Quin nivell de seguretat és exigible als fitxers relatius a la gestió de recursos humans d’empreses o la realització d’activitats d’assessoria fiscal de clients que siguin persones físiques? L’Informe 0511/2009 del gabinet jurídic de l’AEPD dóna resposta a una consulta presentada per un col·lectiu d’assessors fiscals i laborals.
En la resolució esmentada s’estableixen diferents nivells de seguretat aplicables, segons la dada personal amb el qual estiguem tractant.
Així, l’Estatut dels Treballadors ha atribuït facultats específiques a l’empresa que possibiliten el control del desenvolupament de la prestació laboral. L’exercici d’aquestes facultats comporta en moltes ocasions tractaments de dades personals.
Dades de salut. ¿Nivell baix o alt?
En relació amb la gestió de recursos humans i, més concretament, les dades de salut dels empleats, des l’1 de juliol de 2008 és aplicable l’article 81.6 del Reglament de desenvolupament de la Llei Orgànica que disposa clarament que són exigibles les mesures de seguretat de nivell baix en aquells fitxers que continguin un o diversos dels següents dades:
La mera indicació del grau o percentatge de minusvalidesa de l’afectat o dels membres de la unitat familiar als efectes previstos per al càlcul de les retencions en la legislació reguladora de l’Impost sobre la Renda de les Persones Físiques.
La indicació del dades “apte” o “no apte” d’un treballador als efectes que preveu la Llei de Prevenció de Riscos Laborals.
Les dades relacionades amb les obligacions imposades a l’empresari per la legislació vigent en matèria de seguretat social que es limitin a assenyalar únicament l’existència o no de malaltia comuna, malaltia professional o accident laboral o no laboral, així com la incapacitat laboral del treballador.
Per contra, s’han d’implantar les mesures de seguretat de nivell alt als fitxers que continguessin dades relacionades amb els resultats de les accions de vigilància de la salut diferents del merament referit a l’aptitud del treballador o s’incorporessin les dades relacionades amb la concreta malaltia o accident patit pel treballador, vulnerar en major mesura la intimitat de les dades del treballador afectat.
Abans de demanar aquest tipus de dades és necessari analitzar la proporcionalitat del tractament i la legitimació per a aquest.
Dades d’afiliació sindical. ¿Nivell baix o alt?
En un altre ordre de coses, la Constitució Espanyola reconeix el dret a la llibertat sindical, i la legislació de desenvolupament estableix un conjunt de drets, competències i funcions per als representants dels treballadors la satisfacció requereix del tractament de dades personals i de l’establiment de certs fluxos de dades habitualment mitjançant comunicacions d’aquests des de l’empresa.
La cessió de dades més comú a les organitzacions sindicals és la relativa al cobrament de la quota sindical en el pagament de la nòmina. Com que es tracta d’una sol·licitud que ha de realitzar el propi treballador s’han de donar els requisits que estableix l’art. 07/02 LOPD: “Només amb el consentiment exprés i per escrit de l’afectat poden ser objecte de tractament les dades de caràcter personal que revelin la ideologia, afiliació sindical, religió i creences. S’exceptuen els fitxers mantinguts pels partits polítics, sindicats, esglésies, confessions o comunitats religioses i associacions, fundacions i altres entitats sense ànim de lucre, amb finalitat política, filosòfica, religiosa o sindical, quant a les dades relatives als seus associats o membres, sense perjudici que la cessió d’aquestes dades requereix sempre el consentiment previ de l’afectat “.
Pel que fa al tractament en els fitxers de les empreses de la dada d’afiliació sindical dels treballadors, l’Agència s’ha referit al tractament en la nòmina de la condició d’afiliat a un sindicat del treballador amb la finalitat de procedir a la detracció de la quota sindical, arribant a la conclusió que s’aplica en aquest cas el nivell de seguretat baix de protecció d’aquestes dades, en virtut de l’aplicació de l’article 81.5 a) del Reglament de desplegament de la Llei Orgànica 15/1999 LOPD.
Aportació a l’Església Catòlica. ¿Nivell baix o alt?
En aquesta resolució la AEPD se centra, en relació amb el desenvolupament de les activitats d’assessoria fiscal, en l’elecció del contribuent de marcar la casella corresponent a l’aportació a l’Església Catòlica.
En aquest sentit la AEPD s’ha pronunciat afirmant que “la revelació de l’ànim de col·laborar en el sosteniment de l’Església Catòlica no revela necessàriament les creences del contribuent”. En conseqüència, en no tenir aquesta dada el caràcter d’especialment protegit, el seu tractament exigirà, almenys, la implantació de les mesures de seguretat de nivell baix, previstes en el Reglament de desenvolupament de la Llei Orgànica 15/1999.
Dada de discapacitat en la nòmina. ¿Nivell baix o alt?
En relació amb el tractament de la dada de discapacitat dins de l’activitat d’assessorament fiscal, l’AEPD ha analitzat la qüestió en diverses ocasions.
Les entitats que desenvolupin activitats d’assessoria fiscal o laboral tindran la condició de responsables del tractament en relació amb les dades necessàries per a la confecció de la declaració de l’impost dels seus clients que tinguin la condició de persones físiques, no sent la mateixa en cap cas un mer encarregat del tractament d’aquells.
S’entén que les assessories recullen les dades de salut de l’afectat per tal que aquest doni compliment a la seva obligació de declarar l’impost sobre la renda de les persones físiques.
Sempre que les dades siguin els merament referits a la discapacitat de l’afectat, operarà l’especialitat que preveu l’article 81.6 del reglament: “Podran implantar les mesures de seguretat de nivell bàsic en els fitxers o tractaments que continguin dades relatives a la salut, referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures públics “.
Contribució a partits polítics o organitzacions sindicals. ¿Nivell baix o alt?
Pel que fa al tractament de les dades referides a la contribució del client dels col·legiats a partits polítics o organitzacions sindicals, en el cas d’una assessoria fiscal o laboral, el tractament de les dades personals del contribuent en aquest cas no es porta a terme amb la finalitat d’efectuar una transferència dinerària al partit o sindicat, sinó per tal d’especificar la deducció que correspon com a conseqüència d’aquestes aportacions.
Sempre que aquesta informació es conservi en suport paper seria possible implantar sobre el fitxer les mesures de nivell bàsic, en virtut de l’article 81.5 b) del reglament estableix que “En cas de fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences , origen racial, salut o vida sexual només s’han d’implantar les mesures de seguretat de nivell bàsic quan (…) es tracti de fitxers o tractaments no automatitzats on de forma incidental o accessòria s’incloguin aquelles dades sense tenir relació amb la seva finalitat ” .
Conclusions
Afirma la Resolució, com a conclusió de l’Informe, que als fitxers relacionats amb la funció d’assessoria fiscal dels clients, s’aplicaran les mesures de seguretat de nivell bàsic sempre que el tractament de les dades de salut es limiti al de discapacitat i les dades relacionats amb les aportacions a partits polítics i sindicats siguin únicament conservats en suport no automatitzat.
El tractament de dades sense consentiment previ de l’afectat en els casos no exceptuats legalment, pot ser motiu d’infracció greu d’acord amb el que disposa l’article 44.3.c) de la Llei Orgànica 15/1999 LOPD.
PEDROSA BUSQUETS & ASSOCIATS, assessors TIC
Copyright © 2016 Pedrosa Busquets & Associats, S.L. – Tots els drets reservats –