Normalmente cuando hablamos de final de algo, lo primero que nos viene a la cabeza es que ya se puede eliminar o destruir, pero este no es necesariamente el caso cuando tratamos datos personales por lo que vamos a analizar de forma resumida como finaliza el tratamiento y las acciones a tomar.

El final del tratamiento del dato puede venir por dos causas, que desaparezca la finalidad por la que fueron recabados o por petición expresa del afectado en el ejercicio de sus derechos. De esta manera  el artículo 4 donde se establece uno de los principios fundamentales de la LOPD dice que “los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.”  

De la lectura del texto nos queda la idea de que el factor fundamental que tenemos que tener en cuenta es la finalidad para la que se recabo el dato, una vez desaparezca la finalidad, el dato también. En principio parece sencillo pero como todo tiene sus excepciones y términos que no son lo que en principio una persona que no conoce en profundidad la Ley podría interpretar.

Cuando se nos habla de cancelar un dato personal, no se debe entender con ello la propia destrucción, sino que es un término más amplio al que podemos atribuir varios conceptos. Por un lado se puede entender como un mantenimiento del dato pero ‘sin uso’ y por otro la propia eliminación o destrucción.

La legislación en protección de datos no es ajena a las obligaciones, necesidades y responsabilidades impuestas por el ordenamiento jurídico a las empresas o autónomos como responsables del tratamiento, es por ello que en respuesta a estas necesidades ya sean fiscales, laborales, administrativas o a la rama que correspondan, la legislación en protección de datos prevé la posibilidad de mantener datos cuya finalidad ya ha desaparecido o cuya cancelación ha sido solicitada por el afectado. Este caso podríamos definirlo como una cancelación ‘de uso’, es decir, se me permite mantener los datos durante el tiempo que la legislación correspondiente me obliga para atender los posibles requerimientos de  información de la Administración, pero no me permite utilizarlos para nada más, se podría decir que están apartados de la actividad esperando a agotar el plazo al que están sometidos por otra ley, para posteriormente ser destruidos.

Es importante resaltar que esto no supone un cheque en blanco para mantener datos, se deberá estar a lo dispuesto, y por los plazos establecidos, en las leyes que sean de aplicación al caso.

Finalmente, y ahora sí, una vez se hayan agotado los plazos los datos deberán ser destruidos. Recordar que la destrucción debe realizarse siempre utilizando medios que garanticen que la información no puede volver a ser recuperada por ningún medio, es decir, se deben utilizar siempre destructoras de papel, formateo de equipos o soportes, empresas de destrucción certificada, etc.

Áudea Seguridad de la Información, S.L.

Álvaro Aritio
Departamento Derecho TIC
www.audea.com

“Vamos a vivir probablemente en un mundo sin SOPA (el proyecto de ley antipiratería de Estados Unidos) y sin ACTA”, ha dicho Kroes durante un discurso en Berlín.

Bruselas sostiene que ACTA  fija un marco a escala internacional para hacer valer fuera de las fronteras comunitarias las leyes que rigen dentro.

A pesar de ello, organizaciones de internautas han mostrado preocupación por las consecuencias de un tratado que, a su juicio, podría impulsar medidas concretas contra la piratería de películas y música y facilitar el control estatal sobre la comunicación en Internet.

Para su entrada en vigor, el acuerdo ACTA necesita ser ratificado por al menos seis de las partes que lo han negociado, entre ellos Estados Unidos, Australia, México, Marruecos y Japón. En el caso de la Unión Europea, deben firmarlo y ratificarlo cada uno de los Estados miembros y la UE por tratarse de un acuerdo que abarca competencias nacionales y comunitarias, y el proceso está en marcha sin una fecha de conclusión fijada.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: EuropaPress

Por eso muchas entidades públicas y privadas o incluso personas particulares requieren servicios de marketing reputacional.  En este sentido es de destacar la sentencia  del Tribunal Supremo (TS), emitida hace unos días, por la que se condenó a una vecina de Barcelona por expresar unas opiniones  ofensivas y vejatorias respecto de unos médicos de la clínica barcelonesa.

El asunto se remonta al año 1993 cuando murió el hijo de la afectada Isabel F.  tras ser intervenido en la Clínica Dexeus. La mujer, ahora condenada por TS, creó una página Web en la que criticaba con suma exageración las actuaciones de los médicos. En una de las expresiones utilizadas comparó la actuación médica con los experimentos llevados a cabo por los médicos de la Alemania nazi.

A pesar de que los dos médicos denunciados han sido absueltos de su presunta negligencia por los juzgados de primera instancia y la Audiencia Provincial de Barcelona, la mujer seguía vertiendo críticas en su website.

En la sentencia del TS se resalta la extraordinaria dureza de estas opiniones que resultan desproporcionadas con el mensaje de la denuncia y la critica pública y no pueden quedar amparadas en ningún caso en la libertad de expresión ya que exceden de una lícita crítica a la pericia profesional. En consecuencia el alto tribunal  ha condenado a Isabel F. a pagar 9.000 euros en concepto de indemnización a uno de los médicos injuriados.

La información en internet se propaga con extrema rapidez, traspasa las fronteras y en la práctica, el control sobre su difusión está  muy limitado. Por consiguiente, se hace cada vez más necesario protegernos ante este tipo de ataques ya sean a nuestra persona o empresa  y que pueden gravemente perjudicar nuestro prestigio.

Entre las empresas del mundo de las nuevas tecnologías y seguridad de la información  Áudea como una de las empresas pioneras ha incluido servicios de marketing reputacional y  sigue haciéndose cada vez más hueco en este campo, con el fin de proteger el buen nombre de sus clientes tanto en internet como en cualquier otro medio de comunicación.

Áudea, Seguridad de la Información, S.L.

Karol Sedkowski
Consultor Legal
www.audea.com

En líneas generales, el GT29 da dicha bienvenida a las propuestas presentadas por dicha Comisión Europea, que buscan reanimar todos los derechos de los interesados, mejorar dicha responsabilidad de las empresas y vigorizar dicha posición de las autoridades de protección de datos, a nivel doméstico e internacional, reforzando la protección de datos en Europa.

En particular, acoge con satisfacción esta inclusión de disposiciones que incentiven a los responsables (en definitiva, a las organizaciones) a cambiar en materia de protección de datos, así como las propuestas de clarificar los principios de responsabilidad y la rendición de cuentas en el tratamiento de los datos personales.

Se muestra a de desarrollar el concepto de “ventanilla única” para las empresas, con una “autoridad líder” designada en función del sitio en el que la compañía tenga su establecimiento principal en Europa. Al mismo temporada, acoge igualmente favorablemente la existencia de una clara obligación para las autoridades de protección de datos de cooperar entre sí.

Sin embargo, el Agrupación entiende que para que el modelo pueda funcionar, debe aclararse el modo en que se determina el país en que una compañía multinacional tiene su establecimiento principal. Esta determinación es importante, porque dicha conocimiento de “establecimiento principal” tiene como principal finalidad la establecer qué autoridad nacional de protección de datos debe actuar como “autoridad líder” en un caso particular o para una compañía concreta. Asimismo, hay que definir mejor las habilidades de las demás autoridades de protección de datos implicadas.

- Se avecinan cambios de calado en dicha normativa de protección de datos, y ya ha conocido que dicha responsabilidad de las empresas va a ser cada vez mayor. Su organización tendrá que acostumbrarse a poner en marcha iniciativas como hacer sistemáticamente evaluaciones de impacto para esta privacidad, apostar por la privacidad en el diseño y por dicha privacidad por defecto. ¿Está preparado? En PractiLetter Protección de Datos sí lo estamos. Y le aseguramos que con nosotros al lado para su empresa será coser y cantar.

El plazo para incorporar estos cambios al ordenamiento jurídico de cada Estado concluyó el 25 de mayo de 2011, momento en el cual se empezó a tramitar en España como anexo a un proyecto de reforma de la Ley General de Telecomunicaciones.

Tras varios meses de idas y venidas del texto, el Gobierno adelantó las elecciones y poco después se disolvió el Parlamento, por lo que todos los proyectos y propuestas de Ley caducaron… y una vez constituido el nuevo gobierno, vuelta a empezar.

Lo que ya estaba en fase de proyecto de ley, volvió a propuesta de ley, y durante varios meses se quedó así.

Finalmente, de forma imprevista, con 10 meses de retraso, y sin apenas repercusión mediática, el Gobierno ha aprobado por la vía de Real Decreto-ley (reservada a asuntos de urgente necesidad) la esperada, aunque no por ello deseada, reforma.

Juzgue el lector este ejemplo de “cajón de sastre” (y un poco desastre también) que ha sido aprobado, publicado y puesto en vigor el fin de semana antes de Semana Santa, pillándonos a todos con las maletas en el coche:

“Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista”

Las novedades son pocas… Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).

La reforma fundamental, la encontramos en el Artículo 22 de la LSSI, cuya nueva redacción es la siguiente (destacamos en negrita las novedades):

«1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

En resumen:

1. El medio para darse de baja del envío de comunicaciones comerciales, debe ser necesariamente una “dirección electrónica válida”. ¿Y qué es una dirección electrónica válida? ¿Una URL es una dirección electrónica válida? ¿Un feedback a través de una web? ¿Un formulario web? A la espera de que la AEPD manifieste su criterio interpretativo al respecto, consideramos recomendable que, de forma paralela al clásico enlace de “unsuscribe”, se disponga una dirección de correo electrónico en la que se puedan recibir estas solicitudes de baja.
2. Para todas aquellas cookies (o similares) cuya finalidad no sea exclusivamente la de permitir/facilitar la navegación, debe informarse y obtenerse el consentimiento. ¿Cómo? En la cabecera de la página del regulador inglés en materia de protección de datos, podemos ver un discreto ejemplo… Tan discreto que sospecho que nadie lo aceptará jamás.

Todas las empresas que a día 1 de abril de 2012 no tengan implantadas estas medidas (que no están nada claras) están incumpliendo la LSSI.

¿Y cuál es el riesgo derivado de dicho incumplimiento?

1. No poner una “dirección electrónica válida” (signifique lo que signifique) para solicitar la baja del envío de comunicaciones comerciales, es una infracción leve o grave, dependiendo de la relevancia del incumplimiento, y lleva aparejada una posible multa de hasta 150.000 euros.
2. Sin embargo, con respecto al consentimiento para instalar las cookies… con las prisas el Gobierno se ha debido olvidado de actualizar el régimen sancionador… de forma que a día de hoy, sólo es sancionable: (i) no ofrecer información, y (ii) no ofrecer un procedimiento de rechazo (a través del navegador, como se ha venido desde que se aprobó la LSSI). Las infracciones asociadas al artículo 22, no mencionan en ningún caso el consentimiento de los afectados (aunque si en algún momento se pudiera llegar a identificar a una persona física, se podría llegar a sancionar por LOPD).

Visto lo visto cabe concluir que, independientemente de la responsabilidad o madurez que se le presuponga a una persona… cuando las cosas se hacen por obligación y no por devoción… se dejan para el último momento, y se acaban haciendo rápido y mal.

Audea Seguridad de la Información

José Carlos Moratilla

Departamento Derecho TIC
www.audea.com

A pesar de que el tratado cuenta con el visto bueno de la Comisión Europea y ha sido firmado por la gran mayoría de los países de la Unión Europea desde el momento de su publicación ha levantado una gran polémica en todo el mundo y ha sido el motivo de numerosas protestas principalmente en Internet, pero también en la calle.

En la Red, se han recogido más de dos millones de firmas contra ACTA y se siguen organizando las manifestaciones en diferentes países de toda Europa y del mundo.

Sus detractores preocupa especialmente la misteriosa  preparación de su cláusulado que se estaba elaborando desde el año 2007 bajo las estrictas medidas de secreto.

Denuncian la sobreprotección de los derechos de propiedad intelectual y el control contra la “piratería” de bienes que  podría poner en peligro la libertad de expresión en Internet mediante medidas de censura extrajudiciales.

Se trata de una norma bastante ambigua y con una gran indefinición que deja en manos de empresas privadas la interpretación de sus artículos.

Además, sus regulaciones con respecto al tratamiento de datos personales pueden entrar en conflicto con el derecho a la intimidad previsto en la Constitución y el Convenio Europeo de Derechos Humanos y las Libertades Fundamentales.

Sin embargo la más peligrosa disposición del tratado es la que permite convertir a los proveedores de Internet en policías de contenidos, lo que conlleva las posibles vulneraciones de la privacidad de los internautas.

No obstante el acuerdo ACTA no se aplica exclusivamente a las actividades llevadas a cabo a través de Internet sobradamente ya explicadas. Veamos el siguiente ejemplo que no tiene nada que ver con internet pero que describe claramente la debilidad y falta de previsión de dicho acuerdo:

Fulanito compra una conocida cadena de tiendas de ropa sin saber que los trajes que vende uno de sus centros son falsificaciones de una prestigiosa marca. El cliente Manolito compra un traje falsificado y paga con una tarjeta de crédito. Más tarde el titular de la marca sospecha de que la tienda vende productos falsificados de su marca e inicia una investigación.

De conformidad con el art. ACTA 11, el titular de la marca podrá solicitar al infractor – el nuevo propietario de la cadena de tiendas, la divulgación de la identificación de las personas involucradas en cualquier momento del proceso de la supuesta infracción. En consecuencia estará obligado a facilitar los datos de mayoristas, otros proveedores, vendedores y compradores, incluyendo a Manolito ya que pagó con la tarjeta.

En definitiva, esta disposición permite una situación en la que sería suficiente una presunción de culpabilidad para que el titular de la marca pudiera exigir  la divulgación de información con datos personales sin tener que demostrar ningún requerimiento judicial.

Pero además, si el titular de la marca tuviera su sede en un tercer país (que no cumple con la rigurosa legislación europea en materia de protección de datos), el propietario de la tienda estaría obligado a transferir ahí toda la información personal, aún sabiendo que no cuenta con las garantías de la legislación europea y de seguridad adecuadas. 

Incluso si Manolito tuviera el conocimiento de la transferencia internacional realizada y quisiera ejercer su derecho de cancelación, probablemente le habría sido denegado, primero porque en el acuerdo ACTA prevalece el principio de  supervisión y rendición de cuentas, y segundo porque  no se prevén recursos o sanciones contra los responsables de tratamiento en terceros países que cometieran infracciones en materia de protección de datos conforme su legislación nacional de interesados.

El gran riesgo de este acuerdo es que la presunción de infracción de derechos de autor (debido a la falta de la necesidad de probar este hecho) puede ser utilizada de forma perversa por los propietarios de derechos de autor o marca sin que tengamos medios para impedirlo, por ejemplo para conseguir un listado de clientes de una empresa competidora haciendo unas denuncias falsas.

Aunque el artículo 4 de ACTA contiene una cláusula de salvaguardia según la cual  el estado parte del acuerdo no está obligado a divulgar la información  que conforme sus leyes nacionales podría ser considerada como confidencial no esta mencionando a las entidades privadas, ya que no son parte en el ACTA. En consecuencia propietario de la cadena de tiendas de nuestro ejemplo, no podría negarse a transmitir los datos de las personas involucradas al titular de la marca.

El próximo verano el Parlamento Europea tenía previsto aprobar definitivamente el acuerdo pero la presión social empieza a tener sus primeras consecuencias.  Algunos países europeos que firmaron en primera instancia el acuerdo se han empezado a desvincular. El enviado de Eslovenia, que firmó el acuerdo, reconoció públicamente que su conducta había sido “una falta de cuidado cívica”, en Rumania dimitió todo su Ejecutivo, los gobiernos de Polonia o la República Checa han suspendido el proceso de ratificación del mismo, al menos hasta analizar el impacto del documento. También Alemania ha suspendido el proceso hasta que Eurocámara tome la decisión definitiva.

Áudea, Seguridad de la Información

Karol Sedkowski
Consultor Legal

www.audea.com

En particular, puede ser aplicable a los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de una organización o la infraestructura crítica del estado nación.

Áudea Seguridad de la Información

Eduardo de Miguel Cuevas

Departamento Gestión

www.audea.com

El demandante puso los hechos en conocimiento de la Agencia de Protección de Datos en agosto de 2010, cuando se dio cuenta de lo que había sucedido.

El banco no pudo aportar, durante la investigación de la supuesta infracción, prueba alguna de que llevara a cabo requerimientos de pago ante el gijonés.

De todo lo argumentado la Agencia Española de Protección de Datos deduce que el banco “ha sido responsable del tratamiento de datos de la denunciante en sus propios ficheros”, lo que “supone una vulneración del principio de calidad de dato de la que debe responder la entidad bancaria”.

La sanción se debe imponer, según los responsables del caso, teniendo en cuenta la “proporcionalidad” con las presuntas infracciones cometidas. “Las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos” argumenta la Agencia Española de Protección de Datos.

Áudea Seguridad de la Información

Departamento de Marketing y Comunicación

www.audea.com

Fuente: www.lne.es

En el fallo se puso de manifiesto lo inadecuado e inadmisible de estas prácticas que graban a las personas “subrepticiamente” según se ha expresado el Alto Tribunal permitiendo identificarlas de forma inequívoca. A pesar de cierta relevancia pública de los hechos investigados se calificaba constitucionalmente prohibido el método utilizado en el programa. Concretamente la grabación se hizo utilizando la cámara oculta en la vivienda privada de una esteticista y naturista donde tenía su consulta. Incluso, se informo a los espectadores de una condena penal a la que años atrás se condenó a la esteticista por haber actuado como fisioterapeuta sin tener título para ello.

En primera y segunda instancia los Juzgados que dilucidaban la demanda interpuesta por la protagonista entendieron que la utilización de cámara oculta se enmarcaba en el llamado periodismo de investigación, y el reportaje reunía los requisitos necesarios de veracidad, objetividad, interés general y propósito especialmente informativo para considerar que no se había vulnerado ningún derecho.

Sin embargo la cosa cambió cuando la demanda llegó al Tribunal Constitucional. El motivo más importante esgrimido en su sentencia censuraba la falta de consentimiento del afectado para publicar su imagen y voz en medios de comunicación.

Asimismo se puso mucho hincapié en el hecho de que la utilización de la cámara oculta era un medio excesivo para trasladar la información periodística pudiendo utilizarse otros que no vulnerasen tanto la intimidad de las personas.

También la forma en que se ha obtenido la información fue demasiado intrusiva simulado a paciente y provocando comentarios del profesional en un determinado sentido que probablemente no las hubiera hecho si no le fuesen sugeridos de algún modo por la periodista. La sentencia subraya que es ilegítima la utilización de este tipo de dispositivos “simulando una identidad oportuna según el contexto, para poder acceder a un ámbito reservado de la persona afectada con la finalidad de grabar su comportamiento o actuación desinhibida, provocar sus comentarios y reacciones así como registrar subrepticiamente declaraciones sobre hechos o personas, que no es seguro que hubiera podido lograra si se hubiera presentado con su verdadera identidad y con sus auténticas intenciones”.

En definitiva, lo que se consideraba ilegítimo en esta sentencia era precisamente la utilización de la cámara como medio excesivo que vulneraba los derechos de intimidad y a la propia imagen y no tanto los hechos que podrían ser de interés social pero contados de forma menos intrusiva.

Incide, por tanto, en que hubiera sido suficiente para trasladar la relevancia pública de lo investigado con realización de entrevistas a los pacientes o artículos de prensa.

En este sentido la sentencia tiene una finalidad garantista de los derechos a la intimidad y a la propia imagen.

El dictamen pronto fue el motivo de algunos debates y tertulias. Cabía esperar que si se hubiera tratado de otro caso de interés social y cuando el único método para probar los hechos hubiera sido la utilización de la cámara oculta el pronunciamiento hubiera podido tener sentido contrario.

También se echa en falta que la sentencia no especifica otros contextos en los que sería justificada la utilización de estos dispositivos como por ejemplo investigaciones de cárteles de la droga, sobornos o tratas de mujeres no se hubieran hecho.

Áudea, Seguridad de la Información, S.L.

Karol Sedkowski
Consultor Legal
www.audea.com

El documento acreditativo que más se suele requerir es el TC2, que es la relación nominal de los trabajadores por los que la empresa ha cotizado, identificados a través de unas siglas determinadas.

¿Por qué motivo se hace esto? Esta práctica tiene su origen en el artículo 42 del Estatuto de los Trabajadores, que establece lo siguiente:

“1. Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas estén al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

2. El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

No habrá responsabilidad por los actos del contratista cuando la actividad contratada se refiera exclusivamente a la construcción o reparación que pueda contratar un cabeza de familia respecto de su vivienda, así como cuando el propietario de la obra o industria no contrate su realización por razón de una actividad empresarial.”

¿Y qué tiene que ver esto con la Protección de Datos?

• Año 2006: la Agencia Española de Protección de Datos respondió a una consulta formal de una empresa preocupada por la Protección de Datos que no sabía cómo compaginar las obligaciones que le imponían sus clientes (entregar TC2, nóminas, etc.), con el artículo 11 de la LOPD, cuyo incumplimiento, conforme al antiguo régimen sancionador, suponía una infracción muy grave con sanciones entre 300.000 y 600.000 euros.

El criterio de la Agencia en dicha ocasión fue el siguiente: “se considera que el sistema descrito en la consulta no se encuentra amparado por lo dispuesto en la Ley Orgánica 15/1999, al resultar excesivo en relación con lo dispuesto en el artículo 42 del Estatuto de los Trabajadores, en cuya virtud no resulta necesario al contratista acceder a la información descrita en la consulta.”

¿Y qué sucedió tras este informe?

Nada. Las empresas seguían trabajando exactamente igual que antes. Los empresarios principales por miedo a las sanciones en materia laboral, y los subcontratistas por miedo a no cobrar.

• Año 2009: la AEPD respondió a una nueva consulta formal sobre este mismo asunto. En este caso, la empresa que planteó la consulta, quizá fue capaz de transmitir mejor la complejidad del tema, y el resultado fue radicalmente distinto: “podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.”

La AEPD cambió de criterio tras una nueva lectura del 42.2 del Estatuto de los Trabajadores, que establece la responsabilidad solidaria del empresario principal frente a las obligaciones sociales y salariales del empresario subcontratado. Al existir una responsabilidad solidaria, entiende la Agencia que ya no resulta excesivo el acceso a esta información, y que la comunicación de la misma, se halla amparada en una de las excepciones al consentimiento para la cesión de datos personales. En todo caso, la información cedida debe responder a esta finalidad, y nunca deberá afectar a trabajadores de la empresa subcontratista que no estén implicados en la subcontratación.

• Año 2010: en el último episodio de esta particular trilogía, la Agencia Española de Protección de Datos, tuvo que responder a una tercera consulta formal sobre la cesión de datos salariales y sociales de empresas contratadas a empresas principales. En todo caso, os avanzo que en esta ocasión, no se trata de una corrección de lo anterior, sino de una interesante matización para evitar equívocos. Esta consulta se centra sobre el concepto “propia actividad”, recogido en el artículo 42 del Estatuto de los Trabajadores.

Una vez aclarado que en caso de subcontratación existe una responsabilidad solidaria del empresario principal, y por lo tanto, tiene obligación de asegurarse de su correcto cumplimiento, surge la duda de qué sucede en los casos en los que la contratación no se encuadra dentro de la actividad propia de la empresa principal.

El Empresario Principal es responsable solidario junto con el Subcontratista, de las obligaciones sociales y salariales de este sobre sus trabajadores, y por lo tanto, el acceso a esta información está amparado en el Estatuto de los Trabajadores, y no supone un incumplimiento de la normativa de protección de datos.

Sin embargo, el Cliente, que recibe la obra o servicio para su uso o disfrute, no ostenta tal responsabilidad solidaria y, en consecuencia, no tiene legitimidad para acceder a ningún dato salarial ni de seguridad social de los empleados (ya sean los del Empresario Principal o del Subcontratista)…

A pesar de todo lo anterior, la realidad nos sigue demostrando a través de muchos de nuestros clientes, que en muchas ocasiones grandes empresas que no admiten negociación ni discusión, siguen más preocupados por la responsabilidad laboral que por la responsabilidad en materia de protección de datos, y siguen exigiendo toda clase de certificaciones y garantías, provocando los siguientes efectos:

1. Obligan al proveedor a incurrir en una infracción grave de la LOPD (conforme a su nuevo régimen sancionador) por cesión de datos sin consentimiento, o muy grave si hubiese datos de salud en los seguros sociales o de afiliación sindical en las nóminas
2. Incurren ellos mismos en 3 infracciones graves al tratar datos excesivos, sin consentimiento de los afectados, y seguramente, sin haberles informado de lo establecido en el artículo 5 de la LOPD en el plazo de 3 meses desde que recibieron los datos.

En definitiva, el gran perjudicado es el pequeño empresario, que o bien pierde el proyecto (por alegar incumplimiento de la LOPD), o se arriesga a recibir una fuerte sanción. Si cualquiera de nosotros tuviese que escoger entre una realidad (perder el proyecto) y una posibilidad (multa de la AEPD), ambas situaciones indeseables, creo que todos escogeríamos la posibilidad.

Ojala la AEPD lo viese de la misma manera.

José Carlos Moratilla

Departamento legal
Audea Seguridad de la Información
www.audea.com