ARTÍCULO. Iván Blume, nuestro asociado especialista en Derecho Laboral, Asuntos Migratorios, y Privacidad y Protección de Datos Personales, informa sobre la implementación de un software con la finalidad de prevenir la comisión del delito en el tratamiento de datos personales.
“Todo acceso a información de carácter personal debe cumplir con el principio de seguridad, el cual establece que, independientemente del tratamiento realizado, es obligación de la empresa establecer medidas técnicas, organizativas y legales.”
Publicado en el Portal Web Enfoque Derecho
En el marco de las acciones de corporate compliance, las empresas pueden iniciar investigaciones internas que involucren a sus trabajadores, con el propósito de identificar y evitar riesgos operativos y legales, así como para determinar la verosimilitud de las denuncias recibidas a través de los canales internos de la empresa, y ―en su caso― tomar las acciones correctivas y legales que resulten pertinentes.
Antes de iniciar un procedimiento de investigación interna, sea por la sospecha de fraude, comisión de delitos, incumplimiento del código de conducta o reglamentos internos de la empresa, entre otros; uno de los aspectos fundamentales que debemos de tener en cuenta es el cumplimiento de la normativa de protección de datos personales.
Al respecto, la Ley No. 29733 y su Reglamento (aprobado por el Decreto Supremo 003-2013-JUS), aplican a los datos personales contenidos o destinados a ser contenidos en una base de datos personales pública o privada en el Perú. Es decir, en el contexto anteriormente descrito, protegen la información personal de las personas involucradas en el procedimiento de investigación interna (ej. los datos personales de los trabajadores).
Las pruebas obtenidas en violación a estos preceptos podrían ser cuestionadas por inválidas y, eventualmente, poner el riesgo las imputaciones penales o laborales (medidas disciplinarias) que se sostengan sobre dichas pruebas.
A propósito de lo antes señalado, recientemente la Autoridad Nacional de Protección de Datos Personales ha emitido la Opinión Consultiva No. 035-2022-JUS/DGTAIPD, en la cual se desarrollan parámetros para el tratamiento de datos personales por parte del empleador en el marco de una investigación interna que involucraba la implementación de un software con finalidad de prevención de comisión del delito.
En primer lugar, la Autoridad de Protección de Datos Personales señaló que el tratamiento de datos personales para fines de fiscalización laboral se exceptúa de la obligatoriedad de la obtención previa del consentimiento del titular de los datos por estar enmarcado en la ejecución de una relación contractual.
En efecto, la Ley de Protección de Datos Personales precisa que no se requiere el consentimiento del titular de datos personales cuando los datos sean necesarios para la ejecución de una relación contractual, lo cual determina que el tratamiento de datos personales para fines de control laboral se exceptúa de la obligatoriedad de la obtención previa del consentimiento por parte del empleador.
Sin embargo, esta prerrogativa no exime al empleador de cumplir con las demás obligaciones en materia de protección de datos personales.
Así, en segundo lugar, el empleador tiene el deber de informarle al trabajador acerca del tratamiento de sus datos personales, siempre que éste se realice de forma justificada, como, por ejemplo, para la detección de actividades ilícitas o el incumplimiento de las obligaciones contractuales del trabajador. Asimismo, es deber del empleador comunicarle al trabajador los alcances de la investigación, la información accedida y los encargados del tratamiento de datos (ej. consultores, abogados, etc.).
Para ello, esta información debe colocarse en una política, aviso de privacidad o cláusula informativa que se le debe proporcionar al trabajador, para lo cual se debe observar los requisitos del artículo 18 de la Ley de Protección de Datos Personales; respetando, de esta forma, el derecho de información del titular de los datos personales.
En tercer lugar, el empleador debe cumplir con el principio de proporcionalidad, es decir, el acceso a los datos personales debe ser adecuado y no excesivo en relación a la finalidad perseguida.
Así, por ejemplo, en la Opinión Consultiva, la Autoridad Nacional de Protección de Datos concluye que es viable la instalación en las computadoras del empleador de un software que detecta si un trabajador tiene acceso ha cometido un determinado delito. Ello, siempre y cuando existan indicios o sospechas razonables de la comisión del delito en cuestión. De esta forma, se justifica la necesidad de acceso a la información del trabajador, siempre que la data obtenida esté directamente vinculada a la finalidad de la investigación interna. Se omite datos personales ajenos a la investigación, como, por ejemplo, información de carácter personal o familiar no vinculada a la investigación.
Por el contrario, a entender de la Autoridad el software en cuestión no puede implementarse de forma aleatoria en las computadoras asignadas a los trabajadores sobre los cuales no existan indicios o sospechas de la comisión del delito, pues ello violaría el principio de proporcionalidad.
En cuarto lugar, todo acceso a información de carácter personal debe cumplir con el principio de seguridad, el cual establece que, independientemente del tratamiento realizado, es obligación de la empresa establecer medidas técnicas, organizativas y legales para garantizar la seguridad de los datos personales, a fin de evitar, su pérdida, alteración o acceso no autorizado.
Las medidas de seguridad mínimas están reguladas en los artículos 39 al 46 del Reglamento de la Ley de Protección de Datos Personales, comprendiendo, respecto al tratamiento automatizado de la información digital, el control de acceso a la información tratada y la generación y mantenimiento de registros que provean evidencia de las interacciones con los datos lógicos, así como la medidas de seguridad física para la información no digitalizada (ej. cerraduras para evitar el acceso de personal no autorizado). Por ejemplo, copias de seguridad o la implementación de mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
Finalmente, el empleador debe cumplir el deber de confidencialidad, a través del cual los encargados del tratamiento deben guardar confidencialidad respecto los datos tratados. Por ejemplo, suscribir convenios de confidencialidad con los encargados de la investigación.
En conclusión, para el adecuado cumplimiento de protección de datos en el contexto de investigaciones internas que involucren al personal, recomendamos lo siguiente: (i) implementar una política interna que regule el alcance del tratamiento de datos personales para el cumplimiento corporativo y que permita cumplir con el deber de información hacia los trabajadores, y (ii) preservar la proporcionalidad, seguridad y confidencialidad durante la investigación interna.
REFERENCIAS
