lunes, 9 de junio de 2008

Practicas empresariales contrarias a la LOPD

La Agencia Española de Protección de Datos ha indicado lo incorrecto de dos prácticas empresariales muy extendidas.
La primera de ellas es la solicitud a subcontratistas de los TC2 correspondientes a los trabajadores asignados al servicio. En opinión de la Agencia, bastaría con obtener de la Tesorería General de la Seguridad Social de la certificación a que se refiere el artículo 42.1 del Estatuto de los Trabajadores. El Informe Jurídico 180/2006 declara:
Además, en el modelo descrito en la consulta parece hacerse referencia a la cesión de la totalidad de la información contenida en los documentos TC2 presentados por el subcontratista.
Los citados documentos no se limitan únicamente a incluir una mera relación nominal de los trabajadores respecto de los cuales el empresario da cumplimiento a su obligación de abono de la correspondiente cuota, sino que introducen diversas informaciones referentes a los citados trabajadores, tales como su número de afiliación, si se encuentran en una de las situaciones especiales descritas en el Texto refundido de la Ley General de la Seguridad Social, aprobado por Real decreto Legislativo 1/1994, de 20 de junio, el tipo de contrato celebrado o la concurrencia de circunstancias que determinan la existencia de deducciones o compensaciones.
Todo ello implica que dicho documento incluye datos que incluso pueden encontrarse vinculados con la salud de los trabajadores, relacionados con su salud laboral, incapacidades o minusvalías.
(...)
La Agencia Española de Protección de Datos ha puesto reiteradamente de manifiesto que la aplicación del artículo 7.3 implica, por mor del principio de especialidad, la imposible aplicación a los datos referidos en el mismo de cualquiera de las causas legitimadoras del tratamiento previstas en el artículo 11.2 de la Ley Orgánica, quedando limitados los supuestos habilitantes del tratamiento y cesión de estos datos a los establecidos en la norma especial o a aquéllos en los que la norma general se refiere expresamente a tales datos (como sucede en relación con los datos de salud en el artículo 11.2 f) de la Ley Orgánica 15/1999).
(...)
Por este motivo, una comunicación de datos que pudieran encontrarse relacionados con la salud de los trabajadores subcontratados no sólo sería contraria al principio de proporcionalidad, sino además implicaría una cesión que excedería de lo dispuesto en el artículo 7.3 de la Ley Orgánica, así como del artículo 42 del Estatuto de los Trabajadores, que exime de responsabilidad al contratista por la existencia de una certificación negativa por descubiertos de la empresa subcontratista, sin alcanzar a datos de la naturaleza de los descritos en la consulta”
La segunda práctica se refiere a la de firma de contratos de encargado del tratamiento con las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social. Las Mutuas, como entidades colaboradoras de la Seguridad Social, no pueden ser consideradas prestadores de servicios al uso. Ni reciben el grueso de los datos almacenados en sus ficheros de las empresas asociadas (la mayor parte de estos datos provienen del propio interesado durante las asistencias sanitarias que recibe o de la Tesorería General de la Seguridad Social), ni siguen en sus tratamiento instrucciones del empresario.
Sin embargo resulta frecuente que las empresas asociadas les exijan la firma de un contrato con los requisitos del artículo 12 de la LOPD. Esperemos que tras el informe jurídico 189/2008 se resuelvan las dudas al respecto, puesto que señala claramente que:
"En consecuencia cuando la empresa contrate con una Mutua la protección de las contingencias profesionales de los trabajadores o la prestación económica de incapacidad temporal derivada de contingencias comunes, será considerada responsable del tratamiento de datos que realizan de acuerdo con las funciones que tiene legalmente atribuidas, y no con un mero tratamiento por cuanta de terceros.
Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas."

No hay comentarios: