Protección de datos y externalización de procesos de gestión empresarial en asesorías o gestorías.

Javier Álvarez Hernando
javier.alvarez@icava.org



Cada vez son más las empresas que han integrado el outsourcing en su estrategia empresarial. El objetivo: reducir costes y buscar especialización. Aquí entran en juego asesorías y gestorías que, como figuras poseedoras de ese conocimiento, prestan sus servicios a las empresas, debiendo acceder en su desempeño a datos personales de empleados o clientes. La normativa sobre protección de datos exige unas garantías que es necesario observar para evitar fuertes sanciones.

Pulsa aquí si deseas visualizar este artículo en su formato original publicado en La Revista de Editorial Lex Nova, en su número de diciembre de 2004.


textoalternativoLa externalización de procesos de negocio o outsourcing se está generalizando cada vez más en las organizaciones. Con ello se busca, además de un abaratamiento de costes, una necesaria especialización

o know how.

Los procesos de asesoramiento legal, gestión de nóminas y administración de personal se presentan como algunas de las áreas sobre las que las empresas más externalizan (el 42% de las empresas han externalizado el asesoramiento legal, la gestión tributaria el 59%, los sistemas de información el 70% y las nóminas y administración de personal el 30%, según datos de la consultora PricewaterhouseCoopers, de 27 de octubre 2004).

Las figuras que desempeñan esas labores externalizadas son asesorías o gestorías laborales y fiscales que en su función profesional, como es lógico, acceden o tratan datos de carácter personal de los empleados de las empresas, que son sus clientes. El legislador ha sido consciente de los riesgos que este tratamiento de datos personales realizado por terceros puede suponer para su intimidad en el caso de que esa información de carácter personal –en ocasiones altamente sensible (piénsese en minusvalías, etc.)- se empleara con otros fines divergentes con la gestión encomendada, por ejemplo, de forma ilícita o con un ánimo comercial.

Por ello, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), trata de salvaguardar que el tratamiento de esos datos se realice con las debidas garantías, ocupándose del outsourcing en su artículo 12, en el que lo denomina acceso a datos por cuenta de terceros.

Encargados del tratamiento y responsables de los ficheros

Dos son las figuras que presenta la LOPD para un caso de outsourcing: El encargado del tratamiento y el responsable del fichero.

Encargado del tratamiento es aquella persona física o jurídica que sola o conjuntamente con otros, trata datos de carácter personal por cuenta, es decir, conforme a las instrucciones del responsable del fichero. Por tanto, la asesoría o gestoría en su calidad de gestor será considerada formalmente como encargado del tratamiento.

La otra figura que nos ocupa es la empresa que contrata los servicios externos. Ésta es considerada como la responsable del fichero de datos, siempre y cuando decida sobre la finalidad, contenido y uso del tratamiento.

En el caso de que la finalidad, el contenido y el uso del tratamiento de los datos sea determinada no por la empresa sino por la asesoría o gestoría, nos encontraríamos formalmente ante una cesión o comunicación de datos, configurado en la LOPD en su artículo 11 y no ante una prestación de servicios (ya hemos mencionado que la ley lo llama acceso a los datos por cuenta de terceros).

La consideración de delimitar quién es quién (encargado o responsable) y ante qué categoría nos encontramos (acceso a datos por cuenta de terceros o bien cesión de datos) tiene importantes consecuencias no sólo en cuanto al desempeño de obligaciones legales sino también desde un punto de vista de responsabilidad, lo cual no es cuestión baladí a la vista de las fuertes sanciones, multas desde 601€ a 601.000 €, que puede conllevar la vulneración de la normativa sobre protección de datos.

Por otro lado, mencionar que entre las obligaciones que recaen sobre el responsable del fichero se encuentra la de presentar la solicitud de inscripción en el Registro General de Protección de Datos indicando en ella, entre otras cuestiones, la existencia de una prestación de servicios, con la necesidad de identificar a dicho gestor.

Muchas veces el responsable del tratamiento pone de manifiesto la existencia de varios encargados para un mismo fichero. En estos casos la Agencia de Protección de Datos recomienda especificar como encargado del tratamiento a la entidad principal que realice dichas funciones.

Un error habitual que se produce en la práctica al cumplimentar el modelo de notificación consiste en considerar como encargado del tratamiento al personal que trabaja por cuenta del responsable del fichero. Por tanto, una persona que trabaja bajo la dependencia o autoridad directa del responsable (el abogado, el graduado social, etc.), debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de encargado del tratamiento.

Eso no significa que no se puedan exigir responsabilidades a un miembro de la asesoría o gestoría, ya que en el marco de la relación laboral el trabajador tiene una serie de obligaciones y responsabilidades en materia de protección de datos, como, por ejemplo, el deber de guardar secreto.

Plasmación en un contrato escrito

Como ya se ha apuntado, la ley no considera que exista cesión o comunicación de datos (art. 11 LOPD) cuando el acceso a los datos por cuenta de terceros se realice para la prestación de un servicio determinado al responsable del tratamiento. Para ello se establecen una serie de requisitos formales, así como las responsabilidades en que se puede incurrir en caso de incumplimiento.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido (parece que el legislador se está refiriendo a contratos electrónicos acreditados mediante la llamada firma electrónica avanzada). En la práctica es común que este contrato sea accesorio de otro en el que se recoge la prestación del servicio principal.

En dicho contrato debe hacerse mención expresa a lo siguiente:

  • Descripción detallada de las prestaciones a realizar.
  • Finalidad de la prestación.
  • Indicación de que el gestor, como encargado del tratamiento, únicamente tratará los datos conforme a las instrucciones de la empresa y no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
  • Indicación de las medidas de seguridad que el gestor está obligado a implementar. Debe tenerse en cuenta que la ley establece unas medidas de seguridad de mínimos pudiendo pactarse medidas de seguridad más estrictas que las contempladas en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio). Lo aconsejable es que estas medidas se pacten con un nivel aceptable de detalle intentando alejarse de generalidades, ya que a la hora de dirimir responsabilidades esta circunstancia será de gran ayuda.
  • Referencia a la obligación del gestor de guardar secreto profesional respecto a los datos objeto de tratamiento mientras está en curso la prestación y una vez finalizada ésta. Además, una vez que termina la prestación, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier documento o soporte en que conste algún dato objeto del tratamiento.

¿Quién debe promover la realización del contrato?

Respecto a quién debe ser el responsable de promover la suscripción del contrato de prestación de servicios, la LOPD guarda silencio, pero de una interpretación derivada del espíritu de la ley parece correcto concluir que debe ser el responsable del fichero ya que es el garante de los datos que posteriormente “presta” al encargado del tratamiento. No obstante, no creemos que el problema sea determinar a quién le corresponde instar la celebración del contrato, sino que lo importante es que el contrato tiene que existir, ya que es una obligación legal, por lo que el encargado del tratamiento debería preocuparse de realizarlo en el caso de que el responsable del fichero no lo haga, ya que en el supuesto de un conflicto ante la Agencia de Protección de Datos muy posiblemente las sanciones se extendieran a las dos figuras.

Obligaciones del gestor como encargado del tratamiento

Además de la necesaria obligación de tratar los datos conforme a las instrucciones dadas por la empresa responsable del tratamiento, el gestor no debe destinar los datos a otra finalidad distinta a la establecida en el contrato, no ceder los datos a terceros, ni siquiera para su conservación, ya que en ese caso será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que éste hubiera incurrido personalmente.

En cuanto a la inscripción de ficheros en el Registro General de Protección de Datos, ya nos hemos referido a que el gestor no debe notificar los ficheros para su inscripción, obligación que recae sobre la empresa responsable del fichero.

También está obligado el gestor a adoptar y cumplir las medidas de seguridad adecuadas (descritas en el Real Decreto 994/1999, de 11 de junio) y guardar secreto profesional.

Es necesario, además, comunicar y hacer cumplir entre los trabajadores y miembros de la gestoría o asesoría las obligaciones que se establecen en el contrato, como, por ejemplo, las relativas al deber de secreto y medidas de seguridad.

Por último, el gestor debe destruir o devolver a la empresa responsable del tratamiento los soportes o documentos en que conste algún dato de carácter personal objeto de la prestación de servicios realizada.

Pulsa aquí si deseas visualizar este artículo en su formato original publicado en La Revista de Editorial Lex Nova, en su número de diciembre de 2004.

Valóranos en Google
Si esta información le ha sido útil le agradecemos mucho que nos valore con 5 estrellas en GOOGLE haciendo click en el siguiente botón.
Otros lectores ya lo han hecho y esto es lo que opinan...

Recibe presupuesto sin compromiso

¿En qué podemos ayudarle?

Rellene el formulario o llámenos al +34 983 377 435. Estaremos encantados de atenderle.

"*" señala los campos obligatorios

Nombre*
Protección de Datos*