Protección de datos en la externalización de la gestión de nóminas

De manera habitual y con la finalidad de reducir costes, cada vez son más las empresas que optan por la externalización de la gestión de las nóminas en asesorías o gestorías especializadas en ello que por consiguiente comienzan a acceder a datos personales de empleados o clientes.

En concreto, en el caso en que la empresa facilite los datos a la gestoría, precisamente con la finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos (por lo que será el cliente- la empresa- quien decida sobre la finalidad y use de la información), aquella – la empresa– tendrá la condición de responsable del fichero y deberá notificar su existencia al Registro General de Protección de Datos.

Dado que en este caso nos encontraremos ante un supuesto en que la gestoría tendrá la condición de encargado del tratamiento, la relación entre ambas entidades deberá someterse a lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona

El acceso a los datos por cuenta de terceros es una figura regulada por el artículo 12 de la LOPD, que establece la “regulación en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.

Haz click aquí para descarga un modelo básico de CONTRATO PARA EL TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE TERCEROS.

Por su parte, los artículos 20 y siguientes del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter persona, han regulado los detalles de estas prestaciones con acceso a datos siendo importantes los siguientes datos:

  • El encargo se regulará mediante un contrato que deberá constar por escrito o de alguna otra manera que permita acreditar su celebración y contenido (queda excluido el contrato verbal).
  • El contrato previsto por el artículo 12 de la LOPD debe tener un contenido ajustado al tratamiento de datos personales que regule (no puede realizarse una mera repetición del precepto citado).
  • Es muy relevante tener en cuenta las necesidades específicas de seguridad en particular cuando el tratamiento se realice en los soportes del encargado.
  • Las condiciones para la destrucción o devolución de los datos de carácter personal al responsable del tratamiento, podrá consistir en su entrega a un nuevo encargado.
  • Si el encargado subcontrata, habrá de ser autorizado para ello por el responsable. Para ello caben dos posibilidades.
    • La subcontratación puede preverse en el propio contrato con el encargado ya sea con indicación de la empresa subcontratista autorizada ya con la definición de los supuestos de subcontratación.
    • La autorización sobrevenida del responsable a petición del encargado.
  • En uno u otro caso el responsable debe conocer la identidad del subcontratado y entre el encargado y esté último debe celebrarse un contrato (artículo 12 de la LOPD).
  • Pueden encargarse tareas específicas al encargado como la atención de los derechos de acceso, rectificación y cancelación o la llevanza del documento de seguridad.
  • El RDLOPD permite al encargado conservar bloqueados los datos, cuando exista una responsabilidad u obligación legal que lo justifique.

Muchas Gracias.

BORJA MEDÍN SUÁREZ.

Anuncios

4 comentarios

  1. Hola, tengo una pregunta. Cuando dices que:

    “En concreto, en el caso en que la empresa facilite los datos a la gestoría, precisamente con la finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos (por lo que será la cliente quien decida sobre la finalidad y use de la información), AQUELLA tendrá la condición de responsable del fichero y deberá notificar su existencia al Registro General de Protección de Datos.”

    Por “aquella” a quién te refieres: a la empresa o a la asesoría?

    Un saludo

    Me gusta

    1. Hola Rubén, el responsable del fichero es la empresa que contrata los servicios externos siempre y cuando decida sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Así que en este caso con AQUELLA me refiero a la empresa, no a la gestoría.

      Me gusta

  2. Muchas gracias, Borja.

    Le gusta a 1 persona

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: