Nivel de protección de datos en una asesoría

El concepto "asesoría" engloba diferentes tipos de orientaciones de negocio (basta echar un vistazo a esa sección en Páginas Amarillas), pero aquí me referiré a nuestro típico cliente, es decir, que se mueve en el ámbito de lo fiscal, laboral y contable y sus clientes son autónomos y micropymes.
Se trata de un tipo de cliente especialmente interesante, ya que además de pertenecer al prototipo al que queremos dirigirnos (la asesoría suele ser también una micropyme) tiene el importante valor de la prescripción respecto a sus empresas clientes.

En la sección Informes Jurídicos de la AEPD se ha publicado recientemente el Informe 0156/2008 titulado Medidas de seguridad en los ficheros de nóminas y demás especialidades, un informe más largo de lo habitual (11 páginas), prueba de la importancia que se le ha dado al tema.
Anteriormente teníamos también el Informe 0082/2008, pero este se limitaba a hacer un "copia/pega" del nuevo reglamento sin aportar apenas nada.

Independientemente de cualquier informe, la primera cuestión que puede llevar a una asesoría a tener que cumplir con el nivel medio de seguridad está en el artículo 81 del Real Decreto 1720/2007 (nuevo reglamento LOPD):

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los relativos a la comisión de infracciones administrativas o penales.


Entrando ya en el Informe citado, comienza por analizar el asunto de los porcentajes de minusvalía (dato de salud) necesarios para calcular el porcentaje de retención a aplicar.

En primer lugar respecto a las medidas de seguridad que debe de aplicarse al fichero de nóminas, el artículo 81.6 del Real Decreto 1720/2007 señala que “6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.”
Por ello, los datos relativos a la minusvalía siguen siendo datos relativos a la salud, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, como sería el supuesto del fichero de nóminas en el que aparezca un porcentaje de minusvalía para calcular el nivel de retención aplicable en nómina, conforme a lo previsto en el artículo 103.1 del Real Decreto Legislativo 3/2004, de 5 de marzo por el que se aprueba el Texto Refundido del Impuesto sobre la Renta de las Personas Físicas. En consecuencia si el dato de minusvalía se tratará para cuestiones que no constituyan el cumplimiento de deberes públicos, sí deberán de adaptarse mediadas de seguridad de nivel alto.


Continúa con la cuestión de las cuotas sindicales.

Lo mismo ocurrirá respecto de la retención de las cuotas sindicales. La deducción de la cuota sindical es una obligación del empresario que establece la Ley. En consecuencia, los datos relativos a la afiliación sindical siguen siendo datos especialmente protegidos, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, al constituir un deber público del empresario la retención de la cuota sindical, según el artículo 11 de la Ley Orgánica 11/1985, si pueden adoptarse medidas de seguridad de nivel básico.

Sigue con el tema de los partes de baja.

La tercera cuestión hace referencia la artículo 81.5 del Reglamento en relación con un fichero en soporte papel en el que se recogen todos los partes de baja. Atendiendo al tenor literal del artículo 81.5 que establece “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.” .
Podemos concluir que al supuesto de hecho planteado en la consulta, no le resulta de aplicación ninguna de las dos excepciones, dado que no se van a realizar transferencias dinerarias y en cuanto a la segunda excepción alude al carácter incidental o accesorio, de los datos especialmente protegidos que se recojan en el fichero, y ese carácter incidental en ningún caso concurre en el supuesto mencionado, pues el fichero tan sólo contiene los partes de baja y además tiene carácter permanente.


Analiza un fichero de "horas sindicales".

En cuanto al fichero en el que sólo se contengan, datos de aquellos afiliados a un sindicato, que han disfrutado de las llamadas “horas sindicales” previstas en la Ley Orgánica 11/1985, constituye un fichero en el que aparecen datos especialmente protegidos y al que no le resulta aplicable ninguna de las excepciones anteriormente señaladas, por ello deben de adoptarse medidas de seguridad de nivel alto, dado que así resulta del contenido del artículo 81.3 del Reglamento que establece “Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.”

Y termina con un nueva confirmación del carácter restrictivo del artículo 2.2 del nuevo reglamento, ese que ha dado tanto que hablar (casi siempre erróneamente en mi opinión) y que dice:

Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.


Aquí recurre a otro informe anterior (Informe jurídico 42/2008) y reafirma la tesis que hemos siempre mantenido aquí:

Así sucedería en caso de que el tratamiento responda a relaciones “business to business”, de modo que las comunicaciones dirigidas a la empresa, simplemente, incorporen el nombre de la persona como medio de representar gráficamente el destinatario de la misma. Por el contrario, sin la relación fuera “business to consumer”, siendo relevante el sujeto cuyo dato ha sido tratado no sólo en cuanto a la posición ocupada sino como destinatario real de la comunicación, el tratamiento se encontraría plenamente sometido a la Ley Orgánica 15/1999, no siendo de aplicación lo dispuesto en el artículo 2.2 del Reglamento.

Como conclusión podemos decir que (en lo que se refiere a los temas tratados en este informe) para que una asesoría pueda mantenerse en un nivel bajo de seguridad debería al tiempo no llevar nunca sanciones administrativas ni penales de sus clientes y no tener ficheros con partes de baja u "horas sindicales".

En cualquier caso no olvidemos nunca la advertencia con la que se inicia la sección de Informes Jurídicos:

Es un objetivo de la Agencia Española de Protección de Datos atender todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos, y en este sentido, se emiten los informes jurídicos que se publican en esta sección de la página web.
No obstante, debe significarse que dichos informes no tienen carácter vinculante y no prejuzgan el criterio del Director de la Agencia en el ejercicio de sus funciones, entre las que la Ley no prevé la evacuación de consultas vinculantes.