Nivel de seguridad en Asesorías fiscales y laborales

3283

La Agencia Española de Protección de Datos (AEPD) ha publicado varios informes de su Gabinete Jurídico analizando la cuestión sobre cuál es el nivel de seguridad exigible a algunos de los datos personales que por lo específico de su actividad mantienen las asesorías fiscales y laborales. El más reciente sobre la materia es el Informe 0511/2009, que aclara algunos de los ficheros sobre los que basta implantar medidas de seguridad de nivel de bajo a pesar de conservar en ciertos casos datos especialmente protegidos.

Tipo de datos que manejan las Asesorías

En cualquier caso, y tratándose de este sector, se ha de recordar el artículo 81 del Real Decreto 1720/2007 (reglamento LOPD), que dice:

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los relativos a la comisión de infracciones administrativas o penales.

Datos de trabajadores

En relación con los ficheros de gestión de nóminas o recursos humanos, el citado informe aclara que será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a:

  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Para cualquier otro tipo de datos relacionados con la salud de los trabajadores deberán implantarse las medidas de seguridad de nivel alto.

En referencia al tratamiento del dato de afiliación sindical de los trabajadores, se incluye dentro del supuesto contemplado en el artículo 81.5 a) del Reglamento LOPD, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador.

Datos fiscales

Respecto a las asesorías fiscales, se analizan varios tipos de datos:

  • Casilla correspondiente a la aportación a la Iglesia Católica en el impuesto de la renta. El dato no implica la revelación de las creencias religiosas de los afectados, no procediendo en consecuencia por el mero tratamiento de este dato la implantación de las medidas de nivel alto.
  • Dato de discapacidad. Se aplica la excepción del artículo 81.6 del Reglamento LOPD al tratarse de datos recogidos con motivo del cumplimiento de deberes públicos.
  • Contribución del cliente a partidos políticos u organizaciones sindicales. Se trata de un tema diferente al indicado para el dato de afiliación sindical de los trabajadores, ya que en este caso el tratamiento no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones. Aquí se aplica la excepción del artículo 81.5.b) del Reglamento, acerca de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan datos sin guardar relación con su finalidad. Como además recientemente se publicó una modificación parcial de este artículo, ya se pueden incluir también en esta excepción los ficheros automatizados.

¿Cómo deben cumplir la LOPD las Asesorías?

Al igual que cualquier otra entidad o profesional que maneje datos personales, las Asesorías están obligadas a cumplir las exigencias de la LOPD. Para ello deben seguir una serie de pasos como son:

Análisis del tipo de datos personales que tratamos

En primer lugar hay que realizar un análisis exhaustivo de los ficheros que posee la Asesoría y de la obligatoriedad o no de inscribirlos en la Agencia Española de Protección de Datos. Si incorporan datos personales es obligatoria su inscripción.

Los datos que generalmente manejan las Asesorías son datos de nivel básico y medio.

Inscribir los ficheros

Cumplimentar el formulario NOTA reglamentario establecido por la Agencia de Protección de Datos y remitirlo a su Registro General.

Debemos esperar a que la Agencia de Protección de Datos registre dicho fichero y se asigne un número de inscripción. Ese número significa que los dicheros están inscritos en la Agencia de Protección de Datos y que la Agencia conoce la existencia de esos ficheros asociados a la organización.

Elaborar un Documento de Seguridad

Es obligatorio elaborar el Documento de Seguridad donde se describen los procesos que la organización debe llevar a cabo para salvaguardar la privacidad de los datos personales inscritos en los ficheros.

Los apartados mínimos que debe incluir el Documento de Seguridad son los siguientes: ámbito de aplicación: especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Contratos y cláusulas legales

Elaboración del clausulado de cesión, transferencia internacional, y gestión de datos por parte de terceros si procede. Entre estos están:

  • Contrato para el tratamiento de datos por cuenta de tercero.
  • Compromiso de confidencialidad de los empleados/as en cuanto al uso y divulgación de información.
  • Cláusula para los contratos laborales.
  • Cláusula para formularios utilizados para la recogida de datos de carácter personal (datos clasificados con nivel de seguridad básico y medio)
  • Cláusulas a incluir en los formularios utilizados por la empresa en la recogida de datos de carácter personal (niveles medio y alto)
  • Cláusula clientes-proveedores al iniciar la relación comercial. Derecho de información en la recogida de datos.

Ejercicio de los derechos ARCO

La Ley otorga una gran importancia a los derechos de los ciudadanos a Acceder, Rectificar, Cancelar y Oponerse (A.R.C.O.) en cuanto al uso de sus datos personales. Para ello existen unas plantillas, que deben estar a disposición de todo aquél que lo exija y haga uso de ellas.

Auditoría

Finalmente hay que realizar una auditoria interna cada dos años con la finalidad de delimitar la conformidad del sistema y ofrecer la posibilidad de mejorarlo si es necesario.

La auditoria es una herramienta de control y supervisión  que permite conocer fallos en el manejo de datos personales, mediante  la investigación, revisión, consulta, comprobación, y obtención de toda evidencia sobre un hecho o sistemas  establecido, para el cumplimiento y la garantía del buen uso de los datos personales, llevada a cabo por personal cualificado.

Consiste en una revisión de las medidas informáticas, físicas o de archivos, así como organizativas y documentales que se implantaron en su día y que existen en la asesoría, que tienen que ver con el tratamiento de datos que efectúa ésta, respecto a los datos personales; ver también si es correcto el funcionamiento actual de nuestra empresa de acuerdo con la ley o si se ha producido un cambio que requiera una mejora.

Nivel de seguridad en Asesorías fiscales y laborales
3.7 (74.29%) 7 votos

15 Comentarios

  1. Con respecto a los datos de salud. Cuando el empleado entrega el parte de baja médica al empresario, ¿a partir de qué datos se considerarían de nivel alto? Es decir, el hecho de que en el parte de baja figure la baja por enfermedad común y se especifique que es una gripe ¿sería un dato de nivel alto? ¿Qué habría que hacer para poder aplicar únicamente las medidas de nivel básico?
    Gracias. Un saludo.

    • Laura: En relación con los ficheros de gestión de nóminas o recursos humanos, será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a:

      -La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

      -La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

      -Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

      Para cualquier otro tipo de datos relacionados con la salud de los trabajadores deberán implantarse las medidas de seguridad de nivel alto.

  2. Buenas tardes, respecto a lo que pregunta Laura, hay dos partes de baja, uno para el trabajador en el que se detalla la enfermedad ( gripe, conjuntivitis,,,)y otro para la empresa en el que no se detalla. Es importante que te den ese y no tendrás datos de salud, por lo que el nivel de seguridad será básico.
    Analizamos esa situación en mi empresa y determinamos un nivel medio de seguridad en el fichero de laboral.

    Sin embargo, ahora nos ha surgido la duda respecto al párrafo:”Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador”

    Ya que en la comunicación de un accidente de trabajo a la mutua se debe de concretar el accidente como tal, y lo que se ha hecho el trabajador, por lo que entendemos que el nivel a aplicar sería alto. ¿no sería entonces alto para todas las empresas? Todas son susceptibles de tener que comunicar un accidente laboral a la mutua y a la SSSS.

    Gracias,

  3. Las asesoría fiscales según la Ley 10/2010 de prevención del blanqueo de capitales y financiación del terrorismo. Son sujetos obligados, artículo 2.1m). Por lo que según el artículo 32.5, de la misma Ley, deberán aplicar medidas de Nivel Alto.

  4. Jesús, consideras tú pues, que en caso de que las asesorías traten datos relativos a sanciones e infracciones administrativas, cosa bastante frecuente, debería crearse un fichero específico de nivel MEDIO para este tipo de datos?

  5. A partir del próximo 1 de julio, todas las entidades jurídicas tendrán que implantar modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos. Según determina el artículo 31bis,2.1ª, de la reforma aprobada en marzo del Código Penal. Y dentro de estos modelos de organización (corporate compliance)esta incluida lo que se empieza a conocer como Canal de Denuncias o Línea Whistleblowing. Por lo que la AEPD en sus recomendaciones sobre la Creación de sistemas de denuncias internas en las empresas (mecanismos de “whistleblowing”), determina que se debe incorporar en su tratamiento las medidas en protección de datos de Nivel Alto. Con lo que dentro de poco tiempo en cumplimiento de las leyes que se están aprobando (véase la reforma del Código Penal), un porcentaje muy alto de entidades jurídicas (por no decir todas) serán de Nivel Alto, sea cual sea su perfil de negocio o actividad.

  6. Buenos días Jesús, un post muy interesante. Tengo una duda: cuando hablamos de los datos de infracciones del interesado, no sé si cuando se embarga la nómina a un empleado por deudas que pueda tener con la Administración Pública, estas nóminas necesitarían de un nivel de protección medio, o continuaría siendo de nivel básico. Muchas gracias.

  7. Buenas tardes Jesús, no me queda claro en cuanto a los asesores fiscales, las medidas de seguridad a aplicar. Es decir entiendo las excepciones a la aplicación del nivel alto, pero en qué medida deberían aplicar las de nivel medio?
    ¿Los datos que se tienen de un cliente para el asesoramiento y gestión fiscal implican un nivel de seguridad medio? ¿ por el tratamiento de qué tipo de datos? únicamente los relativos a sanciones e infracciones administrativas? no me queda claro que las asesoráis fiscales traten este tipo de datos … si me lo puedes aclarar… Gracias

  8. Carla, en primer lugar la medidas de nivel alto no son excepciones. Vienen determinadas por las obligaciones que en prevención de blanqueo de capitales están obligados los asesores fiscales (art. 2.1 letra m),debido a esto tienen que dar de alta un fichero ante el RG de la AEPD de nivel alto. En segundo lugar, se tienen que aplicar las medidas de nivel medio solo en el caso que determina el art. 81.2 del RD de la LOPD. Si tu asesoría fiscal no trata datos que se especifican en dicho artículo, se tendría que aplicar el nivel básico, pero al tener que cumplir con la Ley de prevención del blanqueo de capitales, el nivel aplicar de alto (art. 32 de dicha ley). Siempre hablando de asesorías, que además de otros datos, tratan datos fiscales y no de asesorías que tratan exclusivamente datos laborales.

  9. Buenos día Jesús, muchas gracias, me ha quedado claro
    Me expresé mal, al decir “ excepciones a la aplicación del nivel alto” quería decir que entiendo la no aplicación del nivel alto de seguridad en los datos que relacionas en el artículo
    Respecto a los datos de los asesores fiscales, entiendo entonces que hay que dar de alta un fichero de blanqueo de capitales con nivel alto.
    Muchas gracias

  10. Exacto Carla, pero además implantar las medidas de diligencia debida dentro de la entidad y crear el manual de prevención del blanqueo de capitales y de la financiación del terrorismo, tal como determina el Reglamento de Desarrollo 304/2014 de dicha Ley.

Dejar respuesta