Protección de Datos y Asesores

Delimitación de responsabilidades en el tratamiento de datos de una Asesoría

La entrada en vigor de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal ha supuesto una mayor carga de responsabilidades para determinados sectores, entre los que estamos obligados a señalar a las asesorías laborales, fiscales y contables. Es bastante obvio que dichas actividades de asesoramiento manejan en su quehacer diario un gran volumen de datos de carácter personal. Pero como veremos a continuación, el principal problema de éstos no es el gran volumen datos que manejan, sino conocer y delimitar quién asume la responsabilidad sobre los tratamientos de datos de carácter personal que se realiza en la asesoría.

Así, llegados a este punto distinguimos dos supuestos distintos en los tratamientos de datos de carácter personal realizados en una asesoría.

- En primer lugar, aquellos datos de carácter personal, que el asesor recaba directamente del interesado con la finalidad de prestarle un servicio a este interesado. A título de ejemplo, señalemos los supuestos en que recibimos los datos fiscales de nuestros clientes para por ejemplo realizar la declaración del I.R.P.F.

En este caso, asumimos según la propia ley, la figura de “Responsable del Fichero”. Somos la persona que decidimos sobre la finalidad, contenido y uso del tratamiento que vamos a dar a esos datos personales, una vez recabados directamente del interesado y previo consentimiento de éste. Y por tanto, estamos sometidos de lleno al régimen de obligaciones de la LO 15/1999.

- Y en segundo lugar, encontramos un conjunto de datos, de mayor volumen y mayor problemática si cabe dentro de la Asesoría, necesarios para la prestación de los servicios de asesoramiento a sus empresas clientes. Son datos de carácter personal que recogen las empresas clientes para las que el asesor trabaja y son cedidos con determinados fines a la Asesoría, o la Asesoría los recoge directamente en nombre y representación de su empresa cliente. Por ejemplo, los datos de los trabajadores son recabados directamente por la empresa y cedidos a la Asesoría para la gestión de altas, bajas, nóminas y seguros sociales.

En este caso la Asesoría no decide sobre la finalidad, contenido y uso del tratamiento de datos. Nos encontramos ante un rol o papel distinto, fijado y definido en la Ley como “Encargado del Tratamiento de Datos”. Y es que, en este caso, estamos tratando datos por cuenta del Responsable del Fichero, que no es otro, que la empresa cliente que nos cede los datos.

En este supuesto, el régimen de obligaciones de la LO 15/1999 es compartido. Los asesores asumen una serie de obligaciones como “Encargados del Tratamiento de Datos”, y las empresas clientes otras obligaciones como “Responsables del Fichero”.

Es bastante recomendable para los asesores hilar muy fino en esta materia, fijando de forma clara con sus empresas clientes las responsabilidades que asumen en el tratamiento de estos datos. Este régimen de obligaciones se fija a través de la formalización y suscripción de un Contrato de Encargo de Tratamiento, previsto en el artículo 12 de la propia Ley. La LO 15/1999 exige la existencia de este contrato que permite, además, dar legitimidad a la cesión de datos que realizan las empresas clientes a sus asesores.

Tengamos en cuenta que no puede existir un Encargo de Tratamiento sin la existencia de este contrato. En caso de inexistencia de este contrato estaríamos ante una cesión o comunicación de datos, situación que podría suponer un grave perjuicio tanto para la asesoría como para la empresa cliente en forma de sanción de hasta 600.000 Euros, ya que constituye una infracción muy grave.

En definitiva, las asesorías deben diferenciar, por tanto, entre dos tipos de tratamientos de datos, de los que son directamente responsables y asumen por tanto todo el régimen de obligaciones de la normativa de protección de datos, y por otro lado, de los que son encargados del tratamiento, que son los datos que utilizan de sus clientes para la correcta prestación de los servicios de asesoramiento. Para la correcta utilización de estos últimos, necesitan suscribir un contrato de encargo de tratamiento con todas sus empresas clientes, en el que se fijará las condiciones en las que se realizará ese tratamiento de datos.