Profesionales Sociolaborales

ASESORES DE EMPRESA EN INTERNET (ENTIDAD SIN ÁNIMO DE LUCRO)
Friday, 05 de December de 2008

Portada : ÁREA PÚBLICA : Protección de datos personales

Conceptos Básicos

Denuncias a la Agencia de Protección de Datos

Normativa básica

Advertencia Agencia Protección de Datos

Encuestas Unión Europea

Reclamaciones ante Operadoras de Telefonía

Ley de Internet

Herramienta de Analisis de Equipos

Aprobado Reglamento LOPD

Demo On-line Programa Proteccion de Datos

Reglamento Ley organica 15/1999

LOS PROFESIONALES SOCIOLABORALES Y LA LEY ORGANICA 15/99 DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES

Este artículo no pretendemos que sea un manual sobre Protección de Datos, porque ni por espacio, ni por objetivos puede serlo. Solo queremos referirnos a algunos aspectos concretos, y llamar la atención del Graduado social o profesional sociolaboral, sobre las implicaciones que para sus despachos pueden tener la interpretación, y las consecuencias derivadas del artículo 12 de la Ley Orgánica de Protección de Datos (en adelante LOPD).

La Ley de Protección de Datos hace una clara distinción entre dos conceptos aparentemente distintos, y decimos aparentemente puesto que en la práctica muchas veces no es fácil distinguir uno de otro, que son, de un lado, la Cesión o Comunicación de los Datos Personales, y de otro lado, el Acceso a los Datos realizado por un tercero para la prestación de un servicio. La distinción entre uno y otro régimen es de capital importancia, ya que en teoría corresponde a la primera categoría, es decir la Cesión de Datos, una regulación más garantista (Artículo 11 LOPD ), mientras que al Acceso a los Datos, un sistema de protección, que podríamos calificar de más atenuado ( Artículo 12 LOPD).

Entrando rápidamente en la materia, la norma sobre la que trataremos, establece lo siguiente:

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Tal como se aprecia de un simple lectura del primer párrafo del texto legal, el despacho socio laboral cae claramente dentro de la categoría de Prestador de Servicios o Encargado del Tratamiento, por cuenta del Responsable de Fichero, dígase cliente en este caso, ya que el Graduado social es quien recibe los datos relativos a los trabajadores para la confección de nóminas, seguridad social, y la gestión en general de todos los aspectos relacionados con la normativa laboral. Este traspaso de información no tiene por tanto la consideración de cesión o comunicación de datos, regulada en el artículo 11 de esta norma. No obstante, está consideración diferenciada de lo que es una cesión de datos, lógica por otro lado, conlleva el cumplimiento de una serie de requisitos formales, y otros no tanto, que son los siguientes:

1. Formalización por escrito del contrato de prestación de servicios. Aunque la ley indica que podrá plasmarse por otros medios que permitan acreditar su celebración y contenido, no es posible hacerlo en la práctica si se ha de hacer constar “expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.

Suponemos que el legislador en el momento de la redacción ya pensaba en la utilización de otros medios telemáticos, como la firma electrónica por ejemplo, que permitan acreditar la celebración de estos contratos, por lo que mientras no se generalice el uso de estás herramientas, parece que solo será posible demostrar el cumplimiento de los requisitos legales, mediante la formalización por escrito.

Esto acarrea, como consecuencia inevitable, la necesidad de tener que revisar todos los contratos existentes en la actualidad, primero, para adecuar el contenido de los nuevos contratos a los preceptos legales, segundo, para constatar la existencia por escrito de los mismos, y en tercer lugar, para introducir las cláusulas , anexos o suplementos, de aquellos en los que no figuren.

Aunque en la mayoría de los casos, son los clientes los que requieren por imperativo de la LOPD, la inclusión de estás cláusulas en los contratos, parece de sentido común, que se realice esta revisión por parte de los propios graduados sociales, bien sea para mejorar el servicio que se presta, bien para controlar las cláusulas que se incorporan.

2. Tratamiento confidencial de los datos de acuerdo a las instrucciones del responsable del fichero.

Tal como hemos trascrito anteriormente, el prestador de servicios, dígase graduado social en este caso, solo puede manejar los datos de acuerdo a las instrucciones recibidas del cliente y plasmadas en el contrato, sin poderlas destinar ni aplicar a un fin distinto al previsto. Se trata de evitar con esto cualquier cesión o traspaso de información que se pudiera dar entre empresas. Esta obligación, de trascendental importancia, no ofrece dudas en cuanto a su interpretación en el ámbito que estamos tratando, por lo obvio que es la confidencialidad en el manejo de la información del personal de las empresas. Sin embargo, la última frase de este apartado, “ ni los comunicará, ni siquiera para su conservación, a otras personas”, si presenta dudas interpretativas de mayor calado.

Para empezar, podemos preguntarnos si está prohibición de comunicación a otras personas, incluye a los propios órganos de la administración , delegaciones de trabajo o delegaciones de la seguridad social, por ejemplo. Pese al tenor literal de la norma, que así parece prohibirlo, resulta en las profesiones que estamos tratando, absolutamente descabellada esta prohibición, ya que la realización de dichas gestiones es una parte sustancial del contrato. La única interpretación viable, es entender que si la cesión de estos datos está amparada por la ley, como de hecho lo está, no pude estar prohibida por esta norma, que solo se puede referir a un uso o cesión de datos genérica, sin el consentimiento por escrito del Responsable del Fichero . (Ténganse en cuenta que la cesión de datos tampoco precisa el consentimiento del afectado cuando la misma esté amparada por la ley, o responda a la libre y legitima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, art. 11 LOPD).

Igual ocurriría, si dedujéramos que el graduado social, no puede celebrar en modo alguno contratos de mantenimiento con empresas informáticas o empresas que gestionen sus ficheros de datos o se encarguen de la realización de las copias de seguridad . Entendemos como en el caso anterior, que esto no está prohibido por la ley, pero que si sería conveniente, como medida cautelar, regularlo en el contrato a formalizar con los clientes.

3. Implantación de Medidas de Seguridad. Establece el párrafo segundo de este apartado 2, que “En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar” El artículo 9 de la LOPD, que no reproducimos para no aumentar la extensión del artículo, se refiere a la obligación de implantar por parte del Responsable de tratamiento(cliente) y del encargado de tratamiento, en este caso graduado social, de las medidas de protección que se han de adoptar de acuerdo con la naturaleza de los datos, y que se regulan en el RD 994/99.

A este respecto queremos destacar que, en parte por la vía de la interpretación que se ha dado a la Ley, y en parte porque su contenido así hace deducirlo, nos estamos encontrando que en muchos casos el tratamiento de los datos laborales de una empresa contiene datos calificados como de nivel alto, por tratarse de datos de salud, aunque solo vayan referidos a grados de invalidez, rebaja de las retenciones por familiares con minusvalías, incapacidad laboral, etc., o datos de nivel alto por contener información sobre cuotas sindicales. La consecuencia de todo esto es que en la práctica nos podríamos ver obligados a la implantación de medidas de seguridad de nivel alto, con los elevados costes que en materia informática conllevan, registro de todos los datos accedidos, copias de seguridad depositadas en otros lugares, encriptación de las comunicaciones, etc. La propia Memoria de Actividades de la Agencia de Protección de Datos del año 2001, recoge en este sentido un extenso comentario sobre el particular, que por lo ilustrativo reproducimos a continuación.

“La recogida y el tratamiento de los datos especialmente protegidos de salud en el entorno de gestión de nóminas está motivada por la declaración del dato del grado de minusvalía para el cálculo de las retenciones prevista en la legislación del IRPF. Cuando el fichero incluye las fechas de alta y baja de los trabajadores por razón de enfermedad, asociados a un código que identifique la causa de la baja como enfermedad profesional, accidente laboral o enfermedad común, se considera que incluyen y tratan datos de salud, por lo tanto, en ambos casos, se debe declarar el tipo de dato de salud en el apartado correspondiente de Estructura básica y descripción de los tipos de datos / otros datos especialmente protegidos.

La consideración de este tipo de información como un dato de salud, y la consiguiente obligatoriedad de implantar las medidas de nivel alto, hace que los sistemas informáticos que tratan este tipo de datos de carácter personal relativos a las cotizaciones a la seguridad social y a las retenciones del I.R.P.F. tengan que adoptar las medidas de nivel alto.

El artículo 23 del Reglamento de Medidas de Seguridad, establece que la distribución de soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Asimismo, el artículo 24 del Reglamento de Medidas de Seguridad, dispone para este tipo de datos la obligación de implantar un registro de accesos.

Es cada día más común que las normas legales citen circunstancias personales y familiares del perceptor que haya que tener en cuenta por el pagador para la aplicación de porcentaje de retención correspondiente.

En relación con los tratamientos cuya finalidad es la gestión de nóminas de la cual se obtienen las cotizaciones a la Seguridad Social, es necesario tratar los datos de fechas de alta y baja de los trabajadores por razón de enfermedad, asociados a un código que identifique la causa de baja como enfermedad profesional, accidente laboral o enfermedad común, la consideración de este tipo como un dato de salud hace necesario aplicar las medidas de seguridad de nivel alto anteriormente expuesto.

Esta problemática, ha puesto de manifiesto la existencia de un colectivo de responsables, cuyos tratamientos se encuentran obligados a tener implantadas las medidas de seguridad calificadas de nivel alto, con la consiguiente dificultad y coste al acometer los requerimientos que el reglamento de medidas de seguridad exige para este nivel de seguridad.

Esto hace conveniente contemplar la necesidad de estudiar el establecimiento de determinadas excepciones a la obligación de adoptar las medidas de nivel alto, para determinados tratamientos de datos, con el fin de que no conlleve una dificultad y coste excesivo, teniendo en cuenta que estos responsables recaban este tipo de datos obligados por la legislación específica.

Todo ello limitado a los supuestos en que el tratamiento de estos datos venga exigido por disposiciones legales y se evite la realización de tratamientos con fines diferentes.”

4. Devolución o destrucción de los datos y soportes, una vez cumplida la prestación. Los contratos que celebran los graduados sociales, en general, son de los denominados de tracto sucesivo, es decir que no se agotan en la prestación de un servicio en un momento dado, sino que implica la prestación del servicio periódicamente y normalmente durante años. En la mayoría de los casos además, el graduado social actúa como gestor y guardián de la documentación del cliente, quien de esta forma externaliza toda la gestión de nóminas y asuntos sociales.

La aplicación de la norma en un sentido estricto o literal, al igual que en los otros casos comentados anteriormente, resulta del todo absurda si entendiéramos que se debe proceder a la devolución y destrucción de la información con datos personales, cada vez que se tratasen los mismos. En un sentido lógico de la norma , debemos interpretarla como obligación final una vez terminada la relación laboral entre cliente y asesor, y ello si no existe la obligación legal de custodia de dichos datos por un periodo de tiempo superior.

5. Infracción de las normas del artículo 12 Para terminar con el análisis de este artículo, diremos que el apartado 4. sanciona al prestador del servicio, asesor laboral, en caso de incumplimiento de alguna de las normas, considerándole como Responsable del Fichero y aplicándole en consecuencia el mismo régimen disciplinario y sancionador, que como todos sabemos puede llegar a alcanzar hasta multas de 600.000 euros ( 100.000.000 de Pesetas).

Como hemos podido ver a lo largo de estas líneas, y por ir sacando algunas conclusiones, el solo régimen aplicable a los Prestadores de Servicios por cuenta de los Responsables de los Ficheros, acarrea no solo dudas interpretativas de la norma legal en vigor para los asesores sociolaborales, sino que a resultas de la misma es obvio que tendrá que poner especial cuidado en implantar los procedimientos y medidas de seguridad a las que obliga la ley, y lo que quizá, es por lo menos tan importante, dedicar una especial atención a revisar y regular el contenido de los contratos que se celebran con sus clientes.

José A. Lucas

Socio fundador de Alper2000

www.alper2000.com

© 2002-2008 · Asociación de Asesores de Empresa en Internet