Formacion trabajadores LOPD


Cada vez con más frecuencia, las empresas y organismos reciben visitas o información de empresas que se dedican a impartir formación en materia de protección de datos, y que tratan de hacer ver que la formación de los empleados es obligatoria.

Si bien es cierto que existen normativas, como por ejemplo la actual legislación sobre Prevención de Blanqueo de Capitales, que con carácter imperativo exigen la formación de la plantilla, esto no es así en la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Sin duda, la formación nunca está de más, y es muy recomendable para todas las entidades que tengan plantilla con acceso a datos de carácter personal, pero no es obligatoria. Un trabajador debidamente formado en LOPD, qué duda cabe, puede evitarle a la empresa cuantiosas multas, por lo que mientras más formación reciba, mejor. La cuestión es que se debe tener bien claro que la obligación legal no es de dar cursos a sus trabajadores sobre LOPD, sino sólo de darles la información necesaria sobre sus obligaciones en este tema.

Veamos cuál es la habilitación normativa y en qué términos se expresa la ley exactamente:

Artículo 89. Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Se trata del artículo 89 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por un lado, lo que la normativa exige es que se defina el conjunto de obligaciones y funciones del personal en lo que a LOPD se refiere. Por ejemplo, hay que definir quién es el Responsable de seguridad (cuando proceda) y qué funciones tiene asignadas en lo que al tratamiento de datos se refiere, o el encargado de tratamiento, o el resto de usuarios (tendrán que cumplir la obligación de secreto profesional, usar contraseñas, medidas de seguridad…). Eso se debe hacer por escrito en una circular, informe o similar e incluirlo en el documento de seguridad de la empresa.

Por otro lado, el párrafo 2º del citado artículo obliga al responsable de fichero a “adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

No se está exigiendo la realización de cursos ni la elaboración de planes de formación, como ocurre en la normativa sobre Prevención de Blanqueo de Capitales.

La adopción de las medidas a que se refiere el párrafo 2º del artículo 89 de RLOPD se puede llevar a cabo mediante la elaboración y reparto de circulares informativas a los trabajadores, sesiones internas de información, reuniones informales, etc…

Los cursos de formación, insisto, son una opción más, pero no una obligación legal.
Te engaña el que te diga lo contrario.

Deja una respuesta