Autor: Eric Gracia. Abogado Derecho.com
Acaba de ver la luz el Informe Jurídico de la Agencia Española de Protección de Datos 2008-0303: Nivel de Seguridad Básico en Nóminas (ART. 81.6), con datos de discapacidad o baja laboral o aptitud para desempeño de puesto de trabajo, que pone fin a una de las principales dudas suscitadas tras la entrada en vigor del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “Reglamento de Protección de Datos???): el alcance de la excepción contenida en su artículo 81.6.
La elaboración del Informe ha sido consecuencia de una consulta planteda por Derecho.com al Gabinete Jurídico de la Agencia Española de Protección de Datos el pasado día 7 de mayo.
Bien puede decirse que este Informe va a suponer un antes y un después para muchas empresas, que a pesar de no desarrollar actividades que implican el tratamiento de datos especialmente sensibles, se veían en la obligación de aplicar las gravosas medidas de seguridad de nivel alto a sus ficheros de nóminas y/o personal por incluir datos de salud.
El artículo 81.6 del Reglamento de Protección de Datos reza así: “También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.???
Si nos atenemos a la literalidad de dicho precepto, vemos claramente que determinados datos de salud que tradicionalmente forman parte de un fichero de nóminas o de personal, sorprendentemente, no tienen cabida dentro de la excepción. No obstante, según el Informe, para que un dato de salud pueda entenderse incluido dentro del ámbito de aplicación del artículo 81.6, deben darse dos requisitos:
- Que se trate de “datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado??? y
- que la finalidad que justifica su tratamiento venga impuesta por la exigencia al responsable del cumplimiento de un deber público. En cuanto al primer requisito, el Informe nos dice que no debe interpretarse de forma literal, sino que debe acudirse al espíritu de la norma, lo que permite ampliar el abanico de supuestos incluidos dentro de la excepción.Por otro lado, por “cumplimiento de un deber público??? debemos entender todos aquellos supuestos legales que obligan al empresario a conocer y tratar un determinado dato de salud de sus empleados. Así, en base a todo lo dicho, pueden tratarse bajo las medidas de seguridad de nivel básico los siguientes datos de salud incluidos dentro de un fichero:
– La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
– La indicación del dato «apto» o «no apto» de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
– Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador. Fuera de estos supuestos, si el fichero en cuestión contiene cualquier otro dato relacionado con los resultados de las acciones de vigilancia de la salud, distinto del meramente referido a la aptitud del trabajador, o bien incorpora los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, no puede aplicarse la excepción del artículo 81.6, debiendo implantarse entonces las medidas de seguridad de nivel alto.
Además, si se contratan los servicios de una empresa externa, como puede ser una gestoría, para la llevanza y tratamiento de los datos incluidos dentro de la excepción, ésta podrá aplicar también las medidas de seguridad de nivel básico.
Disculpa, debes iniciar sesión para escribir un comentario.