Por Isabel Pérez
¿Qué nivel de seguridad es exigible a los ficheros relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas? El Informe 0511/2009 del gabinete jurídico de la AEPD da respuesta a una consulta presentada por un colectivo de asesores fiscales y laborales.
En la resolución citada se establecen distintos niveles de seguridad aplicables, según el dato personal con el que estemos tratando.
Así, el Estatuto de los Trabajadores ha atribuido facultades específicas a la empresa que posibilitan el control del desarrollo de la prestación laboral. El ejercicio de estas facultades comporta en muchas ocasiones tratamientos de datos personales.
Datos de salud. ¿Nivel bajo o alto?
En relación con la gestión de recursos humanos y, más concretamente, los datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente que serán exigibles las medidas de seguridad de nivel bajo en aquellos ficheros que contengan uno o varios de los siguientes datos:
- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.
Por el contrario, deben implantarse las medidas de seguridad de nivel alto a los ficheros que contuvieran datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, al vulnerarse en mayor medida la intimidad de los datos del trabajador afectado.
Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la legitimación para el mismo.
Datos de afiliación sindical. ¿Nivel bajo o alto?
En otro orden de cosas, la Constitución Española reconoce el derecho a la libertad sindical, y la legislación de desarrollo establece un conjunto de derechos, competencias y funciones para los representantes de los trabajadores cuya satisfacción requiere del tratamiento de datos personales y del establecimiento de ciertos flujos de datos habitualmente mediante comunicaciones de éstos desde la empresa.
La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD: «Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado».
Por lo que respecta al tratamiento en los ficheros de las empresas del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, llegando a la conclusión que se aplica en este supuesto el nivel de seguridad bajo de protección de estos datos, en virtud de la aplicación del artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999.
Aportación a la Iglesia Católica. ¿Nivel bajo o alto?
En esta resolución la AEPD se centra, en relación con el desarrollo de las actividades de asesoría fiscal, en la elección del contribuyente de marcar la casilla correspondiente a la aportación a la Iglesia Católica.
En este sentido la AEPD se ha pronunciado afirmando que «la revelación del ánimo de colaborar en el sostenimiento de la Iglesia Católica no revela necesariamente las creencias del contribuyente». En consecuencia, al no tener dicho dato el carácter de especialmente protegido, su tratamiento exigirá, al menos, la implantación de las medidas de seguridad de nivel bajo, previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.
Dato de discapacidad en la nómina. ¿Nivel bajo o alto?
En relación con el tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la AEPD ha analizado la cuestión en diversas ocasiones.
Las entidades que desarrollen actividades de asesoría fiscal o laboral tendrán la condición de responsables del tratamiento en relación con los datos necesarios para la confección de la declaración del impuesto de sus clientes que tengan la condición de personas físicas, no siendo la misma en ningún caso un mero encargado del tratamiento de aquéllos.
Se entiende que las asesorías recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su obligación de declarar el impuesto sobre la renta de las personas físicas.
Siempre que los datos sean los meramente referidos a la discapacidad del afectado, operará la especialidad prevista en el artículo 81.6 del reglamento: «Podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos«.
Contribución a partidos políticos u organizaciones sindicales. ¿Nivel bajo o alto?
Por lo que se refiere al tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en el caso de una asesoría fiscal o laboral, el tratamiento de los datos personales del contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.
Siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.
Conclusiones
Afirma la Resolución, como conclusión del Informe, que a los ficheros relacionados con la función de asesoría fiscal de los clientes, se aplicarán las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.
El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.