Negativa a firmar el acuerdo de confidencialidad


Manuel Castilleja Toscano     03/02/2022

El acuerdo o las cláusulas de confidencialidad son una medida clave para que una organización pueda proteger y a su vez, defender jurídicamente, la información (incluida la personal) de la que es responsable, ante filtraciones no autorizadas.

El objetivo de este tipo de acuerdos suscritos entre organizaciones y personas trabajadoras es que estas últimas hagan un uso responsable de la información a la que tienen acceso y tratan en sus funciones diarias.

La obligación por parte de la persona trabajadora de suscribir y firmar con la entidad donde presta sus servicios un acuerdo o cláusulas de confidencialidad no está específicamente regulada, pero, aunque sin estar contemplada expresamente, se entiende incluida en el apartado a) del artículo 5 del Estatuto de los Trabajadores (ET), que impone a la persona trabajadora cumplir sus obligaciones según las reglas de la buena fe. Por tanto, la firma de estos acuerdos de confidencialidad reafirma el contenido del mencionado precepto.

Ante la negativa de la persona trabajadora a firmar el acuerdo de confidencialidad, sería recomendable entregarlo junto a la política de seguridad de la organización en presencia de dos testigos que confirmen que ha recibido la documentación y que no la ha querido firmar.

Además, en determinadas circunstancias la negativa por parte de la persona trabajadora a firmar este tipo de acuerdos de confidencialidad, podría suponer su despido.

En este sentido una sentencia del Tribunal Superior de Justicia de Madrid, de fecha 3 de marzo de 2017, calificó como procedente, el despido de una persona trabajadora que, en cinco ocasiones consecutivas en un periodo de menos de un mes, se negó a firmar un acuerdo de novación de su contrato que incluía un compromiso de confidencialidad y que fue admitido por el resto de personal.

En la sentencia se entiende que la actuación de la organización se ampara en el ejercicio del poder de dirección del artículo 20 del ET y que, además, a la vista de las obligaciones impuestas por sus clientes, constituye una medida necesaria, idónea y proporcional para mantener la actividad productiva y lograr la continuidad del negocio. Y la conducta de la persona trabajadora es una evidente indisciplina que, presentándose de forma reiterada, merece la extinción contractual.

En la normativa de protección de datos, pese a que como venimos exponiendo no está expresamente regulado la obligación de suscribir y firmar este tipo de acuerdos de confidencialidad, sí que existen alusiones al respecto del deber de confidencialidad, y de la obligación de que los intervinientes en el tratamiento sigan instrucciones de la organización, así el GDPR establece en su:

Artículo 5.1.f) que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”)

Artículo 29 que cualquier persona que actúe bajo la autoridad de una organización y tenga acceso a datos personales solo podrán tratarlos siguiendo instrucciones del responsable, a no ser que estén obligados legalmente a ello.

Artículo 32.4 que las organizaciones tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo sus instrucciones, salvo que esté obligada legalmente a ello.

Artículo 28.3.b) que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal.

Además, la LOPDGDD establece en su:

Artículo 5 que las organizaciones así como todas las personas que intervengan en cualquier fase del tratamiento estarán sujetas al deber de confidencialidad al que se refiere el anteriormente señalado artículo 5.1.f) del GDPR, esta obligación será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable y se mantendrán aun cuando hubiese finalizado la relación del obligado con la organización.