Determinadas contrataciones y subcontrataciones de obras y servicios, en concurrencia de empresas implican la puesta a disposición de trabajadores y, en consecuencia, la cesión de los datos personales de éstos al empresario principal. El saber si es lícito solicitar ciertos datos, el tratamiento y almacenamiento adecuado de los mismos, la comunicación de la cesión de datos protegidos, entre otros, son aspectos que a menudo el empresario desconoce o no tiene en cuenta, incurriendo en sanciones derivadas del incumplimiento. Por este motivo es muy importante estar al día de la normativa en vigor relativa al tratamiento de datos, siendo la Ley Orgánica de Protección de Datos (LOPD) quien lo regula a nivel estatal.El tratamiento de datos al contratar y subcontratar empresas. Riesgos y obligaciones
Lo primero que ha de saber el empresario, con objeto de no incurrir en incumplimientos, es saber qué tipo de cesiones de datos requiere el consentimiento del trabajador y qué datos son especialmente protegidos. El artículo 11.1 de la LOPD indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso, según el artículo 11.2 a) cuando exista una norma con rango de Ley que otorgue cobertura a la cesión planteada. En concreto, en relación con los documentos solicitados a las empresas contratistas:
a) Prevención de Riesgos Laborales
El empresario principal, en cuyo centro de trabajo prestarán servicios los trabajadores de la empresa contratada, ha de tener conocimiento de una serie de datos de los trabajadores ocupados en la contrata, de si son aptos o no para realizar la actividad contratada, de su formación en relación a los riegos de las tareas a realizar, de su capacitación para el uso de maquinaria… etc, con la finalidad de cumplir los deberes de control, información y vigilancia según el R.D 171/2004 de coordinación de actividades empresariales.
b) Seguridad Social
El empresario principal, al ser responsable solidario de las obligaciones salariales contraídas por los contratista y subcontratistas con sus trabajadores (artículo 42.2 Estatuto de los Trabajadores E.T) deberá solicitar TCs, RNTs con objeto de certificar el cumplimiento de las empresas contratadas. De igual forma, al amparo de la responsabilidad prevista en el artículo 42 del Estatuto de los Trabajadores, el contratista principal tendrá que comprobar que la persona o entidad con la que se contrató está al corriente en el pago de las cuotas de la Seguridad Social.
En referencia a los datos protegidos, como es el caso de los datos referidos a la salud del trabajador o los, datos de afiliación, la Agencia de Protección de Datos ha elaborado una serie de informes de interés, en concreto aquellos que afectan a documentos solicitados por el empresario principal son:
- Informe jurídico sobre Medidas de Seguridad (0574/2008)
Nivel de seguridad en fichero con datos de salud. - Informe jurídico sobre la Cesión de Datos (0030/2010)
Cesión datos TC 2 y nóminas de trabajadores entre empresas. - Informe jurídico sobre la Cesión de Datos (0240/2009)
Datos de salud del trabajador accesibles al empresario y medidas de prevención a adoptar para trabajadores No Aptos.
Marco Legal de la Protección de Datos y novedades
La normativa española de protección de datos es fruto de la transposición de la Directiva Europea 95/46, a partir de la cual se publicó cuatro años más tarde La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal . Recientemente, el DOUE ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Dicho reglamento, que tiene como objeto unificar la legislación de los estados miembros en materia de protección de datos, garantizando unos estándares de protección elevados, adaptados al entorno digital actual, deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
¿Cuándo será de aplicación el nuevo reglamento? , ¿cómo afecta a la gestión de datos de mis contratas?
El Reglamento es de aplicación para todo tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de éstos contenidos o destinados a ser incluidos en un fichero. Quedarán excluidas actividades de tratamiento fuera del ámbito del Derecho Comunitario, actividades con fines de investigación de delitos o protección a la seguridad pública, así como el tratamiento de datos efectuado por una persona física con fines exclusivamente personales. Por lo tanto, en base a lo explicado en párrafos anteriores, abarca el tratamiento de datos cedidos en coordinación empresarial.
¿Qué novedades incluye el nuevo reglamento?, ¿cómo me afectará?
Las principales novedades que presenta son las siguientes:
– El usuario tendrá derecho al “olvido”, mediante la rectificación o supresión de datos personales, así como a trasladar los datos a otro proveedor de servicios
– Es necesario que exista un “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales
– En caso de pirateo de datos personales, el usuario tiene el derecho a ser informado
– Las cláusulas de privacidad deberán presentar un lenguaje claro y comprensible
– Introduce la figura del Delegado de protección de datos para el sector público y actividades Big Data
¿Qué pasos he de seguir como empresario?, ¿qué sanciones me pueden aplicar si no cumplo?
Las empresas deberán adoptar medidas para demostrar que están cumpliendo con el Reglamento, cambiando sus políticas de privacidad y tratamiento de datos, de lo contrario pueden llegar a asumir multas de 20 millones de euros o 4% de la facturación global. El nuevo Reglamento no será efectivo hasta el año 2018; los países comunitarios dispondrán de un plazo de dos años para trasladar los cambios de la directiva a la legislación nacional.
El uso de aplicaciones informáticas, que aseguran el tratamiento de la información de los datos en ellas alojados, de acuerdo con la Ley Orgánica de Protección de Datos, permite una gestión eficaz de los datos alojados, minimizando el riesgo de la cesión de datos, respetando la confidencialidad de los datos críticos (aptos médicos, documentos laborales, certificados, etc.). y asegurando el cumplimiento de los preceptos legales.
CTAIMA Outsourcing & Consulting SL, conscientes de la dificultad que supone aplicar la normativa de tratamiento de los datos de carácter personal implicada en la Coordinación de Actividades Empresariales, ha desarrollado la plataforma CTAIMACAE, dando cumplimiento a la normativa vigentes a nivel europeo y estatal. El carácter cifrado de los documentos, el ser el único canal de comunicación, el tener acceso desde cualquier dispositivo con acceso a internet 24/7, el poder configurar perfiles de usuarios avanzados, así como mantener una alta seguridad y protocolos de confidencialidad son algunas de las ventajas que más aprecian nuestros clientes, quienes están tranquilos por cumplir con todas sus obligaciones a nivel de protección de datos.
Acceda a nuestra página web y solicite ya nuestra demo gratuita