En el traspaso de trabajadores o puesta a disposición, se debe revisar privacidad.
Con el objetivo de cumplir con los nuevos requisitos solicitados por las autoridades fiscales y laborales en el marco de la reforma para regular el outsourcing , las empresas efectuarán transferencias de información de trabajadores, actualizando así obligaciones en materia de Protección de datos personales.
De acuerdo con las nuevas obligaciones para regular el outsourcing en materia del Impuesto sobre la Renta, los contratantes de servicios u obras especializadas deben obtener de su contratista los siguientes datos:
- Copia de los comprobantes fiscales de pago de salarios de los trabajadores involucrados,
- Copia del recibo de pago expedido por institución bancaria por la declaración de entero de las retenciones de impuestos efectuadas a dichos trabajadores
- Copia del pago de las cuotas obrero-patronales al IMSS e INFONAVIT
Asimismo, es probable que otro tipo de archivos relacionados al trabajador sean transferidos del patrón a un tercero, por ejemplo, expedientes del trabajador que contengan su historial clínico, situación familiar, perfil psicológico, currículum vitae, afiliación sindical, etcétera.
El envío de esta información actualiza el derecho del trabajador a que sus datos sea correctamente usados.
De acuerdo con el Artículo 67 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), se define transferencia como “la comunicación de datos personales dentro o fuera del territorio nacional, realizada a persona distinta del titular, del responsable o del encargado”.
En este caso, el titular es el trabajador y el responsable es el patrón.
De acuerdo con Artículo 68 del Reglamento, el responsable debe cumplir con las siguientes condiciones para transferir información:
- Se informe al titular en el aviso de privacidad correspondiente lo siguiente: que la transferencia se podrá realizar, a quién se transferirán los datos y para qué fines. Asimismo, en caso de requerirse, el aviso de privacidad deberá contener una cláusula para que el titular consienta o no la transferencia (este tema se ve adelante).
- Que el titular de la información haya otorgado su consentimiento para que la transferencia se realice (este tema se ve adelante).
- Que el objeto de la transferencia se limite a la finalidad y condiciones informadas en el aviso de privacidad, y que hayan sido consentidas por el titular, en su caso.
Es necesario identificar las obligaciones que tendrá el patrón que envía información de sus trabajadores y el contratista que recibe y almacena esa información. Destacan las siguiente:
- Informar a quién y para qué finalidades se efectúan las transferencias al titular (trabajador) en el aviso de privacidad y, en su caso, incluir la cláusula correspondiente.
- Limitar las transferencias a las finalidades y condiciones establecidas en el aviso de privacidad y que, en su caso, hayan sido consentidas por el titular.
- Comunicar a los terceros receptores de los datos el aviso de privacidad, con las finalidades a las que el titular sujetó su tratamiento.
- Demostrar que la trasferencia se hizo conforme a la normativa en materia de protección de datos personales.
Según el Artículo 72 del Reglamento, al momento en que el receptor obtenga los datos personales del trabajador este adquiere el carácter de responsable, y deberá tratar los datos personales conforme a lo convenido en el aviso de privacidad que acordó el trabajador con respecto a su patrón.
Esto último significa que, cuando haya una transferencia de datos el patrón deberá anexar a su vez el Aviso de Privacidad que el trabajador acordó. Esto es coherente con el Artículo 73 del Reglamento cuando señala que “la transferencia deberá formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento de sus datos personales”.
Transferencia de la información financiera del proveedor.
Dentro de la información que las empresas contratistas deban transferir a sus contratantes se encuentra la declaración del Impuesto al Valor Agregado (IVA), entre otra información que permita identificar la información financiera del proveedor.
No obstante, en caso de que este proveedor sea persona física, no es necesario presentarle un Aviso de Privacidad en el entendido que Artículo 5 del Reglamento de la LFPDPPP indica que, si la persona que proporciona sus datos lo hace en su carácter de comerciante o profesionista, no se está obligado a aplicar la protección, en términos legales, de sus datos personales.
En cambio, si el proveedor del servicio de outsourcing es una persona moral tampoco requiere presentar un aviso de privacidad, ya que en México el derecho a la protección de datos personales sólo aplica a personas físicas.
Cabe resaltar que, aún cuando no se esté obligado a presentar el Aviso de Privacidad, es importante dar el debido cuidado a la información que se transferida.
DERECHOS ARCO
Es importante identificar a qué entidades jurídicas o personas se envía la información personal de los trabajadores de forma que, si el trabajador ejerce sus derechos ARCO (acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales), haya forma de contestar y no se incurra en una multa en términos de Ley de Protección de Datos.