A la hora de solicitar la documentación a las empresas contratistas, son múltiples las preguntas que se realizan el empresario que les contrata: ¿qué documentación se ha de solicitar y por qué? ¿qué consecuencias jurídicas tendría el incumplimiento ?, ¿algún contratista puede negarse a ceder este documento por la confidencialidad de los datos que contiene?, ¿puedo solicitar un apto médico de un trabajador con limitaciones? En este artículo se analiza en concreto, la gestión de los datos cedidos por las empresas contratistas, las medidas de protección que se han de tomar y qué tipos de documentos no pueden solicitarse por la información que contienen.

La gestión documental derivada de la relación de contratación. ¿Por qué he de solicitar una serie de documentos a mis contratas?
En cumplimiento con el deber de control del empresario con sus empresas contratistas, recogido en el R.D 171/2004 de coordinación de actividades se ha de solicitar, verificar y controlar una serie de documentación a sus contratas y subcontratas. La evaluación de riesgos de los trabajos a realizar, la formación e información sobre los riesgos del puesto de trabajo de sus empleados y su aptitud médica son los documentos más comunes solicitados a nivel de prevención de riesgos laborales, en cumplimiento de sus deberes como empresario, expresados en la Ley 31/1995 de prevención de riesgos laborales. 

Junto con esta documentación preventiva, es una práctica común solicitar documentos de tipo administrativo (altas en la seguridad social, RNT, ITA…) ya que, si bien cada empresa subcontratista es responsable directamente de las sanciones administrativas derivadas por no tener a su personal dado de alta en la Seguridad Social (Art. 22.11 LISOS), el empresario principal responde solidariamente de las obligaciones referidas a la Seguridad Social contraídas por los contratistas y subcontratistas durante el período de vigencia de la contrata y de las obligaciones de carácter salarial durante el año siguiente a la finalización del encargo.

¿Cómo sé que cumplo con la Ley Orgánica de Protección de Datos?

El artículo 11.1 de Ley Orgánica 15/1999, de protección de datos de carácter personal indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Obligación que no es necesaria, según el artículo 11.2 a) cuando exista una norma con rango de Ley que otorgue cobertura a la cesión planteada.
En consecuencia, como el empresario que contrata ha de solicitar una serie de documentación en cumplimiento del RD 171/2004 y de sus obligaciones como empresario principal indicadas en el art. 42.2 del estatuto de los trabajadores, la cesión de datos es lícita no siendo preciso el consentimiento del trabajador.  Profundizando en la gestión de los datos cedidos,  el artículo 9.1 del reglamento indica que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Por otra parte, se ha de distinguir entre información confidencial y aquella de carácter personal protegida por la LOPD. Así, un contrato entre empresario contratista y su subcontrata puede ser de carácter confidencial porque se incluyen precios, datos del servicio prestado… etc. pero no por ello se trata de datos a los que les aplica la LOPD al no haber datos de carácter personal.

¿Qué medidas ha de adoptar para garantizar la seguridad de los datos solicitados a las empresas contratistas?

El artículo 80 del reglamento expresa que “Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.” El artículo 80.3 concreta indicando que, “… las medidas de nivel alto se aplicarán en los ficheros o tratamientos de datos de carácter personal: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.”  Al analizar el tipo de documentos que pueden llegar a contener algunos datos de esta índole, se puede considerar que la documentación relativa a los aptos médicos con restricciones de algunos trabajadores y los TC’s2/RNTs contienen datos de salud (bajas, incapacidad…) por lo que deberían tratarse con un nivel alto de seguridad.


Planteando esta cuestión a la Agencia de Protección de Datos, remite al artículo 81.6 del reglamento, pudiendo aplicarse el nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Si desean profundizar en estos aspectos, recomendamos consultar los siguientes informes elaborados por la Agencia Española de Protección de Datos.

  1. Informe Jurídico (0008/2010), sobre medidas de seguridad a aplicar como responsable de fichero que contiene datos de seguridad social,
  2. Informe Jurídico (0574/2008), sobre los niveles de seguridad a aplicar a ficheros con datos de salud
    Nivel de seguridad en fichero con datos de salud.
  3. Informe Jurídico (0030/2010) sobre cesión de datos en TC2 y nóminas de trabajadores entre empresas

¿Qué pasos he de seguir como empresario?, ¿qué sanciones me pueden aplicar si no cumplo?
El mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, es considerado una infracción grave que conlleva sanciones comprendidas entre 40.001 y 300.000 euros. Por ello es muy importante que, a la hora de utilizar una aplicación informática para la coordinación de actividades empresariales, nos aseguremos que el tratamiento de los datos en ellas alojados cumple la Ley Orgánica de Protección de Datos, respetando la confidencialidad de datos críticos y asegurando el cumplimiento legal de datos protegidos. 

CTAIMA Outsourcing & Consulting SL, consciente de la dificultad que supone aplicar la normativa de tratamiento de los datos de carácter personal implicada en la Coordinación de Actividades Empresariales, ha desarrollado la plataforma CTAIMACAE, que cuenta con un nivel de seguridad medio, permitiendo la adopción de las medidas de seguridad de nivel alto si así fuese necesario. El carácter cifrado de los documentos alojados en ella, poder mantener una alta seguridad y protocolos de confidencialidad y el ser el único canal de comunicación, el poder configurar perfiles de usuarios avanzados, así son algunas de las ventajas que más aprecian nuestros clientes.

¡Accede a nuestra página web y solicita ya nuestra demo gratuita!