Protección de Datos en
Asesorías Fiscales y Laborales
En numerosas ocasiones, los
asesores laborales y fiscales nos preguntan por el nivel de seguridad que deben
aplicar en la Protección de Datos de sus despachos. Existen distintos niveles
de seguridad dependiendo del tipo de datos con el que estemos trabajando: Alto,
Medio o Bajo. Sin embargo, situaciones concretas en el desarrollo del servicio
para sus clientes posibilitan alguna que otra confusión.
El Informe 0511/2009 del
gabinete jurídico de la AEPD da respuesta a una consulta presentada por
un colectivo de asesores fiscales y laborales. En la resolución citada
se establecen distintos niveles de seguridad aplicables, según el dato personal
con el que estemos tratando.
Así, el Estatuto de los
Trabajadores ha atribuido facultades específicas a la empresa que posibilitan
el control del desarrollo de la prestación laboral. El ejercicio de
estas facultades comporta en muchas ocasiones tratamientos de datos personales.
Datos de salud
En relación con la gestión de recursos humanos y, más concretamente, los
datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el
artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente
que serán
exigibles las medidas de seguridad de nivel bajo en aquellos
ficheros que contengan uno o varios de los siguientes datos:
- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.
Por el contrario, deben implantarse las medidas de
seguridad de nivel alto a los ficheros que contuvieran datos
relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del
trabajador o incorporasen los datos relacionados con la concreta enfermedad o
accidente padecido por el trabajador, al vulnerarse en mayor medida la
intimidad de los datos del trabajador afectado.
Antes de recabar este tipo de
datos es necesario analizar la proporcionalidad del tratamiento y la
legitimación para el mismo.
Datos de afiliación
sindical
En otro orden de cosas, la Constitución Española reconoce el derecho a la
libertad sindical, y la legislación de desarrollo establece un conjunto de
derechos, competencias y funciones para los representantes de los
trabajadores cuya satisfacción requiere del tratamiento de datos personales y
del establecimiento de ciertos flujos de datos habitualmente mediante
comunicaciones de éstos desde la empresa.
La cesión de datos más común a
las organizaciones sindicales es la relativa al cobro de la cuota sindical en
el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el
propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD:
“Sólo
con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento
los datos de carácter personal que revelen la ideología, afiliación sindical,
religión y creencias. Se exceptúan los ficheros mantenidos por los partidos
políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad
sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos
a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos
precisará siempre el previo consentimiento del afectado”.
Por lo que respecta al
tratamiento en los ficheros de las empresas del dato de afiliación sindical de
los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la
condición de afiliado a un sindicato del trabajador con la finalidad de
proceder a la detracción de la cuota sindical, llegando a la conclusión que se
aplica en este supuesto el nivel de seguridad bajo de
protección de estos datos, en virtud de la aplicación del artículo 81.5 a)
del Reglamento de desarrollo de la Ley Orgánica 15/1999.
Aportación a la Iglesia
Católica
En esta resolución la AEPD se
centra, en relación con el desarrollo de las actividades de asesoría fiscal, en
la elección del contribuyente de marcar la casilla correspondiente a la
aportación a la Iglesia Católica.
En este sentido la AEPD se ha
pronunciado afirmando que “la revelación del ánimo de colaborar en el
sostenimiento de la Iglesia Católica no revela necesariamente las
creencias del contribuyente”. En consecuencia, al no tener dicho dato
el carácter de especialmente protegido, su tratamiento exigirá, al menos, la
implantación de las medidas de seguridad de nivel bajo,
previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.
Dato de discapacidad en
la nómina
En relación con el tratamiento
del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la
AEPD ha analizado la cuestión en diversas ocasiones.
Las entidades que
desarrollen actividades de asesoría fiscal o laboral tendrán la condición de
responsables del tratamiento en relación con los datos necesarios para la
confección de la declaración del impuesto de sus clientes que tengan la
condición de personas físicas, no siendo la misma en ningún caso un mero
encargado del tratamiento de aquéllos.
Se entiende que las asesorías
recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su
obligación de declarar el impuesto sobre la renta de las personas físicas.
Siempre que los datos sean los
meramente referidos a la discapacidad del afectado, operará la especialidad
prevista en el artículo 81.6 del reglamento:
“Podrán implantarse las medidas
de seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la simple declaración de la condición
de discapacidad o invalidez del afectado, con motivo del cumplimiento de
deberes públicos“.
Contribución a los
partidos políticos u organizaciones sindicales
Por lo que se refiere al
tratamiento de los datos referidos a la contribución del cliente de los
colegiados a partidos políticos u organizaciones sindicales, en el caso de una
asesoría fiscal o laboral, el tratamiento de los datos personales del
contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar
una transferencia dineraria al partido o sindicato, sino con el objeto de
especificar la deducción que corresponde como consecuencia de dichas
aportaciones.
Siempre que dicha información se
conserve en soporte papel sería posible implantar sobre el fichero las medidas
de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En
caso de ficheros o tratamientos de datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual bastará la
implantación de las medidas de seguridad de nivel básico cuando
(…) se trate de ficheros o tratamientos no automatizados en los
que de forma incidental o accesoria se contengan aquellos datos sin guardar
relación con su finalidad”.
Conclusiones
Afirma la Resolución, como conclusión del
Informe, que a los ficheros relacionados con la función de asesoría fiscal de
los clientes, se aplicarán las medidas de seguridad de nivel básico
siempre que el tratamiento de los datos de salud se limite al de discapacidad y
los datos relacionados con las aportaciones a partidos políticos y sindicatos
sean únicamente conservados en soporte no automatizado.
El tratamiento de datos sin
consentimiento previo del afectado en aquellos supuestos no exceptuados
legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en
el artículo 44.3.c) de la Ley Orgánica 15/1999.