Protección de Datos en Asesorías Fiscales y Laborales

             En numerosas ocasiones, los asesores laborales y fiscales nos preguntan por el nivel de seguridad que deben aplicar en la Protección de Datos de sus despachos. Existen distintos niveles de seguridad dependiendo del tipo de datos con el que estemos trabajando: Alto, Medio o Bajo. Sin embargo, situaciones concretas en el desarrollo del servicio para sus clientes posibilitan alguna que otra confusión. 

           El Informe 0511/2009 del gabinete jurídico de la AEPD  da respuesta a una consulta presentada por un colectivo de asesores fiscales y laborales. En la resolución citada se establecen distintos niveles de seguridad aplicables, según el dato personal con el que estemos tratando.

Así, el Estatuto de los Trabajadores ha atribuido facultades específicas a la empresa que posibilitan el control del desarrollo de la prestación laboral. El ejercicio de estas facultades comporta en muchas ocasiones tratamientos de datos personales.

                 Datos de salud   

En relación con la gestión de recursos humanos y, más concretamente, los datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente que serán exigibles las medidas de seguridad de nivel bajo en aquellos ficheros que contengan uno o varios de los siguientes datos: 

• La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
• La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
• Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por el contrario, deben implantarse las medidas de seguridad de nivel alto a los ficheros que contuvieran datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, al vulnerarse en mayor medida la intimidad de los datos del trabajador afectado.

Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la legitimación para el mismo.

Datos de afiliación sindical

En otro orden de cosas, la Constitución Española reconoce el derecho a la libertad sindical, y la legislación de desarrollo establece un conjunto de derechos, competencias y funciones para los representantes de los trabajadores cuya satisfacción requiere del tratamiento de datos personales y del establecimiento de ciertos flujos de datos habitualmente mediante comunicaciones de éstos desde la empresa.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD: 

“Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”.

Por lo que respecta al tratamiento en los ficheros de las empresas del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, llegando a la conclusión que se aplica en este supuesto el nivel de seguridad bajo de protección de estos datos, en virtud de la aplicación del artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999.

Aportación a la Iglesia Católica

En esta resolución la AEPD se centra, en relación con el desarrollo de las actividades de asesoría fiscal, en la elección del contribuyente de marcar la casilla correspondiente a la aportación a la Iglesia Católica.

En este sentido la AEPD se ha pronunciado afirmando que “la revelación del ánimo de colaborar en el sostenimiento de la Iglesia Católica no revela necesariamente las creencias del contribuyente”. En consecuencia, al no tener dicho dato el carácter de especialmente protegido, su tratamiento exigirá, al menos, la implantación de las medidas de seguridad de nivel bajo, previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Dato de discapacidad en la nómina

En relación con el tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la AEPD ha analizado la cuestión en diversas ocasiones.

Las entidades  que desarrollen actividades de asesoría fiscal o laboral tendrán la condición de responsables del tratamiento en relación con los datos necesarios para la confección de la declaración del impuesto de sus clientes que tengan la condición de personas físicas, no siendo la misma en ningún caso un mero encargado del tratamiento de aquéllos.

Se entiende que las asesorías recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su obligación de declarar el impuesto sobre la renta de las personas físicas.

Siempre que los datos sean los meramente referidos a la discapacidad del afectado, operará la especialidad prevista en el artículo 81.6 del reglamento: 

“Podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos“.

Contribución a los partidos políticos u organizaciones sindicales

Por lo que se refiere al tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en el caso de una asesoría fiscal o laboral, el tratamiento de los datos personales del contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.

Siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.

Conclusiones

 Afirma la Resolución, como conclusión del Informe, que a los ficheros relacionados con la función de asesoría fiscal de los clientes, se aplicarán  las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

El coste que supone incumplir la normativa en materia de protección de datos puede ser muy alto.  La Agencia Española de Protección de Datos (AEPD) ha recaudado ya cerca de 8,2 millones de euros en sanciones económicas. A pesar de que la Ley tiene 15 años de vida en nuestro país, continúa registrando un cumplimiento preocupante por parte de las organizaciones.

Según los datos hasta ahora publicados, el sector más castigado ha sido el de las telecomunicaciones aglutinando alrededor del 42 por ciento del total de los procedimientos sancionadores publicados en este primer semestre sumando así, cerca de 5,7 millones de euros en multas.

Algo más del 90 por ciento de los procedimientos sancionadores relativos a las “telcos” recayeron en tan solo tres empresas: Vodafone (con un 43,8 por ciento  del total), Telefónica (con un 29,4 por ciento) y Orange (con un 17,1 por ciento). La mayor parte de estas sanciones han puesto de manifiesto una vez más la carencia de la seguridad de las compañías de telecomunicaciones que siguen sin demostrar haber adoptado las medidas necesarias para acreditar el consentimiento inequívoco de los usuarios a la hora de formalizar cualquier tipo de contratación.

El segundo sector que más sancionado fue el de los bancos y entidades financieras que alcanzaron un 16,2 por ciento del total de los procedimientos sancionadores publicados en este primer semestre, mientras que el tercero ha sido el de suministro y comercialización de energía, gas y agua alcanzando aproximadamente un 10,2 por ciento del total de las resoluciones publicadas.

Estos son datos que deja entrever una importante concienciación de los derechos de los ciudadanos en materia de protección de datos y una carencia alarmante de medidas de seguridad y control por parte de las empresas a la hora de tratar datos personales. Tenemos que tener en cuenta que esta cantidad pueda ser actualizada y por tanto aumentada por parte de la AEPD, ya que las resoluciones de infracción son publicadas a medida que son resueltas y notificadas a las partes afectadas. 

“European Data Protection” bloqueado.

La Unión Europea ha decidido posponer, seguramente hasta después de las elecciones europeas, la aprobación de la nueva directiva en materia de Protección de Datos que sustituiría a la 95/46/CE del parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El motivo principal ha sido el bloqueo entre los gobiernos ante las divergencias legales sobre la autoridad competente a la hora de resolver las disputas entre ciudadanos y empresas de telecomunicaciones.

Los ministros de Justicia de la UE sí están de acuerdo en la creación de una “ventanilla única” para facilitar las denuncias de ciudadanos y empresas, pero no consiguen ponerse de acuerdo sobre el criterio para la designación de la jurisdicción que conoce cada caso. En estos momentos, si quisiéramos denunciar a Google o Facebook, tendríamos que acudir a los tribunales donde se encuentra su domicilio social, Irlanda, y al mismo tiempo ajustarnos a las leyes californianas.

El Ministro español de Justicia, Alberto Ruiz Gallardón, apuesta por una solución que no obligue a los ciudadanos a acudir a jurisdicciones distintos de su residencia. La vicepresidenta de la Comisión Europea y responsable de justicia Viviane Reding presentó a principios de este año el denominado “European Data Protection”, un interesante proyecto que abarca, además del  problema antes expuesto, la implementación de estrictas medidas tendientes a asegurar la confidencialidad de los datos personales y que supone la actuación en cuatro ámbitos de alto impacto:

- Notificación obligatoria de la brecha de datos: la destrucción o pérdida de datos deberá ser informada a los damnificados y a las autoridades responsables de su protección en un plazo no mayor a 24 horas. Este requisito implica conceptualizar la expresión “brecha de datos” en cuanto a cantidad de información perdida como consecuencia de la destrucción de documentos e implicaciones de este suceso.

- Nombramiento de un responsable de protección de datos en todas aquellas organizaciones que cuenten con más de doscientas cincuenta personas: requiere de capacitación y entrenamiento del personal adecuado, por lo tanto será necesaria la definición de los recursos a asignar para el cumplimiento de esta función.

-Multas del 2% de la facturación total de la empresa, que podrían ascender hasta un millón de euros: en caso de infracciones a la normativa y aplicadas por la autoridad reguladora correspondiente, denotan seriedad y compromiso para con la sociedad.

- Otorgamiento a los particulares del “derecho al olvido”: a pesar de su costosa implementación, sobre todo en las redes sociales, permitiría a los ciudadanos en general y/o usuarios de estas plataformas eliminar por completo información de índole personal, o bien la recuperación de datos entregados por algún motivo puntual.

Finaliza el año y ya sabemos tras la Sentencia del Tribunal de la UE, que con respecto al “derecho al olvido” Google ha ganado la batalla, y los ciudadanos de la Unión Europea no pueden oponerse a la publicación de información exacta y completa que pueda ser publicada en una página web, tanto si va a favor o en contra de sus intereses. Si bien es cierto que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, habrá que pensar que ha habido un error de planteamiento al querer ir por la Ley de Protección de Datos, pues el derecho al olvido es un problema de protección del  honor.

“European Data Protection” bloqueado.

La Unión Europea ha decidido posponer, seguramente hasta después de las elecciones europeas, la aprobación de la nueva directiva en materia de Protección de Datos que sustituiría a la 95/46/CE del parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

El motivo principal ha sido el bloqueo entre los gobiernos ante las divergencias legales sobre la autoridad competente a la hora de resolver las disputas entre ciudadanos y empresas de telecomunicaciones.

Los ministros de Justicia de la UE sí están de acuerdo en la creación de una “ventanilla única” para facilitar las denuncias de ciudadanos y empresas, pero no consiguen ponerse de acuerdo sobre el criterio para la designación de la jurisdicción que conoce cada caso. En estos momentos, si quisiéramos denunciar a Google o Facebook, tendríamos que acudir a los tribunales donde se encuentra su domicilio social, Irlanda, y al mismo tiempo ajustarnos a las leyes canadienses.

El Ministro español de Justicia, Alberto Ruiz Gallardón, apuesta por una solución que no obligue a los ciudadanos a acudir a jurisdicciones distintos de su residencia. La vicepresidenta de la Comisión Europea y responsable de justicia Viviane Reding presentó a principios de este año el denominado “European Data Protection”, un interesante proyecto que abarca, además del  problema antes expuesto, la implementación de estrictas medidas tendientes a asegurar la confidencialidad de los datos personales y que supone la actuación en cuatro ámbitos de alto impacto: 

- Notificación obligatoria de la brecha de datos: la destrucción o pérdida de datos deberá ser informada a los damnificados y a las autoridades responsables de su protección en un plazo no mayor a 24 horas. Este requisito implica conceptualizar la expresión “brecha de datos” en cuanto a cantidad de información perdida como consecuencia de la destrucción de documentos e implicaciones de este suceso.

- Nombramiento de un responsable de protección de datos en todas aquellas organizaciones que cuenten con más de doscientas cincuenta personas: requiere de capacitación y entrenamiento del personal adecuado, por lo tanto será necesaria la definición de los recursos a asignar para el cumplimiento de esta función.

-Multas del 2% de la facturación total de la empresa, que podrían ascender hasta un millón de euros: en caso de infracciones a la normativa y aplicadas por la autoridad reguladora correspondiente, denotan seriedad y compromiso para con la sociedad.

- Otorgamiento a los particulares del “derecho al olvido”: a pesar de su costosa implementación, sobre todo en las redes sociales, permitiría a los ciudadanos en general y/o usuarios de estas plataformas eliminar por completo información de índole personal, o bien la recuperación de datos entregados por algún motivo puntual.

Finaliza el año y ya sabemos tras la Sentencia del Tribunal de la UE, que con respecto al “derecho al olvido” Google ha ganado la batalla, y los ciudadanos de la Unión Europea no pueden oponerse a la publicación de información exacta y completa que pueda ser publicada en una página web, tanto si va a favor o en contra de sus intereses. Si bien es cierto que una autoridad nacional de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, habrá que pensar que ha habido un error de planteamiento al querer ir por la Ley de Protección de Datos, pues el derecho al olvido es un problema de protección del  honor.

Menos riesgo, más confianza y más valor añadido.

Sé que estáis hartos de escucharlo: “Si usted no cumple con la LOPD puede llevarse una sanción”. Hoy en día, y con el volumen de datos que manejamos en cualquier actividad empresarial, es absurdo arriesgarse, y a la larga no se reducen costes.

Siempre digo a mis clientes que la implantación de las medidas que marca la Ley Orgánica de Protección de Datos puede convertirse en un valor añadido para su empresa. Al principio ponen cara de pócker…”esto es algo que hay que hacer y puntopelota”. Entonces les explico qué es “valor añadido”, y cómo aportarlo o no puede hacer que un potencial cliente se decante por los productos o servicios de su empresa o de otra.

Parto de la base de que mi cliente conoce perfectamente las necesidades de su sector, conoce los problemas que a sus clientes pueden afectar, pero hay que anticiparse, sumar a su oferta la solución de problemas hipotéticos, contextualizarlos. Busca una solución entonces y ofrecerás un valor añadido, te distinguirás del resto. Quizás piensas que cumplir con la LOPD no aporta más que una política engorrosa para tu actividad. Sin embargo, no debemos olvidar que la legalidad transmite a tus clientes seguridad. Recuerda: la confianza en tu empresa parte de tu compromiso hacia las personas.

Adaptación, actualización y soporte en la aplicación de la Ley de Protección de Datos y Ley de Seguridad en la Información y Comercio Electrónico. (L.O.P.D. y LSSICE)

Green House Consultores es una consultoría especializada en el análisis e implantación de la Ley Orgánica de Protección de Datos 15/1999, de 13 de Diciembre.

Green House Consultores instauramos una solución empresarial rentable, fiable y segura que se ajuste a las prioridades de su empresa.

Para ello, contamos con un equipo multidisciplinar formado por técnicos con un profundo conocimiento del sector. Nuestra consultoría integral y personalizada le ofrecerá seguridad y respaldo formativo para el cumplimiento con la L.O.P.D.

Servicio ofertado

El servicio incluye:

1. Análisis de la situación actual de su empresa.

2. Comprobar si tiene ficheros inscritos ante el Registro General de Protección de Datos y si se corresponden con la situación real y actual de la empresa.

3. Comprobar que su empresa recaba, trata y almacena los datos personales cumpliendo con los principios de calidad, deber de información al interesado y obtención del consentimiento, establecidos legalmente.

4. Analizar si existen cesiones de datos en la actualidad y comprobar que su realización es conforme a derecho.

5. Analizar si existen transferencias internacionales de datos en la actualidad y comprobar que su realización es conforme a derecho.

6. Determinar si se firman los debidos contratos con aquellas personas o entidades que tienen acceso a los datos para la prestación de un servicio al responsable del tratamiento (encargados del tratamiento) y si los mismos contienen las estipulaciones contempladas en la legislación.

7. Análisis del Informe de Auditoría previo – si lo hubiese - con el fin de conocer cuáles eran las deficiencias en el momento de su redacción, las medidas correctoras propuestas, si éstas últimas han sido implementadas y las deficiencias corregidas.

8. Revisión de procedimientos, normativas, reglas y estándares de seguridad elaborados e implantados en la organización.

9. Análisis y verificación del cumplimiento de las obligaciones que le corresponden al responsable de seguridad.

10. Revisión y comprobación del cumplimiento de las políticas internas de su empresa incidiendo en las relacionadas con las funciones y obligaciones del personal (deber de secreto, confidencialidad, etc.).

11. Comprobar que las medidas de seguridad implantadas en su empresa tanto a nivel físico como informático para la defensa de la integridad, seguridad y confidencialidad de los datos personales son las adecuadas y se ajustan a lo señalado en el Real Decreto de desarrollo de la Ley Orgánica de Protección de Datos, Real Decreto 1720/2007.

12. Analizar o redactar el Documento de Seguridad y comprobar que cumple con todos los requisitos de contenido mínimo que marca la Ley, atendiendo a nuevas interpretaciones y recomendaciones de la Agencia de Protección de Datos.

13. Redacción el Informe de Auditoría de su empresa relacionando todas las incidencias encontradas y proponiendo las medidas correctoras o complementarias pertinentes. Se incluyen dos auditorías anuales, una interna y otra de cara a la agencia.
Contacte con nosotros para que un consultor haga un breve análisis de lo que su empresa necesita y le haremos llegar lo antes posible un presupuesto ajustado a sus necesidades.

www.greenhouseconsultores.com                        www.proteccion-de-datos-murcia.es

Blog sobre Protección de Datos

Este blog nace de la mano de Green House Consultores para dar a conocer todo lo que necesitas saber sobre Protección de Datos, como adecuar tu empresa, cuando tienes que hacer la auditoría, cuales son las obligaciones del responsable de seguridad... Inicialmente iremos añadiendo información sobre los servicios que Green House puede realizar por usted en materia  de Protección de Datos.

María Montserrat Medina 
Gerente de GREEN HOUSE CONSULTORES