Debe destacarse que, así como las empresas están solicitando y almacenando información, asimismo deben garantizar que esta información sea protegida de acuerdo con la normativa en materia de protección de datos personales. En ese sentido, la mínima obligación a cumplir por parte de una empresa es la de proporcionar a sus empleados un aviso de privacidad que informe sobre el uso que se le dará a la información.
Aviso de privacidad a los empleados
Se ha tratado la importancia de ofrecer un aviso de privacidad en la nota La importancia del aviso de privacidad de datos personales en la práctica fiscal. Una lógica similar aplicable a los clientes es aplicable a los empleados. Así como la citada nota se concentraba en clientes, la presente será aplicable a empleados.
Como responsables de datos personales, los profesionistas del área fiscal están obligados a poner a disposición del empleado los avisos de privacidad que correspondan a los tratamientos de datos que lleven a cabo. Esta disposición de la información podrá realizarse a través del mismo contrato de trabajo o en sí en cualquier momento siempre que sea previo a la utilización de los datos personales del trabajador.
Nótese que la Ley requiere que el responsable de los datos personales (el patrón) ponga a el aviso de privacidad a disposición del titular (el empleado) previo a obtener sus datos.
Esta situación significa que las personas que sean prospectos a un empleo dentro de la empresa también tienen derecho a ser informados del uso de sus datos personales, aun cuando no hayan sido contratados.
El aviso de privacidad contiene, entre otras cosas, los siguientes datos:
- Identidad y domicilio del responsable que trata los datos personales
- Datos personales que serán sometidos a tratamiento
- Finalidades del tratamiento
- Mecanismos para que el titular pueda manifestar su negativa para el tratamiento de datos personales para aquellas finalidades que no son necesarias
- Transferencias de datos personales que, en su caso, se efectúen
- Medios y procedimiento para ejercer los derechos ARCO (acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales)
- Mecanismos para revocar consentimiento
¿Qué datos obtengo de mis trabajadores?
Parte de las mejores prácticas de la protección de datos personales consiste en identificar el inventario de datos que se tenga a disposición. Se puede asumir que un patrón, al menos, con los siguientes datos de sus empleados:
- Nombre completo
- Domicilio y código postal del empleado
- RFC
- CURP
- Teléfono celular y particular
- Correo electrónico
- Edad
- Puesto o cargo que desempeña el cliente
- Cuentas bancarias
- Información fiscal, financiera y patrimonial
Legalmente, estos datos enlistados no se consideran datos sensibles. Serán datos sensibles “aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”. La ley señala, en particular, que se consideran datos sensibles aquellos que puedan revelar aspectos como:
- origen racial o étnico
- estado de salud presente y futuro
- información genética
- creencias religiosas, filosóficas y morales
- afiliación sindical
- opiniones políticas
- preferencia sexual
Genera tu aviso de privacidad a través de la plataforma del INAI
El INAI proporciona una plataforma gratuita para generar un aviso de privacidad. Para ello es necesario generar una cuenta con correo electrónico. Una vez dentro, el portal permite elaborar avisos de privacidad integrales, simplificados y cortos. Para ello, acuda a la siguiente liga: https://generador-avisos-privacidad.inai.org.mx/
Una vez dentro, seleccione “Generador de avisos de privacidad. Sector Privado”.
Si bien la mecánica es más sencilla que iniciar desde cero, hay algunos puntos que pudieran generar incertidumbre. En ese sentido, se responden algunas partes clave con respecto a los patrones.
¿Qué uso doy a los datos personales de mis empleados?
Es importante ser preciso con las actividades que se realizan con los datos de los empleados. Por mencionar algunas, un patrón pudiera realizar lo siguiente:
- Realizar las retenciones de los de impuestos federales de la persona titular de los datos personales
- Expedir las facturas de nómina relacionados a los ingresos de la persona titular de datos personales
- Hacer los pagos de salarios
- Cumplir con obligaciones en materia de seguridad social
- Comunicarse con el titular de datos personales de manera periódica para informar sobre actividades relacionadas a la relación laboral
Esta lista no es exhaustiva y no debe considerarse como una recomendación de lo que un aviso de privacidad debe llevar; son actividades que comúnmente patrones puedan realizar con la información de sus empleados.
La autoridad fiscal y el IMSS ¿son considerados como un tercero para fines de protección de datos personales?
De acuerdo con el Artículo 36 de la Ley, cuando el responsable pretenda transferir los datos personales a terceros nacionales o extranjeros, distintos del encargado, deberá comunicar a éstos el aviso de privacidad y las finalidades a las que el titular sujetó su tratamiento.
Dicho esto, el Servicio de Administración Tributaria (SAT) y las autoridades en seguridad social como IMSS o INFONAVIT ¿configuran como tercero? La ley define como tercero a “la persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos”. Por lo tanto, sí, el SAT y las demás autoridades, sí configuran como un tercero.
Para reforzar el punto, la Guía del INAI marca como ejemplo de transmisión a un tercero cuando “un patrón o una empresa (responsable del tratamiento) que comunica datos personales de sus trabajadores al Instituto Mexicano del Seguro Social (tercero), para el cálculo de la pensión”.
Ahora debe señalarse que si la empresa comunica a un tercero, tales como una compañía dedicada a la elaboración de nóminas de la empresa, de igual forma deberá informar esta transferencia de información en el aviso de privacidad. Sin embargo, debe señalarse que por las características de la relación no debe obtenerse consentimiento del trabajador.
¿Debo obtener consentimiento expreso de mis empleados para usar sus datos personales?
En términos generales, se puede interpretar que el contrato de relación laboral se considera una relación jurídica. En ese sentido, en términos de la fracción IV, Artículo 10 de la LFPDPPP[*] no es preciso obtener consentimiento para el tratamiento de datos personales.
Cabe resaltar que, de no existir una relación jurídica, es preciso tener consentimiento expreso del cliente con respecto al uso de sus datos financieros o patrimoniales, en acuerdo con el penúltimo párrafo del Artículo 8 de la LFPDPPP.
Para reforzar lo anterior, la Guía del INAI ejemplifica una relación jurídica por la cual no hay que solicitar consentimiento del titular de los datos con la relación entre un doctor y paciente.
Caso de contratación de servicios especializados
En el caso de contratación de servicios especializados, consulte la publicación Revisa obligaciones de privacidad de datos ante reforma al outsourcing para consultar un análisis más a profundidad centrado en este caso.
Comentarios finales
El tema de protección de datos personales es relativamente novedoso y complejo para los profesionistas del área fiscal. Será necesario que cada uno conozca sus obligaciones en el área, que busque mejorar sus sistemas de seguridad e identifique sus responsabilidades legales.
Fuente: Fiscalia.com