viernes, 10 de enero de 2014

NIVEL DE SEGURIDAD ¿ALTO, MEDIO O BÁSICO? PARA DATOS DE AFILIACIÓN SINDICAL Y SALUD.

Será el segundo artículo que publico relativo a la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre. El motivo, hace unos días hablando con un compañero que tiene una consultoría como la mía, me comentaba que a él le habían hecho un documento de seguridad en el cual aparecía encuadrado en el nivel alto de seguridad. Personalmente me extraño, por lo que hasta la fecha había leído sobre el tema. Así que le pregunté los motivos, me dió dos:

Primero por tener datos de afiliación sindical: como consultor las empresas le pasan los datos de afiliación para que en la nómina realice el descuento correspondiente que luego la empresa paga al sindicato en cuestión. Eso lo encuadra en el nivel alto (ver artículo 81.3.a del Real Decreto 1720/2007 de 21 de diciembre).

Segundo por la información sobre la salud. Las empresas le pasan los datos sobre el grado de minusvalía de los trabajadores que tienen que contratar, para hacer el contrato como discapacitado o para el cálculo del IRPF. Eso lo encuadra en el nivel alto (ver artículo 81.3.a del Real Decreto 1720/2007 de 21 de diciembre).

Como este tema puede afectar tanto al profesional que hace nóminas y seguros sociales como al departamento de recursos humanos de aquellas empresas que se hacen las nóminas, voy a pasar a dar mi opinión.

En principio nos puede parecer que los motivos expuestos son suficientes para tener que aplicar el nivel alto de protección, afiliación sindical y salud. Pero, los lectores habituales de mi blog saben que me gustan los peros,  si seguimos leyendo el  Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, podríamos llegar a otra conclusión.

Leamos  dos apartados más del artículo  81, el  5.a y  el  6:

Artículo 81 << 5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros>>.


Por lo tanto, según yo entiendo sí la empresa te dice que a una serie de trabajadores hay que retenerles, pongamos 5 euros, en la nómina por estar afiliados a un sindicato, tú como consultor, ni siquiera necesitas saber qué sindicato es, simplemente retienes esos importes para después poder hacer la transferencia dineraria. Ojo si la empresa se hace sus propias nóminas,  saber el sindicato no es un problema, pues es éste mismo el que le pasa los datos con el consentimiento de los trabajadores afiliados y su uso es a los solos efectos de realizar la nómina y la posterior transferencia.

Artículo 81 <<6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos>>.


Evidentemente, como consultores necesitamos simplemente el grado de minusvalía si queremos hacer un contrato para discapacitados,  para informar en el programa de nóminas y después calcularlas. La empresa lo usa para más cosas, como prevención de riesgos laborales, aunque el nivel de protección continua siendo el mismo, el BÁSICO.


Conclusión:

El hecho de tener datos de afiliación sindical y de grado de minusvalía de los trabajadores para poder hacer la nómina, realizar los ingresos pertinentes al banco o comunicarlo a la Hacienda Pública, cuando sea obligatorio, no nos obliga a estar encuadrados en el nivel alto ni siquiera en el medio de protección. SEGUIMOS ESTANDO EN EL NIVEL BÁSICO, tanto empresas ordinarias como consultores. Por lo menos en lo referente a estos dos datos.

No me he olvidado de los partes de baja, pero como empresas o consultores, que los tenemos que tramitar en la Winsuite, lo único que sabemos es que el trabajador en cuestión está enfermo, la fecha de baja, los días posibles y poco más. El diagnóstico es confidencial y no aparece en el parte que el trabajador entrega a la empresa. Así que, según mi parecer, si no sabes que enfermedad tiene, no estarías encuadrado en el nivel de seguridad Alto. 


 Reflexión:

Quiero advertir al lector que está es mi opinión personal, basada en lo que dice el Real Decreto e incluso la misma Agencia de Protección de Datos en su Guía de Seguridad de Datos -  2010, páginas 54 y 55. Aunque he realizado la consulta por teléfono en la propia Agencia,  para preguntar al respecto, me han dicho que los datos de afiliación sindical y salud implican el nivel de protección alto, de lo cual discrepo bajo las condiciones expuestas en este artículo.  Os invito a leerlo.



Un saludo y espero que si alguien está de acuerdo con mi opinión o en contra participe y aporte sus conocimientos.

JR

4 comentarios:

  1. Hola José Silvano.
    He puesto un enlace a este artículo en un grupo de Linkedin sobre la LOPD:
    http://www.linkedin.com/groups/NIVEL-SEGURIDAD-ALTO-MEDIO-B%C3%81SICO-3388897.S.5828977765541519364?qid=d5181e58-d77f-4d3a-9c9c-dd97e359297e&trk=groups_most_popular-0-b-ttl&goback=%2Egmp_3388897
    Se han vertido opiniones muy interesantes.
    Un saludo

    ResponderEliminar
  2. En el campo de la prevención de riesgos laborales hay algo que llamamos evaluaciones defensivas. Éstas se producen cuando el técnico evaluador marca todos los riesgos posibles, estén o no presentes, por lo que pueda pasar en un futuro. Pienso que como profesionales no podemos caer en la tentación de recomendar a todo el mundo el nivel alto para evitar posibles problemas. Tenemos que analizar la situación e información de cada empresa y decidir cual es su nivel.

    Un saludo y a ver si hay más colaboraciones sobre este tema.

    ResponderEliminar
  3. Tras escribir el artículo y no quedarme contento con la consulta telefónica, he hecho por escrito a la Agencia Española de Protección de Datos la consulta y ayer por la tarde me llego la contestación. En ella dicen que los datos para nómina, tanto salud y afiliación sindical, en la condiciones que comento son del nivel Básico.

    Un saludo. JR

    ResponderEliminar