Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Medidas disciplinarias contra trabajadores que incumplan las normas de protección de datos

¿Puede un empleador adoptar medidas disciplinarias, incluido el despido, contra un trabajador por incumplir la normativa de protección de datos y los protocolos de seguridad?. La respuesta es sí.

Para ilustrar la respuesta a la pregunta anterior, vamos a analizar dos casos reales:

Tribunal Superior de Justicia de Madrid, Sala de lo Social, Sección 3ª, Sentencia 689/2018, de 26 de octubre de 2018, Rec. 176/2018 

Los antecedentes del caso son los siguientes: La empresa empleadora se dedicaba a actividades de consultoría de tecnología de la información y servicios de ingeniería y trabajaba para las principales compañías del mercado español, banca y administración pública. Contaba con varias certificaciones, como la ISO/IEC 27001, que prohíbe la utilización de software y hardware no autorizados. La empresa había informado a los trabajadores sobre la política de seguridad y les había advertido de la facultad de registro de sus dispositivos.

El trabajador despedido conectó a su puerto de acceso un router, que emitía una red denominada San Luis, conectada a la IP de una empresa-cliente. El departamento de sistemas de la empresa descubrió dicho dispositivo y lo desconectó. La investigación y búsqueda de redes diferentes a las homologadas e instaladas por la empresa vino determinada por las quejas de la empresa-cliente, que advertía que entre las 13:00 horas y las 15:00 horas la red se caía y no podían trabajar. Todo ello, en un contexto de nerviosismo de la clientela, tras la aparición semanas antes del ransomware Wannacry, por lo que la empresa estaba extremando las medidas de seguridad, poniendo todo tipo de parches y advirtiendo a todos los trabajadores que extremaran las cautelas. Al descubrir y desconectar el router intruso se comprobó que la red de la empresa-cliente funcionaba sin incidencias. Tras ello, la empresa acordó el despido del trabajador por causas disciplinarias.

La sentencia declara probado que los trabajadores tenían conocimiento de la prohibición de introducir elementos no autorizados por la empresa y que, a pesar de ello, el trabajador despedido instaló un dispositivo que, aun desconociendo si pudo poner en riesgo la seguridad de la red, lo que es seguro es que interfirió en el buen servicio a la empresa-cliente.

El tribunal –a fin de valorar si los hechos tienen entidad suficiente para hacer merecedor al trabajador de despido– acudió al Convenio Colectivo Estatal de Empresas de Consultoría y Estudios de Mercado y de la Opinión Pública, que en su artículo 24.c) califica como falta muy grave «el fraude, la deslealtad y abuso de confianza en las gestiones encomendadas». El tribunal concluyó que «la utilización de la red para instalar programas que facilitan el anonimato del usuario en la navegación por la red profunda, interfiriendo el servicio, supone un incumplimiento grave y culpable del trabajador, que determina que el despido sea declarado procedente».

Tribunal Superior de Justicia de la Comunidad Valenciana, Sala de lo Social, Sentencia 2070/2021, de 22 de junio de 2021, Rec. 846/2021

Los antecedentes del caso son los siguientes: La trabajadora despedida venía prestando servicios para la Empresa Municipal de Transportes de Valencia como Directora de Negociado de Administración. 

En la mañana del día 3 de septiembre de 2019, la trabajadora recibió una llamada de una persona que se identificó como Rafael –supuesto abogado de Deloitte en Madrid– quien le manifestó que la EMT de Valencia iba a lanzar una Oferta Pública de Adquisición de acciones (OPA) a una empresa radicada en China. El supuesto abogado exigía a la trabajadora que mantuviera la operación en secreto hasta que la OPA se hiciera pública para evitar que se frustrará la operación. La trabajadora firmó un acuerdo de confidencialidad, así, los estafadores se aseguraron que la trabajadora guardaría la operación en secreto.

Los estafadores consiguieron que la trabajadora les enviara documentación con las firmas de dos superiores suyos junto con copia de sus documentos nacionales de identidad, firmas que falsificaron para ordenar un total de ocho transferencias a dos cuentas de Bank of China, en Hong Kong, por un montante de 4.040.898,22 €. La trabajadora, tras la revelación de la estafa, fue despedida. 

El Tribunal Superior de Justicia de Valencia calificó el despido como procedente «por transgresión de la buena fe contractual y abuso de confianza de la trabajadora en el desempeño de sus funciones». Para el tribunal, la trabajadora actuó imprudentemente, al no realizar una mínimas comprobaciones con sus superiores jerárquicos, resultando extraño que una empresa municipal de transportes realice una OPA a una empresa china. 

El tribunal también reprocha a la trabajadora que enviara a terceros documentación con información sensible y confidencial de la empresa, gracias a la cual los estafadores pudieron falsificar la firma de dos apoderados mancomunados, mediante un simple «copia y pega» de las firmas contenidas en tales documentos sobre las órdenes de transferencia. Todo ello evidencia, a criterio del tribunal, una «falta absoluta de criterio y una grave negligencia de la trabajadora en el cumplimiento de sus obligaciones laborales, con la consiguiente pérdida de confianza de la empresa de la que tan solo es responsable la trabajadora».

El Tribunal Superior de Justicia de Valencia, para fundamentar su sentencia, invoca la Sentencia del Tribunal Supremo, Sala Cuarta, de lo Social, de 19 de julio de 2010, Recurso de casación para la unificación de doctrina nº 2643/2009, en base a la cual cabe concluir: 

  1. El principio general de la buena fe forma parte esencial del contrato de trabajo, no solo como un canon hermenéutico de la voluntad de las partes reflejada en el consentimiento, sino también como una fuente de integración del contenido normativo del contrato. Además, constituye un principio que condiciona y limita el ejercicio de los derechos subjetivos de las partes, para que no se efectúe de una manera ilícita o abusiva con lesión o riesgo para los intereses de la otra parte, sino ajustándose a las reglas de lealtad, probidad y mutua confianza, convirtiéndose, finalmente, este principio general de buena fe en un criterio de valoración de conductas al que ha de ajustarse el cumplimiento de las obligaciones recíprocas, siendo, por tanto, los deberes de actuación o de ejecución del contrato conforme a la buena fe y a la mutua fidelidad o confianza entre empresario y trabajador una exigencia de comportamiento ético jurídicamente protegido y exigible en el ámbito contractual.
  2. La transgresión de la buena fe contractual constituye un incumplimiento que admite distintas graduaciones en orden singularmente a su objetiva gravedad, pero que, cuando sea grave y culpable y se efectúe por el trabajador, es causa que justifica el despido, lo que acontece cuando se quiebra la fidelidad y lealtad que el trabajador ha de tener para con la empresa o se vulnera el deber de probidad que impone la relación de servicios para no defraudar la confianza que fue depositada en el trabajador.
  3. La inexistencia de perjuicios para la empresa derivados de la conducta reprochable del trabajador, o su escasa entidad, así como la no acreditación de la existencia de un lucro personal para el trabajador, carecen de trascendencia para justificar por sí solos o aisladamente la actuación no ética de quien comete la infracción, pues basta para tal calificación el quebrantamiento de los deberes de buena fe, fidelidad y lealtad implícitos en toda relación laboral, aunque, junto con el resto de las circunstancias concurrentes, pueda tenerse en cuenta como uno de los factores a considerar en la ponderación de la gravedad de la falta.
  4. Igualmente carece de trascendencia y con el mismo alcance valorativo, la inexistencia de una voluntad específica del trabajador de comportarse deslealmente, no exigiéndose que este haya querido o no, consciente y voluntariamente, conculcar los deberes de lealtad, siendo suficiente para la estimación de la falta el incumplimiento grave y culpable, aunque sea por negligencia, de los deberes inherentes al cargo.
  5. Los deberes de buena fe, fidelidad y lealtad, han de ser rigurosamente observados por quienes desempeñan puestos de confianza y jefatura en la empresa, basados en la mayor confianza y responsabilidad en el desempeño de las facultades conferidas.
  6. El despido disciplinario debe acordarse de forma restrictiva, pudiendo acordarse judicialmente que el empresario resulte facultado para imponer otras sanciones distintas de la del despido, si del examen de las circunstancias concurrentes resulta que los hechos imputados, si bien son merecedores de sanción, no lo son de la más grave, como es el despido, por no presentar una gravedad tan intensa, ni revestir una importancia tan acusada, como para poder justificar el cese de la relación laboral.

Disconforme la trabajadora con la solución alcanzada por la Sala de suplicación se alzó en casación para la unificación de doctrina, insistiendo en la improcedencia de su despido. El recurso fue inadmitido por falta de contradicción (STS, Sala 4ª, Auto 05.07.2022, Rec. 3247/2021)

Conclusión

Las empresas pueden sancionar disciplinariamente a aquellos trabajadores que incumplan las normas y los protocolos establecidos en materia de protección de datos, pero no podrán adoptar medidas disciplinarias contra tales trabajadores, si antes no los han formado convenientemente. La formación e instrucción de los trabajadores es esencial.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).