Externalización de la Gestión de Nóminas

Externalización de la Gestión de Nóminas.

Es muy frecuente que la gestión de las nóminas se encomiende a un asesor laboral o a una empresa del grupo. La empresa contratada debe acceder a datos personales para poder realizar su prestación y, conforme a la LOPD es lo que se define como encargado del tratamiento.

« En concreto, en el caso en que la empresa facilite los datos a la gestoría precisamente con la finalidad de que por la misma se desarrollen las debidas actividades de tratamiento de los datos, por lo que será la cliente quien decida sobre la finalidad y uso de la información, aquella tendrá la condición de responsable del fichero y deberá notificar su existencia al Registro General de Protección de Datos.
Dado que en este caso nos encontraremos ante un supuesto en que la gestoría tendrá la condición de encargado del tratamiento, la relación entre ambas entidades deberá someterse a lo dispuesto en el artículo 12 de la Ley. (Informe sobre análisis de la figura del Encargado del tratamiento) »

El tratamiento de datos por cuenta de terceros es una figura regulada con mucho detalle por el artículo 12 LOPD, que establece la necesidad de formalizar un contrato y define su contenido y las obligaciones de las partes. Los artículos 20 y siguientes del RDLOPD han regulado los detalles de estas prestaciones con acceso a datos. De lo dispuesto en estas normas debe tenerse muy en cuenta que:

El encargo se regulará mediante un contrato que deberá constar por escrito o de alguna otra manera que permita acreditar su celebración y contenido. Se excluye el contrato verbal.
Ej. Otra manera puede consistir en su celebración por medios electrónicos que dejen constancia de su contenido.

El contrato previsto por el artículo 12 LOPD debe tener un contenido ajustado al tratamiento de datos personales que regule. No puede consistir en una mera repetición del precepto citado.
Es muy relevante tener en cuenta las necesidades específicas de seguridad en particular cuando el tratamiento se realice en los soportes del encargado.

Las condiciones para la destrucción o devolución de los datos de carácter personal al responsable del tratamiento, podrá consistir en su entrega a un nuevo encargado.
Si el encargado acude a la subcontratación, habrá de ser autorizado para ello por el responsable.

Para ello caben dos posibilidades.

La subcontratación puede preverse en el propio contrato con el encargado ya sea con indicación de la empresa subcontratista autorizada ya con la definición de los supuestos de subcontratación.

La autorización sobrevenida del responsable a petición del encargado.
En uno u otro caso el responsable debe conocer la identidad del subcontratado y entre el encargado y esté último debe celebrarse un contrato conforme al art. 12 LOPD.

Pueden encargarse tareas específicas al encargado como la atención de los derechos de acceso, rectificación y cancelación o la llevanza del documento de seguridad.
Ej. Cuando un responsable contrata de modo externo la gestión de nóminas de modo que materialmente ésta se realiza en el entorno del encargado podría delegarse la llevanza del documento de seguridad.

El RDLOPD permite al encargado conservar bloqueados los datos, cuando exista una responsabilidad u obligación legal que lo justifique.

A.E. Gestión Empresarial, S.L. - Realizamos todo el procedimiento de creación del Protocolo de Seguridad LOPD adaptado a sus necesidades, implantando las Medidas de Orden Técnico, Organizativos y de Seguridad establecidos por la Ley.  Pidanos presupuesto sin compromiso.