Bien es sabido que un sistema de Compliance efectivo excluye de responsabilidad penal a la empresa por los delitos cometidos en manos de las personas físicas que la forman. Sin embargo, el Compliance va más allá, y se caracteriza por contar con una adecuada política de gestión de riesgos. Y no solo con aquellos de los que puedan derivar responsabilidad penal, sino por todos los incumplimientos normativos que generen cualesquiera responsabilidades. Estas responsabilidades son mayores cuanto más grave resulte el incumplimiento y no cabe duda que vulnerar derechos fundamentales es uno de los incumplimientos más graves que existen. Es por ello por lo que el Compliance está estrechamente relacionado con la Protección de Datos.
De hecho, los artículos 24 y 32 del Reglamento General de Protección de datos y los concordantes artículos 28 y siguientes de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPYGDD), establecen que el responsable del tratamiento, que será la empresa, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando las medidas de seguridad necesarias para ello y respondiendo de los daños que se puedan ocasionar.
Incluso, está previsto que se pueda nombrar un delegado de protección de datos, como figura que puede encargarse de canalizar las reclamaciones. El Delegado de protección de datos será, además, de nombramiento obligatorio si el tratamiento lo lleve a cabo una autoridad u organismo público, excepto en el ámbito judicial. También es obligatorio si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala. Por último, también será necesario un Delegado de Protección de Datos si las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales (artículo 37.1 Reglamento General de Protección de Datos). No se observa inconveniente en que las funciones de Delegado de Protección de Datos las ejerza un Delegado de Compliance o viceversa. Es decir, puede encargarse la misma persona de ambas funciones en una organización y, en ocasiones, resultará lo más práctico, permitiendo la ley que pueda ser tanto interno como externo a la organización.
Si analizamos esto último en profundidad, podemos deducir que el objetivo principal a conseguir, en cuanto a la protección de datos personales se refiere, es prevenir posibles incumplimientos y vulneración de derechos. En este sentido, la conexión con los mecanismos de Compliance resulta evidente. Dentro del Código de Buenas Prácticas de la empresa deberían introducirse cláusulas acerca de la importancia de la protección de datos y el control en el tratamiento de los mismos, de tal forma, que además de darlo a conocer a toda la organización, se pueda exigir su cumplimiento, y sea posible notificar cualquier incumplimiento a través del Canal de Denuncias. Evidentemente, el tratamiento de datos personales que se realiza en una organización es constante y se manejan datos de clientes, de empleados y de suministradores o proveedores. No obstante, los datos de los propios empleados son los más numerosos y, en muchos casos, pueden considerarse que entran dentro de estas categorías especiales de datos sensibles o de especial protección, como los referidos a los datos relativos a la salud. Simplemente, las altas o bajas médicas suponen manejar este tipo de datos especialmente sensibles.
No obstante, el compliance sigue siendo terreno desconocido para muchas organizaciones, asumiendo así responsabilidades que podría haber evitado. Podemos observar recientemente un caso en el que los propios tribunales apuntan esta posibilidad preventiva del compliance a la hora de liberar de responsabilidad por tratamiento indebido de datos. En este sentido, destacamos la Sentencia del Tribunal Superior de Justicia de Madrid 13294/2020 , de 25 de noviembre de 2020. Se se trata de un recurso de suplicación interpuesto por el Hospital Universitario de Alcorcón y por el jefe de cirugía ante una sentencia del Juzgado de lo Social de Móstoles donde se les condena a pagar al actor una indemnización de 25.000 euros por vulnerar su derecho a la intimidad (artículo 18 de la Constitución). Aunque, en este caso debe matizarse el fallo de la sentencia porque, realmente, la vulneración no es al derecho a la intimidad sino al derecho a la protección de datos personales. Quizá debieran los tribunales de lo social aprender a distinguir ambos derechos fundamentales que, aunque fundamentados en el mismo precepto constitucional, tienen diferente contenido y consideración, tal y como lo expresó nuestro Tribunal Constitucional. El Tribunal Constitucional español configura este derecho sobre la base del artículo 18.4 de la Constitución (Sentencias de 254/1993, de 20 de julio, 94/1998, de 4 de mayo, 202/1999, de 8 de noviembre, 290/2000, de 30 de noviembre y 292/2000, de 30 de noviembre).
Volviendo al caso, el actor, cirujano de un hospital y trabajando a cargo del Jefe de cirugía, es diagnosticado de trastorno ansioso-depresivo. Posteriormente, solicita al gerente del hospital que fuera revisada la lista de accesos a su historia clínica desde el año anterior. A consecuencia de esta solicitud, se lleva a cabo una auditoria por parte del director del hospital cuyo resultado fue que hubo varios accesos a la misma, constatándose que en el servicio de cirugía había una falta de custodia de las claves de acceso personal a la historia clínica. Incluso, se observa que había un deficiente sistema de seguridad puesto que muchos de los accesos quedaban abiertos al no cerrarse las sesiones correspondientes y, de esta forma, resulta imposible determinar quiénes habían tenido acceso a esos datos clínicos del afectado.
Las medidas disciplinarias que tomó el hospital consistían en sancionar a todas aquellas personas que estaban a cargo de las custodias de las claves de acceso y que actuaron de forma negligente. No obstante, para el cirujano no fue suficiente y demandó al Hospital y al Jefe de Cirugía (su superior jerárquico) por vulneración de su derecho de intimidad. El resultado es que el afectado acaba ganando el juicio y queda el Hospital obligado al pago de una indemnización por daños y perjuicios de 25.000 euros. Se absuelve al Jefe de Cirugía por no ser responsable ni encargado del tratamiento de datos personales. Puede llamar la atención la competencia que se atribuye un tribunal de lo social para enjuiciar un caso de responsabilidad civil derivado de vulneración de derechos fundamentales. No obstante, se arroga la competencia sobre la base de la naturaleza laboral del contrato del demandante afectado.
En el ámbito de la responsabilidad civil no ha existido nunca la exclusión de responsabilidad de las personas jurídicas. Sin embargo, posiblemente con un sistema de compliance suficiente y adecuado podría haberse evitado o mitigado el daño y, consecuentemente, la cuantía de la indemnización. Tal es así que en la propia sentencia aluden al término de compliance y dicen textualmente “No constando en este caso que existiera ningún sistema de gestión de esta naturaleza, sino una completa falta de control de los accesos a las bases de datos confidenciales, de manera que permanecían sesiones abiertas incluso en zonas comunes del área, la entidad empleadora debe ser considerada responsable de tal situación y de los daños producidos por la misma”. No vamos a profundizar en los requisitos para imputar responsabilidad civil, pero esta sentencia ofrece una interesantísima clave para su prevención. La prevención de responsabilidad civil derivada de infracción del derecho a a la protección de datos personales, asociada a los mecanismos de compliance, es un factor que, en adelante, conviene tenerse muy en cuenta por parte de las organizaciones.
Desde luego, lo aconsejable sería que el hospital introduzca un sistema de gestión de riesgos de incumplimiento para la próxima vez. Puede concluirse que para estos casos, es más rentable prevenir que curar, si se nos permite el símil terapéutico.