos personales en forma de empleados y datos de los clientes del taller.

Sin embargo, el ejemplo anterior es poco probable. En la práctica, es difícil privar por completo a los empleados del acceso a los datos personales. La situación descrita en el siguiente ejemplo es mucho más real.

Ejemplo 2.

El empresario tiene un taller de reparación de automóviles. Emplea a dos empleados que reparan automóviles y, por regla general, no se comunican con los clientes de ninguna manera. El propietario es responsable de los contactos con los clientes, es decir, organizar los tiempos de reparación, emitir facturas, etc. Sin embargo, de manera incidental, por ejemplo, en ausencia del propietario del taller, se producen las siguientes situaciones:

  • el empleado notifica al cliente por teléfono sobre la posibilidad de recoger el automóvil reparado;

  • el empleado solicita al cliente que proporcione datos del certificado de registro del vehículo para verificar la exactitud del pedido realizado para la pieza del automóvil;

  • el empleado entrega al cliente una factura personal por el servicio.

Cada una de las actividades mencionadas anteriormente implica el acceso a datos personales. En tal situación, el empleado debe tener conocimiento de cómo tratar con ellos. Así, el titular debe formar a los empleados en los procedimientos para la protección de los datos personales de los clientes.

¿Quién debería formar a los empleados?

No existen pautas precisas sobre el perfil de una persona que imparte formación a empleados en el ámbito de la protección de datos personales. Sin duda, debe ser competente, es decir, que demuestre los conocimientos y habilidades adecuados. Hay varias posibilidades:

  1. Si un delegado de protección de datos ha sido designado en una empresa, debe ser el responsable de la formación por tener las más altas competencias (aunque esto no significa que no pueda ser apoyado en esta área, por ejemplo, por una empresa externa especializada en la prestación de servicios de formación).

  2. Si su empresa no tiene un delegado de protección de datos, hay varias opciones para elegir:

    1. las capacitaciones las realiza el propietario, quien debe adquirir los conocimientos necesarios por su cuenta (una solución adecuada para pequeñas entidades);

    2. la capacitación la lleva a cabo un empleado designado (por lo que se deben garantizar las competencias apropiadas del empleado designado);

    3. una entidad externa que se ocupa de la formación en el ámbito de los datos personales.

Al elegir la solución adecuada, siempre se debe tener en cuenta la escala de procesamiento y su alcance. Si la actividad de la empresa se basa en gran medida en el tratamiento de datos personales, y las bases para el tratamiento se derivan, por ejemplo, de amplias disposiciones legales, conviene encomendar la formación de los empleados a especialistas cualificados en este campo.

¿Cuándo capacitar a los empleados sobre la protección de datos personales?

La formación de los empleados debe ser continua. Esto significa que deben organizarse cuando surja la necesidad. Hay al menos cuatro situaciones en las que la formación puede considerarse necesaria.

La primera situación es el momento antes de que el empleado comience a trabajar. El administrador de datos personales, al autorizar al empleado, declara que está listo para trabajar con datos personales. Por esta razón, antes de hacerlo, debe realizar un entrenamiento.

La segunda situación es un cambio en la ley. Cabe destacar que no se trata solo de modificar la Ley de Protección de Datos Personales o el RGPD. También se trata de las regulaciones de la industria, que a menudo son la base para el procesamiento de datos.

Otra situación que requiere formación es un cambio en la normativa interna o en la estructura organizativa de la empresa. Las regulaciones internas pueden ser, por ejemplo, una política de seguridad. Por otro lado, un cambio en la estructura de la empresa puede estar asociado con un cambio de tareas en puestos individuales o un cambio en la circulación de documentos que contienen datos personales. En cualquier caso, la formación de los empleados será muy deseable.

La última razón clara para impartir formación a los empleados es la ocurrencia de un incidente relacionado con los datos personales. En tal situación, un elemento importante de las acciones correctivas será la capacitación para indicar a los empleados las causas y consecuencias del manejo inadecuado de los datos personales y los procedimientos para evitar amenazas similares en el futuro.

¡Comience un período de prueba gratuito de 30 días sin condiciones!

¿Cómo se debe realizar la formación de los empleados?

Como en el caso del formador y la frecuencia de los entrenamientos, su forma también depende en gran medida de la elección del emprendedor. Los tipos básicos de formación son la formación directa e indirecta. El primero es el entrenamiento personal de un empleado o grupo de empleados por una persona calificada. Esta forma de contacto tiene muchas ventajas, la más importante de las cuales es la capacidad de interactuar con los empleados. La formación indirecta se basa en la transferencia sucesiva de materiales formativos o en la realización de formaciones en forma de e-learning. Esta forma es mucho más fácil de realizar, especialmente en las grandes empresas, pero la efectividad de dicha formación será sin duda mucho menor. Independientemente de la forma de formación, conviene dividir a los empleados según los procesos de tratamiento de datos personales en los que participan. Por ejemplo, formar por separado a los empleados del departamento de marketing, del departamento de recursos humanos, del personal de dirección, etc. Gracias a ello, el contenido de la formación se puede adaptar mejor a la especificidad del puesto desempeñado.

Resumen

Cada administrador de datos personales debería organizar una formación para los empleados en el campo de los datos personales. La única excepción son los empresarios que emplean a empleados que no tienen contacto con datos personales. Las competencias son clave en la selección de una persona que imparte la formación. No existe una frecuencia definida de capacitación requerida por ley. Sin embargo, deben organizarse antes de que el empleado comience a trabajar, después de cambios en las leyes o procedimientos generalmente aplicables adoptados en la empresa, y también después de que ocurra un incidente. La forma de formación debe adaptarse a las posibilidades organizativas de una determinada empresa, teniendo en cuenta al mismo tiempo que su eficacia es lo más importante.