En muchas ocasiones requeriremos contratar capacitaciones o servicios de coaching para nuestros empleados, ello sucede porque queremos actualizarlos en un área específica de trabajo, o porque intentamos optimizar su desempeño, ya que la empresa está en la búsqueda de alcanzar una serie de objetivos que requieren de talento humano instruido y entrenado. En este sentido, la implementación de un programa de capacitación implicará una logística técnica y administrativa que permita llevar a todos los interesados (empresa –empleados – capacitador) a cumplir con sus expectativas.
Ahora bien, hasta antes de la aparición de la Ley de Protección de Datos Personales (PDP), la logística de capacitación tenía casi siempre los mismos componentes: identificación de necesidades, definición de temas a tratar en la capacitación, diseño del contenido de un programa específico, y el desarrollo de las etapas de instrucción, entrenamiento y evaluación de resultados. Y aunque todo lo anterior aún continúa realizándose hasta el día hoy, justo ahora se requiere también implementar algunas acciones que tienen relación con el tratamiento de los datos personales usados dentro del proceso. Veamos entonces algunas cosas que se deben tener en cuenta:
Caso 1: La misma empresa dicta la capacitación y no acude terceros para desarrollarla:
En esta circunstancia se deberá obtener el conocimiento informado de la recopilación de los datos como serían los resultados de evaluaciones y el establecimiento de indicadores de seguimiento de labor con base en lo aprendido.
Por supuesto que la organización además debería en esta instancia contar con políticas generales de tratamiento de datos personales, con mecanismos que garanticen la seguridad y confidencialidad de la información a almacenar, disponer de políticas de minimización de datos recopilados, y contar con periodos de retención asignados para la información capturada entre otros aspectos.
Caso 2: La empresa solicita un servicio de capacitación a un tercero
En este caso el consentimiento informado del tratamiento lo debe obtener el contratista a quien se le ha asignado la capacitación requerida. Aquí, el contratista deberá solicitar a quien toma el curso tan solo la información que sea relevante para el proceso de capacitación y ninguna otra más, siendo obligación de la empresa para la cual trabaja en funcionario monitorear este proceso.
En términos de la solicitud de capacitación para los funcionarios a través de terceros, existen dos variaciones:
- La primera se presenta cuando la empresa contratante le suministra al capacitador los datos de sus empleados.
En este caso la organización contratante no solo deberá contar con políticas públicas que indiquen la forma en que se le entregarán los datos personales de sus funcionarios a los terceros, sino que deberá obtener el consentimiento informado para el tratamiento de la información personal derivada de la capacitación.
Adicional a lo anterior, el contratante deberá implementar acuerdos de confidencialidad o contratos con cláusulas de confidencialidad para el tercero contratado; en dichos acuerdos o cláusulas se deberán establecer los compromisos y las responsabilidades que tendrán los encargados de tratamiento frente a la seguridad y a la privacidad de los datos recibidos.
Es obligación de la organización, para la cual trabajan los empleados que se van a capacitar, verificar las políticas y procedimientos de protección de datos personales de quien va a ser encargado de tratamiento, examinando que ellas estén alineadas con los de la propia organización. De no hacerse esto, y llegado el caso que las políticas de tratamiento del encargado no sean favorables para el empleado, la organización contratante estaría presionando indebidamente a su funcionario a aceptar condiciones que irían en perjuicio de sus intereses, por lo que violaría “los principios de legalidad, libertad, transparencia, acceso y circulación restringida de los datos”, permitiendo así que la organización contratante acceda a serias sanciones económicas.
- La segunda variación ocurre cuando la empresa le indica a sus funcionarios que deben realizar su inscripción ante una determinada institución, la cual ha sido seleccionada para prestar los servicios de capacitación.
En este caso la organización contratante estará obligada a verificar las políticas y procedimientos de protección de datos personales del encargado de tratamiento que ha sido contratado, deberá examinar que tales políticas estén alineadas con las de la propia organización. Tal como se explicó anteriormente, si las políticas de tratamiento del encargado no son favorables para el empleado, la organización que busca capacitarlo no podrá contratar con él, so pena de ser sancionada por violación de los principios de la Ley de protección de Datos Personales, ya que estaría obligando al empleado a entregar sus datos para un tratamiento desfavorable a sus intereses.
Es importante tener mucho cuidado cuando contraten o autoricen capacitaciones con terceros, más aún cuando éstas hagan uso de plataformas educativas que pueden ser pagas o gratuitas, siendo estas últimas las que conllevan riesgos de publicidad o mensajes de correo no deseados. Para este caso en particular, si llegase a presentarse que por causa de la orden de una empresa a su funcionario, quien en contra de su voluntad se ve obligado a entregar sus datos personales a un tercero, se produce algún tratamiento indebido de sus datos personales, se estaría configurando lo que se comúnmente se conoce como “coacción de tipo legítimo”; tal coacción no solo es un delito con sanción penal que conlleva de seis meses a tres años de prisión, sino que le puede generar a la organización enormes sanciones económicas.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
