5
Oct

Sobre el buen gobierno corporativo

Entre febrero de 2009 y febrero de 2010, la OCDE emitió tres informes evaluando las causas de la grave crisis financiera sufrida y poniéndolas en consonancia con los principios de Buen Gobierno que desde el año 1999 se habían establecido en el seno de esta organización internacional.

Entre las principales debilidades detectadas por este organismo en las entidades financieras con mayor impacto en la crisis, se establecieron cuatro:

a) Las retribuciones
b) La gestión de los Riegos
c) Las Prácticas del consejo de administración
d) El ejercicio de los derechos de los accionistas

De aquellos barros vienen los lodos en los que hoy en día nos movemos en relación con entidades financieras a las que ha habido que rescatar con dinero público. En este sentido, la errónea y temeraria política de retribuciones de los miembros del consejo de administración de entidades rescatadas, está sentando en el banquillo a administradores que, en plena crisis y eludiendo en algunos casos los mecanismos de control de sus decisiones, optaron por atribuirse bonus sobre beneficios por los que ahora responden en vía penal. Los delitos que se les imputa son los de apropiación indebida y/o administración desleal.

Este ultimo delito es atribuible a las prácticas del consejo de administración que han sido señaladas como uno de los puntos débiles en las entidades que más han ahondado en la crisis. Por otra parte la deficitaria gestión de los riesgos se intenta paliar en el futuro con la Ley de Sociedades publicada en el 2014 que hace de esta obligación (la gestión del riesgo, incluidos los fiscales), una atribución indelegable del consejo en las sociedades cotizadas.

Para terminar, la vulneración del ejercicio del derecho inherente a los socios-auténticos propietarios de la empresa-sigue siendo perseguido por los Tribunales en sus vertientes civil y penal. Entre estos derechos está el de aprobar la cualificación que deben tener los miembros del órgano que gestiona su patrimonio, esto es el consejo de administración y el perfil, aptitudes, integridad, independencia y compromiso de los que lo integran.

Iñigo Gómez
Director General Gobercom

(fuente: Web Gobercom)

2
Oct

IV. Terceros intervinientes y los códigos de conducta y certificación (III)

  1. EL DELEGADO DE PROTECCIÓN DE DATOS

La figura del Delegado de Protección de Datos viene recogida en los art. 37 a 39 y en el considerando 97.

Artículo 37: Designación del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:
    1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
    2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
    3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (Tratamiento de categorías especiales de datos personales)y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).
  2. Un grupo empresarial podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento.
  3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único Delegado de Protección de Datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
  4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un Delegado de Protección de Datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El Delegado de Protección de Datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
  5. El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 (Funciones del Delegado de Protección de Datos).
  6. El Delegado de Protección de Datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
  7. El responsable o el encargado del tratamiento publicarán los datos de contacto del Delegado de Protección de Datos y los comunicarán a la autoridad de control.

Artículo 38: Posición del Delegado de Protección de Datos

  1. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  2. El responsable y el encargado del tratamiento respaldarán al Delegado de Protección de Datos en el desempeño de las funciones mencionadas en el artículo 39 (Funciones del Delegado de Protección de Datos), facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  3. El responsable y el encargado del tratamiento garantizarán que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El Delegado de Protección de Datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  4. Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
  5. El Delegado de Protección de Datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  6. El Delegado de Protección de Datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Artículo 39: Funciones del Delegado de Protección de Datos

  1. El Delegado de Protección de Datos tendrá como mínimo las siguientes funciones:
    1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
    2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
    3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 (Evaluación de impacto relativa a la protección de datos);
    4. cooperar con la autoridad de control;
    5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 (Consulta previa), y realizar consultas, en su caso, sobre cualquier otro asunto.
  2. El Delegado de Protección de Datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

  1. Alcance

La designación de un Delegado de Protección de datos es obligatoria para el responsable y encargado de tratamiento en los supuestos en los que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

Es necesario, por tanto, tener la condición de autoridad u organismo público o realizar actividades a gran escala de monitorización o de observación habitual y sistemática de los interesados, o de categorías especiales de datos o aquellos relativos a condenas o infracciones penales. Es importante, por tanto, resaltar que nuevamente se incorpora el concepto gran escala, es decir, no sólo deben de existir tratamientos de categorías especiales de datos o tratamientos sistemáticos habituales del interesado, si no que los mismos deben de ser realizados a gran escala.

Por tanto, al igual que en la Evaluación de Impacto, es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

En este sentido los tratamientos a nivel local, aunque se realicen a través de tratamientos sistemáticos habituales o de categorías especiales de datos, no supondrán la obligación de designación de un Delegado de Protección de Datos ya que los mismos no se producen a nivel regional, nacional o supranacional.

No obstante, el principio de Accountability o Responsabilidad Proactiva demanda la existencia de un órgano de control que vele por el cumplimiento del RGPD en la empresa u organización, siendo por tanto recomendable encomendar dichos trabajos de verificación y supervisión del cumplimiento a una Persona física u órgano colegiado que se encargará de la eficaz implantación del RGPD dentro de la organización o empresa. A este respecto, llama la atención la referencia que se realiza en el art. 47.2 h) relativo al contenido de las normas corporativas vinculantes:

  1. h) las funciones de todo Delegado de Protección de Datos designado de conformidad con el artículo 37 (Designación del delegado de protección de datos), o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones;

Consideramos por tanto, que si bien no es necesario su nombramiento y por tanto no sancionable su designación es recomendable su existencia como órgano de supervisión del cumplimiento del RGPD en la organización o empresa.

En los supuestos de grupos empresariales se podrá nombrar un único Delegado de Protección de Datos siempre que sea fácilmente accesible desde cada establecimiento. Igualmente, en el caso de autoridades u organismos públicos, se podrá designar un único Delegado de Protección de Datos para varias autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39 del RGPD. Así mismo podrá ser externalizado o formar parte de la plantilla del responsable o encargado. Sus datos de contacto deberán ser publicados y comunicados a la Autoridad de Control competente. A este respecto conviene señalar que no necesariamente se deben publicar el nombre y apellidos del Delegado de Protección de Datos bastando identificar los datos de contacto del mismo.

 

  1. Contenido

En el art 38 de RGPD se establece la Posición del Delegado de Protección de Datos

  • Debe participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le deberán facilitar los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
  • No puede recibir instrucciones en lo que respecta al desempeño de dichas funciones.
  • No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
  • Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  • Los interesados podrán ponerse en contacto con el Delegado de Protección de Datos para cualesquiera cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
  • Estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
  • Podrá desempeñar otras funciones y cometidos, debiendo garantizarse que las mismas no den lugar a un conflicto de intereses.

Respecto a las funciones del Delegado de Protección de Datos el art. 39 del RGPD señala que las funciones mínimas serán:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les conforme al RGPD, así como de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • Supervisar el cumplimiento de lo dispuesto en RGPD y de otras disposiciones o políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del RGPD.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 


  • El Delegado de Protección de Datos será obligatorio en los supuestos de autoridades y organismos públicos, y en los supuestos de tratamiento a gran escala de datos para actividades de tratamientos sistemáticos habituales o tratamientos de categorías especiales de datos.
  • Puede ser externalizado.
  • Debe tener conocimientos especializados en Derecho y en la práctica de Protección de Datos
1
Oct

¿Se puede acceder al correo electrónico de un trabajador despedido?

Cuando un trabajador es despedido en la empresa nos surgen una serie de cuestiones y preguntas respecto al acceso a la información que gestionaba dicho trabajador en nombre de la empresa….

¿puedo acceder a los correos electrónicos que envió y recibió desde su ordenador?
¿puedo acceder a los archivos que almacenó en la gestión de su trabajo?
¿puede acceder la persona que le sustituye a las carpetas e información que gestionaba?
¿qué debo de hacer con su cuenta de correo electrónico creada?
¿si accedo a sus mensajes de correo electrónico estoy cometiendo un delito?

Vamos a intentar responder a estas cuestiones que nos surgen en el día a día de la empresa y esclarecer en la medida de lo posible dichos accesos a la información del trabajador.

El acceso a la información del trabajador y en concreto el acceso al correo electrónico del trabajador es un asunto bastante controvertido, ya que parece que los propios tribunales se contradicen entre sí (Sala de los Social y Sala de lo Penal del Tribunal Supremo).

La Sala de lo Social del Tribunal Supremo en su sentencia de 26 de septiembre y 6 de octubre de 2011 establece que cuando la comunicación es el objeto mismo de la prestación laboral y se ha prohibido su uso para fines personales, el empresario está facultado para acceder a la información de sus trabajadores sin su consentimiento y sin necesidad de demandar la correspondiente autorización judicial, pues la actuación del trabajador se encuentra en el ámbito empresarial y no personal, y por tanto no cuenta con ninguna expectativa de confidencialidad. Así se confirma por la Sentencia del Tribunal Constitucional 170/2013 que establece que el secreto de las comunicaciones no queda vulnerado si existe una prohibición expresa previa del uso privado o personal de la cuenta de correo electrónico corporativo facilitada al empleado. Dicha necesidad de información previa se deduce también de reciente sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos de Estrasburgo que el pasado 5 de septiembre de 2017, en la que se concede el amparo a un trabajador por el acceso sin previo aviso de la empresa al correo electrónico del trabajador.

Por otro lado la Sala de lo Penal del tribunal Supremo 2844/2014 establece que en el caso de los correos electrónicos del trabajador sin abrir, rige el secreto de las comunicaciones del art. 18.3 de la Constitución  Española, no así respecto de aquellos correos ya leídos o abiertos, los cuales efectivamente rige lo establecido por la Sala de los Social, es decir, podrán monitorizarse y controlar su contenido siempre y cuando se haya prohibido el uso de los mismos para cuestiones personales y se haya informado de la posibilidad de monitorización y control a través de normativa interna en la empresa.

Por tanto, respondiendo a las preguntas antes comentadas la empresa podrá acceder a aquella información del trabajador que se encuentre en el ámbito empresarial y no personal, siempre y cuando:

• Se establezca internamente y se regule el uso de los medios tecnológicos.
• Se informe previamente que existe un control empresarial de dichos medios
• Se prohíba expresamente el uso para fines personales.
• La medida de control es proporcional (idónea, necesaria y proporcional, es decir no existe otra medida menos invasiva para dicho control).

Estas medidas garantizarán al empresario la posibilidad de control, y por tanto que no exista en la empresa una expectativa de confidencialidad sobre dicha información por parte de los trabajadores.

Sin embargo, todavía nos surgen determinadas preguntas:

¿pero qué ocurre con el correo electrónico del trabajador despedido?
¿debo de eliminar la cuenta?
¿puedo revisar los correos que le envían tras el despido?

La normativa de protección de datos establece que el dato de carácter personal (la cuenta de correo electrónico es un dato de carácter personal) debe ser cancelado cuando deje de ser útil para la finalidad en la que se recabó. La cancelación conforme al art. 5 b) del Reglamento desarrollo de la LOPD implica

el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Esto significa, que si el dato personal deja de ser útil para la finalidad en la que fue recabado (despido o baja voluntaria), deberá ser bloqueado por la empresa. En estos casos, conforme a la normativa de protección de datos el correo electrónico debería ser cancelado, o bloqueado, es decir sólo se puede tratar el mismo para ponerlo a disposición de jueces, tribunales  y autoridades competentes por la posible responsabilidad de la empresa surgida con el ex trabajador.

En estos supuestos lo que normalmente suele hacer la empresa, es incluir un mensaje de respuesta automático programado por un tiempo prudencial para dicha cuenta de correo electrónico. De esta manera, cuando se produce el envío de correos electrónicos a la dirección de correo electrónico del ex trabajador se indica con un correo automático de respuesta que la dirección de correo electrónico ha causado baja en la empresa y que la nueva dirección de correo electrónico con la que se deben de poner en contacto es aquella identificada como la persona o departamento que le sustituye.

Sin embargo, pueden existir determinados supuestos excepcionales (puestos de relevancia estratégica para la empresa o despidos conflictivos), en los que la empresa necesita saber por cuestiones de negocio o empresariales si ha existido dicha comunicación de clientes o terceros con el ex trabajador, y por tanto lo que se suele realizar en estos casos es, además de incluir el mensaje de respuesta automática, redirigir el correo electrónico que recibía el ex trabajador a otra cuenta de correo (generalmente el responsable de departamento o superior jerárquico). En estos casos excepcionales, entendemos que los correos electrónicos recibidos en ningún caso podrán ser abiertos, ya que conforme a la Sala Penal del Tribunal Supremo se estaría infringiendo el derecho fundamental al secreto de las comunicaciones. Además, conforme a la normativa de protección de datos, los mismos deberían ser bloqueados y puestos a disposición de las autoridades en atención a las distintas responsabilidades que pudieran surgir del tratamiento. Por tanto, dichos correos recibidos y no abiertos, deberán en todo caso ser bloqueados y únicamente permitir el acceso a los mismos a los jueces, tribunales y autoridades administrativas, ya que el acceso a los mismos podría ser constitutivo de un delito del art. 197 del Código Penal con condenas de prisión de 1 a 4 años y multa de 12 a 24 meses.

 

Fernando Mª Ramos Suárez

Socio Director DPO&itlaw

fernandoramos@dpoitlaw.com

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies