La actividad de las asesorías laborales de recursos humanos o fiscales implica en numerosas ocasiones el tratamiento de los datos especialmente protegidos ya sea de los trabajadores de las empresas clientes, ya sea directamente de las propias personas físicas que requieren sus servicios. En mayoría de los casos, este hecho las obliga a adoptar las medidas de nivel alto para garantizar la seguridad e integridad de la información manejada
No obstante, en relación con las labores de gestión de recursos humanos de los datos de salud de los empleados, será de aplicación la previsión contenida en el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999 (en adelante RLOPD) y, en consecuencia, serán únicamente exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan:
– La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo del Impuesto sobre la Renta de las Personas Físicas.
– La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
– La información que se limite a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.
Por el contrario, si se incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador no será posible aplicar la excepción del artículo 81.6 del RLOPD, debiendo implantarse las medidas de seguridad de nivel alto.
Por lo que respecta al tratamiento en ficheros que contengan datos de afiliación sindical de los trabajadores, con el fin de detraer la cuota sindical, sería de aplicación el artículo 81.5 del RLOPD, que excluye de la implantación de las medidas de seguridad de nivel alto, los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador, siendo suficientes las medidas de nivel básico.
En cuanto al tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal para la confección de la declaración del impuesto de sus clientes personas físicas, la asesoría no es un mero encargado de tratamiento, ya que el cliente como persona física tampoco es un responsable del fichero conforme lo define la normativa de protección de datos. No obstante, aún cuando los datos no se recogen para que el responsable cumpla con su deber legal sí son recabados con ocasión del cumplimiento por el propio afectado de dicha obligación, por lo que sí que operará la especialidad prevista en el artículo 81.6 del reglamento, siempre que los datos sean los meramente referidos a la discapacidad del afectado.
En relación con la opción del interesado de marcar la casilla correspondiente a la aportación a la Iglesia Católica se considera que la contribución puede traer causa de las relaciones personales o familiares del sujeto o de su conocimiento de la obra llevada a cabo por la Iglesia, denotando la marcación de la casilla únicamente la preferencia del contribuyente por una determinada obra social, sin que ello implique necesariamente que aquél profesa unas determinadas creencias por lo que no sería de aplicación a su tratamiento lo dispuesto en el artículo 81.3 del RLOPD.
En consecuencia, este tratamiento no exigirá por sí mismo la implantación de las medidas de seguridad de nivel alto previstas en el RLOPD.
Por último, el tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en principio habría que considerar este dato como especialmente protegido, dado que en este caso el tratamiento no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.
Además, en estos supuestos la información sindical normalmente se recoge en soporte documental, y en este tipo de documentos puede constar la condición de afiliado al partido político o sindicato.
Sin embargo, debe igualmente recordarse que el artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.
Por lo que siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico.
Áudea Seguridad de la Información
Departamento Legal