Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Medidas disciplinarias a trabajadores imprudentes en protección de datos y seguridad de la información

¿Puede una empresa adoptar medidas disciplinarias contra un trabajador por no cumplir la normativa de protección de datos y los protocolos de seguridad de la empresa?. La respuesta es sí.

Para ilustrar la respuesta a la pregunta anterior, vamos a analizar dos casos reales:

Tribunal Superior de Justicia de Madrid, Sala de lo Social, Sección 3ª, Sentencia 689/2018, de 26 de octubre de 2018, Rec. 176/2018 

Los antecedentes del caso son los siguientes: La empresa empleadora se dedicaba a actividades de consultoría de tecnología de la información y servicios de ingeniería y trabajaba para las principales compañías del mercado español, banca y administración pública. Contaba con varias certificaciones, como la ISO/IEC 27001, que prohíbe la utilización de software y hardware no autorizados. La empresa había informado a los trabajadores sobre la política de seguridad y les había advertido de la facultad de registro de sus dispositivos.

El trabajador despedido conectó a su puerto de acceso un router, que emitía una red denominada San Luis, conectada a la IP de una empresa-cliente. El departamento de sistemas de la empresa descubrió dicho dispositivo y lo desconectó. La investigación y búsqueda de redes diferentes a las homologadas e instaladas por la empresa vino determinada por las quejas de la empresa-cliente, que advertía que entre las 13:00 horas y las 15:00 horas la red se caía y no podían trabajar. Todo ello, en un contexto de nerviosismo de la clientela, tras la aparición semanas antes del ransomware Wannacry, por lo que la empresa estaba extremando las medidas de seguridad, poniendo todo tipo de parches y advirtiendo a todos los trabajadores que extremaran las cautelas. Al descubrir y desconectar el router intruso se comprobó que la red de la empresa-cliente funcionaba sin incidencias. Tras ello, la empresa acordó el despido del trabajador por causas disciplinarias.

La sentencia declara probado que los trabajadores tenían conocimiento de la prohibición de introducir elementos no autorizados por la empresa y que, a pesar de ello, el trabajador despedido instaló un dispositivo que, aun desconociendo si pudo poner en riesgo la seguridad de la red, lo que es seguro es que interfirió en el buen servicio a la empresa-cliente.

El tribunal –a fin de valorar si los hechos tienen entidad suficiente para hacer merecedor al trabajador de despido– acudió al Convenio Colectivo Estatal de Empresas de Consultoría y Estudios de Mercado y de la Opinión Pública, que en su artículo 24.c) califica como falta muy grave “el fraude, la deslealtad y abuso de confianza en las gestiones encomendadas”. El tribunal concluyó que “la utilización de la red para instalar programas que facilitan el anonimato del usuario en la navegación por la red profunda, interfiriendo el servicio, supone un incumplimiento grave y culpable del trabajador, que determina que el despido sea declarado procedente”.

Tribunal Superior de Justicia de la Comunidad Valenciana, Sala de lo Social, Sentencia 2070/2021, de 22 de junio de 2021, Rec. 846/2021

Este caso trascendió a la opinión pública y aun sigue dando coletazos (últimas noticias aquí).

Los antecedentes del caso son los siguientes: La trabajadora despedida venía prestando servicios para la Empresa Municipal de Transportes de Valencia como Directora de Negociado de Administración. 

En la mañana del día 3 de septiembre de 2019, la trabajadora recibió una llamada de una persona que se identificó como Rafael –supuesto abogado de Deloitte– quien le manifestó que la EMT de Valencia iba a lanzar una Oferta Pública de Adquisición de acciones (OPA) a una empresa radicada en China. El supuesto abogado exigía a la trabajadora que mantuviera la operación en secreto hasta que la OPA se hiciera pública para evitar que se frustrará la operación.

Los estafadores consiguieron que la trabajadora les enviara documentación con las firmas de dos superiores suyos junto con copia de sus documentos nacionales de identidad, firmas que falsificaron para ordenar un total de ocho transferencias a dos cuentas de Bank of China, en Hong Kong, por un montante de 4.040.898,22 €. La trabajadora, tras la revelación de la estafa, fue despedida. 

El Tribunal Superior de Justicia de Valencia calificó el despido como procedente por transgresión de la buena fe contractual y abuso de confianza de la trabajadora en el desempeño de sus funciones. Para el tribunal, la trabajadora actuó imprudentemente, al no realizar una mínimas comprobaciones con sus superiores jerárquicos, resultando extraño que una empresa municipal de transportes realice una OPA a una empresa china. 

El tribunal también reprocha a la trabajadora que enviara a terceros documentación con información sensible y confidencial de la empresa, gracias a la cual los estafadores pudieron falsificar la firma de dos apoderados mancomunados, mediante un simple “copia y pega” de las firmas contenidas en tales documentos sobre las órdenes de transferencia. Todo ello evidencia, a criterio del tribunal, una “falta absoluta de criterio y una grave negligencia de la trabajadora en el cumplimiento de sus obligaciones laborales, con la consiguiente pérdida de confianza de la empresa de la que tan solo es responsable la trabajadora”.

El Tribunal Superior de Justicia de Valencia, para fundamentar su sentencia, invoca la Sentencia del Tribunal Supremo, Sala Cuarta, de lo Social, de 19 de julio de 2010, Recurso de casación para la unificación de doctrina nº 2643/2009, en base a la cual cabe concluir: 

  1. El principio general de la buena fe forma parte esencial del contrato de trabajo, no solo como un canon hermenéutico de la voluntad de las partes reflejada en el consentimiento, sino también como una fuente de integración del contenido normativo del contrato, y, además, constituye un principio que condiciona y limita el ejercicio de los derechos subjetivos de las partes para que no se efectúe de una manera ilícita o abusiva con lesión o riesgo para los intereses de la otra parte, sino ajustándose a las reglas de lealtad, probidad y mutua confianza, convirtiéndose, finalmente, este principio general de buena fe en un criterio de valoración de conductas al que ha de ajustarse el cumplimiento de las obligaciones recíprocas, siendo, por tanto, los deberes de actuación o de ejecución del contrato conforme a la buena fe y a la mutua fidelidad o confianza entre empresario y trabajador una exigencia de comportamiento ético jurídicamente protegido y exigible en el ámbito contractual.
  2. La transgresión de la buena fe contractual constituye un incumplimiento que admite distintas graduaciones en orden singularmente a su objetiva gravedad, pero que, cuando sea grave y culpable y se efectúe por el trabajador, es causa que justifica el despido, lo que acontece cuando se quiebra la fidelidad y lealtad que el trabajador ha de tener para con la empresa o se vulnera el deber de probidad que impone la relación de servicios para no defraudar la confianza en el trabajador depositada, justificando el que la empresa no pueda seguir confiando en el trabajador que realiza la conducta abusiva o contraria a la buena fe.
  3. La inexistencia de perjuicios para la empresa o la escasa importancia de los derivados de la conducta reprochable del trabajador, por una parte, o, por otra parte, la no acreditación de la existencia de un lucro personal para el trabajador, no tiene trascendencia para justificar por sí solos o aisladamente la actuación no ética de quien comete la infracción, pues basta para tal calificación el quebrantamiento de los deberes de buena fe, fidelidad y lealtad implícitos en toda relación laboral, aunque, junto con el resto de las circunstancias concurrentes, pueda tenerse en cuenta como uno de los factores a considerar en la ponderación de la gravedad de la falta, con mayor o menor trascendencia valorativa dependiendo de la gravedad objetiva de los hechos acreditados.
  4. Igualmente carece de trascendencia y con el mismo alcance valorativo, la inexistencia de una voluntad específica del trabajador de comportarse deslealmente, no exigiéndose que éste haya querido o no, consciente y voluntariamente, conculcar los deberes de lealtad, siendo suficiente para la estimación de la falta el incumplimiento grave y culpable, aunque sea por negligencia, de los deberes inherentes al cargo.
  5. Los deberes de buena fe, fidelidad y lealtad, han de ser rigurosamente observados por quienes desempeñan puestos de confianza y jefatura en la empresa, basados en la mayor confianza y responsabilidad en el desempeño de las facultades conferidas.
  6. Con carácter general, al igual que debe efectuarse en la valoración de la concurrencia de la “gravedad” con relación a las demás faltas que pueden constituir causas de un despido disciplinario, al ser dicha sanción la más grave en el Derecho laboral, debe efectuarse una interpretación restrictiva, pudiendo acordarse judicialmente que el empresario resulte facultado para imponer otras sanciones distintas de la de despido, si del examen de las circunstancias concurrentes resulta que los hechos imputados, si bien son merecedores de sanción, no lo son de la más grave, como es el despido, por no presentar los hechos acreditados, en relación con las circunstancias concurrentes, una gravedad tan intensa ni revestir una importancia tan acusada como para poder justificar el despido efectuado.

Así lo expuesto, parece claro que las empresas pueden sancionar disciplinariamente a aquellos trabajadores que incumplan las normas y protocolos sobre protección de datos; pero, también, cabe otra lectura, y es que las empresas no podrán adoptar medidas disciplinarias contra tales trabajadores si antes no los han formado convenientemente. Por lo tanto, cabe concluir que la formación e instrucción de los trabajadores en materia de protección de datos y seguridad de la información es esencial, por un lado, para asegurar la información y, por otro lado, para corregir disciplinariamente las conductas reprochables de trabajadores imprudentes.

Fuentes:

STSJM  26/10/2018 – Rec. nº 176/2018

STSJCV 22/06/2021 – Rec. nº 846/2021

STS 19/07/2010 –  Rec. nº 2643/2009

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual