La respuesta es sí, ya que la formación de la plantilla es la medida organizativa por excelencia, que permite al Responsable trasladar las obligaciones de cumplimiento a su plantilla. Esta obligación deriva de varios artículos del RGPD como el 24.1, 25 y 32.1, y el 28.1 de la LOPGDD, en los que se prevé la obligación de implantar medidas organizativas necesarias para garantizar y acreditar que se tratan datos de acuerdo con la normativa. Así mismo, el art. 83 de la LOPGDD establece la obligación de formar a los trabajadores en ámbito de desconexión digital. Esta obligación recaería respecto a la parte de la plantilla que intervenga en el procesamiento de datos, es decir, que para el desarrollo de sus funciones acceda a datos personales.
Nótese que aunque una empresa tenga un plan de Protección de Datos brillante, si no traslada a sus trabajadores las obligaciones y prohibiciones en este ámbito, si no les explica “lo que pueden y no pueden hacer”, el plan de Protección de Datos se convierte en papel mojado.
Es por ello que, si bien la normativa de manera literal no dice “tus trabajadores tienen que hacer un curso”, sí obliga al responsable a emprender tareas de formación y sensibilización, y sí prevé trasladar al empresario la responsabilidad por los incumplimientos realizados por sus trabajadores, cuando éste no ha realizado formación efectiva y acreditable. Lo anterior significa que, si el trabajador incumple la ley, y la empresa no es capaz de acreditar que le había informado previamente de sus obligaciones, no podrá evadir responsabilidad por grave que sea el incumplimiento, ya que debió haber previsto que si el trabajador no conocía sus obligaciones no iba a cumplirlas. Con lo cual, el Responsable del tratamiento podría verse sujeto a una sanción económica importante impuesta por la Autoridad de Control cuando no ha realizado ninguna acción orientada a la formación.
Podemos ilustrar este planteamiento a través de un ejemplo
Un trabajador de la recepción de un hospital recibe una llamada de una persona que le pregunta si el paciente Fulano Rodríguez está hospitalizado, por qué patología, y en qué habitación. El trabajador revisa sus registros y facilita la información a la persona. ¿Ha actuado correctamente? No, los pacientes tienen derecho a la confidencialidad de su información, y salvo que hayan autorizado qa ue se facilite esta información a terceros, no puede informarse a terceros sobre su padecimiento o localización en el hospital. En este caso estaríamos ante un incumplimiento grave del Reglamento (Ue) 2016/679 de 27 de Abril De 2016 (RGPD) y la Ley 3/2018 de 5 de diciembre de protección de datos y garantía de los derechos digitales (LOPDGDD).
Pero… ¿Quién asumirá la responsabilidad ante esta infracción?
Si la entidad previamente ha realizado acciones de formación de la plantilla explicando a cada trabajador sus obligaciones, y es capaz de acreditarlo, podría utilizarse esta medida como defensa legal. Sin embargo, si el trabajador no ha sido formado en relación con esta medida, o si la empresa no puede acreditarlo, probablemente la responsabilidad íntegra recaerá sobre el Hospital, quien tendrá que afrontar una multa que podría ser millonaria.
La formación en protección de datos es obligatoria, aunque no exista un artículo que literalmente lo indique, ya que es la clave para evitar sanciones y cumplir con el principio de responsabilidad proactiva. Por otro lado, la formación en materia de desconexión digital sí es literalmente obligatoria.
¿Qué tipo de formación debe impartirse?
Debe tratarse de formación sencilla, que si bien puede ser un curso (bonificado o no) que contenga conceptos básicos, debe venir acompañado de una formación complementaria de carácter específico sobre las medidas de protección de datos que se deben aplicar en la empresa.
Si se imparte un curso general sobre la historia de la protección de datos y otros temas de menor importancia, pero no existe un módulo donde se traslada de manera específica y clara la información sobre las medidas, entonces esta formación no será efectiva ni cumplirá el objetivo perseguido de mitigar riesgos.
En Umbra Formación contamos con cursos online de protección de datos sencillos, dinámicos, que contienen videos, juegos, no obstante, siempre consideramos necesario que, después de finalizado el curso, el asesor o delegado de protección de datos mantenga un encuentro con la plantilla para aclarar aspectos específicos del sector o la empresa.
¿Necesitas ayuda para formar a tu plantilla en protección de datos? Contáctanos en info@umbraconsulting.es.
