miércoles, 3 de agosto de 2011

Ayuda LOPD (I): Leyendas cumplimiento deber de informar

Inicio con éste una serie de posts, "Ayuda LOPD", con objeto de contestar aquellas cuestiones que se planteen en este blog sobre el cumplimiento de la LOPD en pymes y micropymes.

Antes de responder a las preguntas que dan origen a este post, me gustaría sentar las siguientes premisas:

a) Las contestaciones dadas en esta serie de posts únicamente tienen la pretensión de ayudar a pymes y micropymes en el cumplimiento de la normativa legal y reglamentaria en materia de protección de datos de carácter personal, dando un enfoque práctico a cuantas cuestiones se me planteen, aportando mi conocimiento y experiencia en proyectos de adecuación a la LOPD en múltiples organizaciones, y huyendo expresamente de relacionar y desgranar los artículos aplicables.

b) No hay “soluciones mágicas” (modelos, procedimientos, medidas técnicas …) aplicables a todas las organizaciones, ni siquiera a empresas de dimensiones parecidas y pertenecientes al mismo sector de actividad, ya que el cumplimiento de la normativa depende de los ficheros con datos de carácter personal concretos que maneje una organización y de los tratamientos específicos realizados por la misma.

Por esta razón, no creo en aquellos “consultores” que afirman que con una toma de datos muy breve (desde la distancia - on-line, telefónicamente, por correo electrónico,… - o presencialmente) pueden adaptar una empresa a la LOPD (finalmente terminan declarando ficheros estándar sin considerar la problemática concreta de la organización, utilizando un documento de seguridad único, en el mejor de los casos por sector, y, por supuesto y cuando consideran la implantación de las medidas, sin entrar en la efectiva puesta en marcha de las medidas de índole organizativo y técnico idóneas para la empresa concreta,…).

c) Es posible que con este enfoque se pierda cierto rigor en algunas de las contestaciones dadas, y que, incluso, no sea posible entrar en profundidad a la problemática concreta que se plantee, pero entiendo que servirá de orientación general para abordar ciertos aspectos de la adecuación a la LOPD en pymes y micropymes. Eso sí, tal y como digo, siempre teniendo en cuenta que hay que adaptar convenientemente lo aquí comentado a la realidad de cada organización.

Una vez dicho lo anterior, el origen de este post es un comentario referido a las leyendas para dar cumplimiento al deber de informar, y en el que, básicamente, se plantean las siguientes cuestiones:

1º) ¿Dónde se pueden encontrar modelos de leyendas para añadir a los documentos y correos electrónicos?.

2º) ¿En qué documentos es conveniente incluir las oportunas leyendas?.

3º) ¿Cómo informar a empleados y clientes / proveedores de los que se dispone de datos desde hace mucho tiempo?.

Paso a contestar las preguntas formuladas:

1º) La verdad es que “bucear” por la red para encontrar modelos (leyendas, cláusulas, contratos, documento de seguridad, procedimientos …) es una labor ardua, por la ingente cantidad de entradas que nos encontraremos y que al final, muchas de ellas, resultan perfectamente inútiles, ya que se limitan a una mera relación de artículos de la Ley y su desarrollo reglamentario o son muy generalistas, sin aportar ejemplos concretos.

Como en todo hay excepciones y, en el caso concreto que se plantea, un lugar donde se puede encontrar un modelo para cumplir con el deber de informar es la página web de INTECO (Instituto Nacional de Tecnologías de la Comunicación). Indico el link concreto:

http://www.inteco.es/Seguridad/Observatorio/area_juridica/Modelos_de_Contratos_Tecnologicos//clausulas_proteccion_datos

Además, en este sito web se pueden también encontrar diversas Guías, Manuales y Modelos de Contratos, ... para cumplir con la LOPD, LSSI-CE, etc. Creo que éste es un sitio muy recomendable, ya que la información que contiene es práctica y de utilidad, y abarca tanto aspectos jurídicos, los ya mencionados y algunos más, como técnicos (gestión de incidencias, herramientas de cifrado de la información, etc.).

Dicho lo anterior y por si puede resultar de ayuda, a continuación incluyo una cláusula genérica que entiendo válida para cumplir con el deber de informar:

“De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal (L.O.P.D.), le informamos de que los datos personales de su titularidad que Usted nos facilite serán incluidos en el/los fichero/s de datos de carácter personal denominado/s [Indicar el/los fichero/s donde se va/n a incluir los datos], cuyo titular y responsable es [Indicar el Responsable de Fichero o Tratamiento], [Indicar la Dirección completa del Responsable de Fichero o Tratamiento], y cuya/s finalidad/es es/son: [Indicar la/s finalidad/es del/los fichero/s en el/los que se incluirán los datos].

Asimismo, le informamos de que los datos necesarios serán cedidos a [Indicar el/los posible/s cesionario/s de la información].

Usted podrá ejercer los derechos de acceso, rectificación, cancelación y oposición reconocidos en dicha Ley poniéndose en contacto con [Indicar el Responsable de Fichero o Tratamiento] en la dirección arriba indicada.”.

Una cláusula de este tipo es la que se debería adaptar a cada caso concreto. Vamos a poner un ejemplo con el fichero de “NÓMINAS Y RECURSOS HUMANOS”, muy habitual en todas las organizaciones. La cláusula podría ser parecida a la siguiente:

“De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal (L.O.P.D.), le informamos de que los datos personales de su titularidad que Usted nos facilite serán incluidos en el fichero de datos de carácter personal denominado “NÓMINAS Y RECURSOS HUMANOS”, cuyo titular y responsable es [Razón Social de la empresa], [Dirección completa de la empresa], y cuya finalidad es gestionar los Recursos Humanos de la empresa y la gestión de nóminas.

Asimismo, le informamos de que los datos necesarios serán cedidos a las Administraciones tributarias y Organismos de la Seguridad Social que corresponda en cumplimiento de la normativa laboral, tributaria y de Seguridad Social, y a la entidad bancaria correspondiente para el pago del salario.

Usted podrá ejercer los derechos de acceso, rectificación, cancelación y oposición reconocidos en dicha Ley poniéndose en contacto con [Razón Social de la empresa] en la dirección arriba indicada”.

No obstante, esto no pasa de ser un ejemplo típico de una cláusula habitual (“estándar”) de este tipo y, como ya he dicho, hay que considerar la problemática concreta de la empresa (ficheros y tratamiento concretos de datos de carácter personal realizados por la misma) para adaptarla convenientemente al deber de informar e, incluso, para utilizarla con objeto de recabar el consentimiento del interesado en aquellos casos en los que éste es exigible. Pongo dos ejemplos:

a) Supongamos que en la empresa se realiza una valoración del desempeño del puesto de trabajo por parte de los empleados mediante un cuestionario que rellena el responsable de cada trabajador. Si se diera este caso, que en mi opinión normalmente constituiría un tratamiento de datos de carácter personal al que le serían de aplicación las medidas de seguridad de nivel medio, yo recomendaría declarar un fichero de “VALORACIÓN DEL DESEMPEÑO”, diferenciado del de “NÓMINAS Y RECURSOS HUMANOS”, y la cláusula comentada podría quedar como sigue:

“De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal (L.O.P.D.), le informamos de que los datos personales de su titularidad que Usted nos facilite serán incluidos en los fichero de datos de carácter personal denominados “NÓMINAS Y RECURSOS HUMANOS” y “VALORACIÓN DEL DESEMPEÑO”, cuyo titular y responsable es [Razón Social de la empresa], [Dirección completa de la empresa], y cuyas finalidades son, respectivamente, gestionar los Recursos Humanos de la empresa y la gestión de nóminas, y la valoración del desempeño de los puestos de trabajo.

Asimismo, le informamos de que los datos necesarios serán cedidos a las Administraciones tributarias y Organismos de la Seguridad Social que corresponda en cumplimiento de la normativa laboral, tributaria y de Seguridad Social, y a la entidad bancaria correspondiente para el pago del salario.

Usted podrá ejercer los derechos de acceso, rectificación, cancelación y oposición reconocidos en dicha Ley poniéndose en contacto con [Razón Social de la empresa] en la dirección arriba indicada”.

b) Supongamos que la empresa se presenta a licitaciones en administraciones públicas (obras y servicios), bien de forma individual o en UTE, y, en consecuencia, debe aportar los CV´s de los empleados involucrados en las correspondientes ofertas. En este caso habría que considerar también esta cesión. Todo ello, con independencia de si se precisa para dicha comunicación el consentimiento de los empleados, ya que el deber de informar subsiste siempre. En este caso la leyenda podría quedar como sigue:

“De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, sobre protección de datos de carácter personal (L.O.P.D.), le informamos de que los datos personales de su titularidad que Usted nos facilite serán incluidos en el fichero de datos de carácter personal denominado “NÓMINAS Y RECURSOS HUMANOS”, cuyo titular y responsable es [Razón Social de la empresa], [Dirección completa de la empresa], y cuya finalidad es gestionar los Recursos Humanos de la empresa y la gestión de nóminas.

Asimismo, le informamos de que los datos necesarios serán cedidos a las Administraciones tributarias y Organismos de la Seguridad Social que corresponda en cumplimiento de la normativa laboral, tributaria y de Seguridad Social, a la entidad bancaria correspondiente para el pago del salario, y a clientes, potenciales clientes y colaboradores con objeto de su candidatura y/o participación en trabajos o colaboraciones propias de las actividades desarrolladas por la empresa y para el desarrollo de la relación laboral y el cumplimiento de la normativa legal aplicable.

Usted podrá ejercer los derechos de acceso, rectificación, cancelación y oposición reconocidos en dicha Ley poniéndose en contacto con [Razón Social de la empresa] en la dirección arriba indicada”.

No entro en el tema de recabar el consentimiento de los interesados, ya que en las pymes y micropymes en la mayoría de las ocasiones no es necesario éste por existir habilitación legal o ser el tratamiento (incluídas las posibles cesiones) necesario para el mantenimiento o cumplimiento de un contrato o precontrato de una relación negocial o laboral, pero es un aspecto a tener muy en cuenta en aquellos casos en los que sea necesario obtenerlo.

Como se ve es absolutamente imprescindible conocer todos los ficheros y tratamientos concretos que realiza la empresa antes de establecer la oportunas cláusulas y, como consecuencia, determinar también los documentos en lo que incluirlas para cumplir con el deber de informar, y también para recabar el consentimiento de los interesados cuando sea necesario (ejemplos de otras posibles cuestiones a considerar, cuando sea el caso, son: tramitación de partes de accidentes, tratamiento de datos sindicales – horas sindicales, … – y un largo etc.).

En el caso de los e-mail´s, un ejemplo de leyenda, adaptando la cláusula genérica que propongo, podría ser la siguiente:

“De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se le informa de que los datos personales que Usted facilite por esta misma vía serán incluidos en un fichero cuyo titular y responsable es [Razón Social de la empresa], [Dirección completa de la empresa], y cuya finalidad es gestionar la relación comercial o de otro tipo que Usted mantiene con nosotros y mantenerle informado acerca de las actividades y servicios de la organización.

Usted podrá ejercer los derechos de acceso, rectificación, cancelación y oposición reconocidos en dicha Ley poniéndose en contacto con [Razón Social de la empresa] en la dirección arriba indicada”.

Además, en el caso de los e-mail´s recomiendo añadir algo parecido a lo siguiente:

"Este mensaje y, en su caso, los documentos anexos al mismo se dirigen exclusivamente a las personas destinatarias del mismo y pueden contener información privilegiada o confidencial. Por ello, se informa a quien lo pudiera recibir por error de que la información contenida en el mismo y en los documentos anexos es reservada y de que su utilización, divulgación y/o copia sin autorización está prohibida en virtud de la legislación vigente. Si Usted ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía a la dirección del remitente y proceda a su destrucción.”.

2º) Para responder a esta pregunta, como vengo repitiendo hasta la saciedad en este post y lo siento por ser pesado, entiendo que se necesita más información de detalle de la actividad y operativa concreta de la empresa a la hora de recabar y tratar datos de carácter personal.

No obstante, para no “escurrir el bulto”, indicar que como norma general habrá que incluir las leyendas en todos aquellos formularios, impresos, … en los que se recaben los datos de carácter personal de los interesados y, por tanto, seguro que habrá que incluirlas: en el caso de los empleados yo suelo recomendar hacer un anexo al contrato de trabajo; formularios web, si es el caso, en los que se soliciten datos de carácter personal (ejemplos: de clientes, de proveedores, de candidatos a puestos de trabajo, ...); correos electrónicos, etc., pero, lógicamente, caben otras posibilidades (para lo que es necesario conocer con más de detalle, tal y como digo, el objeto de negocio y la operativa de la organización).

3º) Yo recomiendo cumplir con el deber de informar a los empleados actuales y, si es el caso, solicitarles el consentimiento para los tratamientos de datos de carácter personal en los que se requiera éste, en anexo al contrato de trabajo, a firmar por ambas partes.

Éste sería el mismo anexo a contrato de trabajo a utilizar en el caso de nuevas contrataciones.

En cuanto a cumplir con el deber de informar a clientes /proveedores de los que se dispone de datos desde hace tiempo, para establecer la forma idónea de hacerlo e incluso para tomar una decisión sobre si hacerlo o no, en su totalidad o según los casos, entiendo que es necesario conocer de qué tipo de clientes / proveedores se trata (público en general, autónomos y/o personas de contacto de empresas).

En cualquier caso, además de a empleados y clientes / proveedores, hay que considerar también el informar convenientemente a otros colectivos de los que se pudiera recabar y tratar datos de carácter personal (candidatos a empleo, contactos que no sean clientes / proveedores, etc.).

6 comentarios:

  1. Gracias, me ha servido de ayuda y guía.

    ResponderEliminar
  2. Muchas gracias por el comentario y de nada, si modestamente puede servir de ayuda me alegro.

    ResponderEliminar
  3. Muy bien resumido y explicado, con lenguaje claro y accesible para todos.
    Es decir, muy diferente a lo que abunda en Internet...

    ResponderEliminar
  4. Muchas gracias Javier. Como siempre, encantado si puedo divulgar esto de una forma comprensible y que pueda servir de ayuda.

    ResponderEliminar
  5. Agradezco su información precisa y concisa. Buscaba una fuente diferente a mi proveedor de servicio a fin de perfeccionar la gestión LOPD de mi micropyme.
    Le felicito por su Blog.

    ResponderEliminar
  6. Muchas gracias anónimo; como siempre digo, encantado si las entradas en este blog pueden servir de algo.

    ResponderEliminar