¡Pide presupuesto en 2 min! ✓
EmpresaLOPDGDD & RGPD

Protección de datos en nóminas. ¿Cómo gestionar su confidencialidad?

El cumplimiento del RGPD y la LOPDGDD es fundamental en el ámbito laboral. Uno de los supuestos que más dudas suscita es cómo abordar la protección de datos en nóminas. En este artículo te contamos todo lo que debes saber a este respecto.

¿Las nóminas se consideran datos personales?

El Tribunal de Justicia de la Unión Europea y el Dictamen 4/2007 del Grupo de Trabajo del artículo 29 (GT29), del cual forma parte la Agencia Española de Protección de Datos (APED), han dictaminado que las nóminas son información relativa a una persona física, por lo tanto tienen consideración de datos personales y han de cumplir con lo dispuesto en el RGPD y la LOPDGDD.

¿La nómina es confidencialidad?

Sí, la nómina es confidencialidad y, por tanto, los responsables y encargados del tratamiento, ha de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de los empleados.

El empleador o el encargado del tratamiento debe garantizar que no existen accesos no autorizados a las nóminas, que los datos de carácter personal no se sean modificados y que el interesado pueda acceder a la información de las nóminas cuando lo necesite.

¿Qué dice la ley de protección de datos sobre las nóminas de los empleados?

A continuación vemos lo que dice la normativa sobre la licitud del tratamiento de los datos de los trabajadores, las obligaciones de las empresas y los derechos de los empleados.

El tratamiento de las nóminas de los empleados

La ley de protección de datos en nóminas es clara a este respecto. El artículo 6 del RGPD señala los supuestos de licitud de tratamiento de datos personales. En el caso de las nóminas, el tratamiento de los datos del trabajador sería lícito por las siguientes razones:

  • a) El interesado dio su consentimiento para el tratamiento de sus datos con una o varias finalidades.
  • b) El tratamiento resulta necesario para el ejecución de un contrato del que el interesado es parte, o para la aplicación de medidas precontractuales.
  • c) El tratamiento es obligatorio para que el responsable del tratamiento cumpla con una obligación legal.

Obligaciones de la empresa

Una de las principales obligaciones de las empresas para la protección de datos en las nóminas es actuar según el principio de responsabilidad proactiva.

En este sentido, cabe recordar que la nómina es confidencial, por lo que la empresa debe aplicar todas las medidas técnicas y organizativas que garanticen la seguridad, privacidad e integridad de la información contenida en una nómina.

Esto incluye todas las medidas de seudonimización, minimización o cifrado de datos, así como la aplicación de medidas de seguridad que eviten que terceros no autorizados puedan acceder a esos datos.

Otro de los requisitos de la empresa en cuanto a nóminas y protección de datos es incluir una cláusula informativa en la que se informe a los trabajadores de:

  • La existencia de ficheros con datos personales, la finalidad del tratamiento y los destinatarios de los datos.
  • Identidad de los responsables del tratamiento o de sus representantes.
  • Vías para ejercer sus derechos ARCO o, actualmente, ARSULIPO.
  • Si los datos van a ser cedidos a terceros, y con qué finalidad.

Por tanto, es imprescindible incluir una clausula de protección de datos en las nominas, como también lo es en el propio contrato de los trabajadores. Puedes consultar la cláusula de protección de datos de nuestra web.

Derechos del trabajador

El trabajador tiene derecho a solicitar al emplear el acceso, rectificación, supresión, limitación del tratamiento, portabilidad u oposición al tratamiento de los datos personales de sus nóminas.

Asimismo, tiene derecho a que se respete su identidad y que el empresario garantice la integridad de la información confidencial de la nómina, a través de las pertinentes técnicas de anonimización y seudonimización.

Por otro lado, el trabajador tiene derecho a elegir por qué medio quiere recibir sus nóminas. Por ejemplo, para el envío de nóminas por email tanto en caso de teletrabajo como en modalidad presencial, el empleador debe obtener el consentimiento expreso del trabajador.

Incluso, habría que ir más allá. En el caso del envío de nóminas por correo electrónico, hay tribunales que han considerado que el consentimiento del trabajador no será suficiente, ya que este puede no ser totalmente voluntario. Para que este consentimiento sea válido, el empleador deberá ofrecer al trabajador alguna otra alternativa para el envío de nóminas.

¿Cómo cumplir con la protección de datos cuando tenemos externalizado el servicio de gestión de nóminas?

Es habitual que las empresas contraten a asesorías laborales para la gestión de las nóminas. En este caso, la empresa será la responsable del tratamiento, mientras que la asesoría ejercerá como encargado del tratamiento. Para que esta relación tenga legitimación, se debe firmar entre ambas un contrato de encargo del tratamiento. Ese contrato funciona como una autorización de cesión de datos a terceros, en este caso al encargado del tratamiento.

La asesoría será el encargado del tratamiento, y a través de este contrato obtiene legitimidad para acceder a los datos de los trabajadores. Este contrato debe regular todas las condiciones y requisitos de protección de datos y privacidad para garantizar una gestión segura y responsable de los datos, así como determinar las obligaciones y responsabilidades de cada parte.

En caso de que la empresa haya optado por externalizar el servicio de gestión de nóminas para el ejercicio de sus obligaciones legales, no estará obligada a obtener consentimiento expreso de los trabajadores.

Cesión de los datos de nóminas, salarios o TC2

En este punto vemos cómo debe tratarse la cesión de los datos de las nóminas, tanto si se realiza de una subcontrata de la empresa principal, como en caso de que esta gestión se realice por medio de los representantes de los trabajadores.

De una subcontrata a la empresa principal

Debido a que en el TC2 se puede incluir información sensible de los trabajadores como datos sobre su salud o afiliación sindical, la legitimación para el tratamiento no es el mismo que regula la protección de datos en nóminas. En este caso habrá que acudir a lo dispuesto en el artículo 9 del RGPD.

En concreto, el artículo 9.2 del RGPD señala que el tratamiento será lícito cuando sea “necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado“.

La legitimación para el tratamiento de datos en nóminas de empleados subcontratados también se puede encontrar en el artículo 42.2 del Estatuto de los Trabajadores, que señala que “el empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante los tres años siguientes a la terminación de su encargo, responderá solidariamente de las obligaciones referidas a la Seguridad Social contraídas por los contratistas y subcontratistas durante el periodo de vigencia de la contrata“.

A su vez el acceso por parte de la empresa se limitará a los datos relativos a los trabajadores subcontratados, no pudiendo acceder a la información del resto de empleados de la subcontrata.

A los representantes de los trabajadores

Para cumplir con la normativa de protección de datos en nóminas también será necesario obtener el consentimiento expreso del trabajador cuando los datos de las nóminas sean cedidos a sus representantes.

En nuestra web puedes encontrar mucha más información sobre protección de datos en el ámbito laboral, por ejemplo, ¿se pueden publicar datos de los trabajadores sin permiso?