La protección de datos personales ha adquirido una importancia sin precedentes en los últimos años, donde la información personal se encuentra en constante riesgo de exposición y mal uso. En este contexto, surge la pregunta fundamental:
¿Es obligatoria la formación de los trabajadores en protección de datos?
Para responder a esta cuestión, es esencial recurrir a la legislación y a las directrices proporcionadas por la Agencia Española de Protección de Datos (AEPD).
Tabla de contenidos
Marco Legal
En España, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, conocido como el Reglamento General de Protección de Datos (RGPD), establecen las bases legales para la protección de datos personales y la responsabilidad de las organizaciones y sus trabajadores en este ámbito.
Si bien es cierto que no existe ningún artículo que, específicamente, obligue al empresario a formar a la plantilla en materia de protección de datos, no es menos cierto que la norma sí prevé el principio de responsabilidad proactiva.
Este principio es descrito en el RGPD como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Por ello, la formación a los trabajadores es una de las mejores pruebas del interés de la empresa en realizar los esfuerzos necesarios para garantizar la seguridad y privacidad de los datos personales que son tratados.
Por otro lado, si los empleados no conocen mínimamente la normativa y los riesgos y amenazas que un tratamiento de datos incorrecto puede entrañar para los interesados (los titulares de los datos, tus clientes, empleados, etc.), es imposible que cumplan adecuadamente el protocolo de protección de datos implementado en la empresa.
Por su parte, el artículo 88.3 de la LOPD-GDD, sí que obliga a la formación en materia de desconexión digital a sus trabajadores para dar cumplimiento a este importante derecho de desconexión.
Así, el artículo señala:
-
El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.
Asimismo, el artículo 39.1.b) RGPD establece como una de las obligaciones del DPO (Delegado de Protección de Datos) la “formación del personal que participa en las operaciones de tratamiento”.
Directrices de la AEPD
La Agencia Española de Protección de Datos (AEPD), como la autoridad encargada de velar por el cumplimiento de la legislación de protección de datos en España y proporcionar orientación a las organizaciones y ciudadanos, ha emitido una serie de documentos y guías que refuerzan la obligatoriedad de la formación de los trabajadores en esta materia.
A continuación se detalla cómo la AEPD ha trabajado para fortalecer la obligatoriedad de la formación de los trabajadores en esta materia:
Publicación de Guías
- La AEPD publicó una guía titulada ‘Protección de datos y relaciones laborales’ para ayudar a las organizaciones públicas y privadas a cumplir adecuadamente con la legislación de protección de datos. Esta guía aborda varios temas relevantes como la consulta por parte de los empleadores de las redes sociales, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, y la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género, entre otros1.
- Además, la AEPD también ha publicado la Guía de Protección de Datos por Defecto (PDpD), que ofrece una visión práctica para ayudar a aplicar el principio de protección de datos por defecto a los tratamientos de datos, siguiendo lo establecido en el Reglamento General de Protección de Datos (RGPD) y en las directrices adoptadas por el Comité Europeo de Protección de Datos2.
Gestión y Control de Actividades Formativas
- La AEPD organiza actividades formativas como parte de su función de promover el derecho fundamental a la protección de datos. Estas actividades están dirigidas a diferentes colectivos, incluyendo profesorado, alumnado, y asistentes a los cursos de la Agencia, con el objetivo de fomentar la educación y la formación en materia de protección de datos3.
Programas Formativos Reconocidos
- La AEPD ha establecido un Esquema de Certificación de Delegados de Protección de Datos, a través del cual las universidades españolas, públicas o privadas, pueden solicitar a la AEPD el reconocimiento de sus programas formativos en materia de protección de datos. Este esquema busca garantizar que exista una formación adecuada y reconocida en esta materia crucial4.
Estas acciones reflejan el compromiso de la AEPD de asegurar que los trabajadores y las organizaciones en España estén bien informados y capacitados para cumplir con las leyes y regulaciones de protección de datos, contribuyendo así a la creación de un entorno laboral más seguro y conforme a la ley en lo que respecta a la gestión de datos personales.
Video Youtube formación de trabajadores en materia de protección de datos
Conclusión
En virtud de la legislación española y europea, así como de las directrices emitidas por la AEPD, la formación de los trabajadores en materia de protección de datos es una medida fundamental para garantizar la seguridad y la privacidad de los datos personales en un entorno digital en constante evolución.
Las organizaciones deben tomar medidas adecuadas para asegurarse de que su personal esté debidamente capacitado y comprometido con el cumplimiento de las normas de protección de datos, contribuyendo así a la protección de los derechos fundamentales de los individuos en cuanto a la privacidad y la seguridad de sus datos personales.
