Será el segundo artículo que publico relativo a la
Ley Orgánica de Protección de Datos 15/1999
de 13 de diciembre. El motivo, hace unos días hablando con un compañero que
tiene una consultoría como la mía, me comentaba que a él le habían hecho un documento
de seguridad en el cual aparecía encuadrado en el nivel alto de seguridad.
Personalmente me extraño, por lo que hasta la fecha había leído sobre el tema. Así que le pregunté los motivos, me
dió dos:
Primero
por tener datos de afiliación sindical: como consultor las empresas le pasan
los datos de afiliación para que en la nómina realice el descuento
correspondiente que luego la empresa paga al sindicato en cuestión. Eso lo
encuadra en el nivel alto (ver artículo 81.3.a del Real Decreto 1720/2007 de 21 de diciembre).
Segundo
por la información sobre la salud. Las empresas le pasan los datos sobre el
grado de minusvalía de los trabajadores que tienen que contratar, para hacer el
contrato como discapacitado o para el cálculo del IRPF. Eso lo encuadra en el
nivel alto (ver artículo 81.3.a del Real Decreto 1720/2007 de 21 de diciembre).
Como
este tema puede afectar tanto al profesional que hace nóminas y seguros
sociales como al departamento de recursos humanos de aquellas empresas que se
hacen las nóminas, voy a pasar a dar mi opinión.
En
principio nos puede parecer que los motivos expuestos son suficientes para
tener que aplicar el nivel alto de protección, afiliación sindical y salud.
Pero, los lectores habituales de mi blog saben que me gustan los peros, si seguimos leyendo el Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal, podríamos
llegar a otra conclusión.
Leamos
dos apartados más del artículo 81, el 5.a y el 6:
Artículo 81 << 5.
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual bastará la implantación
de las medidas de seguridad de nivel básico cuando:
a)
Los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a las entidades de las que los afectados sean asociados o miembros>>.
Por lo tanto, según yo entiendo sí la empresa te dice que a una
serie de trabajadores hay que retenerles, pongamos 5 euros, en la nómina por
estar afiliados a un sindicato, tú como consultor, ni siquiera necesitas saber
qué sindicato es, simplemente retienes esos importes para después poder hacer
la transferencia dineraria. Ojo si la empresa se hace sus propias nóminas, saber el sindicato no es un problema, pues es
éste mismo el que le pasa los datos con el consentimiento de los trabajadores
afiliados y su uso es a los solos efectos de realizar la nómina y la posterior
transferencia.
Artículo 81 <<6. También podrán implantarse las medidas de
seguridad de nivel básico en los ficheros o tratamientos que contengan datos
relativos a la salud, referentes exclusivamente al grado de discapacidad o la
simple declaración de la condición de discapacidad o invalidez del afectado,
con motivo del cumplimiento de deberes públicos>>.
Evidentemente, como consultores necesitamos simplemente el grado
de minusvalía si queremos hacer un contrato para
discapacitados, para informar en el
programa de nóminas y después calcularlas. La empresa lo usa para más cosas,
como prevención de riesgos laborales, aunque el nivel de protección continua
siendo el mismo, el BÁSICO.
Conclusión:
El
hecho de tener datos de afiliación sindical y de grado de minusvalía de los
trabajadores para poder hacer la nómina, realizar los ingresos pertinentes al
banco o comunicarlo a la Hacienda Pública ,
cuando sea obligatorio, no nos obliga a estar encuadrados en el nivel alto ni siquiera en el medio de protección. SEGUIMOS ESTANDO EN EL NIVEL BÁSICO, tanto empresas
ordinarias como consultores. Por lo menos en lo referente a estos dos datos.
No me he olvidado de los partes de baja, pero como empresas o consultores, que los tenemos que tramitar en la Winsuite, lo único que sabemos es que el trabajador en cuestión está enfermo, la fecha de baja, los días posibles y poco más. El diagnóstico es confidencial y no aparece en el parte que el trabajador entrega a la empresa. Así que, según mi parecer, si no sabes que enfermedad tiene, no estarías encuadrado en el nivel de seguridad Alto.
Reflexión:
Quiero advertir al lector que está es mi opinión personal, basada en lo que dice el Real Decreto e incluso la misma Agencia de Protección de Datos en su Guía de Seguridad de Datos - 2010, páginas 54 y 55. Aunque he realizado la consulta por teléfono en la propia Agencia, para preguntar al respecto, me han dicho que los datos de afiliación sindical y salud implican el nivel de protección alto, de lo cual discrepo bajo las condiciones expuestas en este artículo. Os invito a leerlo.
Un
saludo y espero que si alguien está de acuerdo con mi opinión o en contra participe y aporte sus conocimientos.
JR
Hola José Silvano.
ResponderEliminarHe puesto un enlace a este artículo en un grupo de Linkedin sobre la LOPD:
http://www.linkedin.com/groups/NIVEL-SEGURIDAD-ALTO-MEDIO-B%C3%81SICO-3388897.S.5828977765541519364?qid=d5181e58-d77f-4d3a-9c9c-dd97e359297e&trk=groups_most_popular-0-b-ttl&goback=%2Egmp_3388897
Se han vertido opiniones muy interesantes.
Un saludo
Gracias por el interés.
EliminarUn saludo. JR
En el campo de la prevención de riesgos laborales hay algo que llamamos evaluaciones defensivas. Éstas se producen cuando el técnico evaluador marca todos los riesgos posibles, estén o no presentes, por lo que pueda pasar en un futuro. Pienso que como profesionales no podemos caer en la tentación de recomendar a todo el mundo el nivel alto para evitar posibles problemas. Tenemos que analizar la situación e información de cada empresa y decidir cual es su nivel.
ResponderEliminarUn saludo y a ver si hay más colaboraciones sobre este tema.
Tras escribir el artículo y no quedarme contento con la consulta telefónica, he hecho por escrito a la Agencia Española de Protección de Datos la consulta y ayer por la tarde me llego la contestación. En ella dicen que los datos para nómina, tanto salud y afiliación sindical, en la condiciones que comento son del nivel Básico.
ResponderEliminarUn saludo. JR