¿Cubre mi gestoría mi adaptación LOPD?
Frecuentemente nos encontramos con cuestiones de este tipo cuando visitamos empresas que nunca se han adaptado a la LOPD y en ocasiones la justificación se encuentra en la creencia errónea de que es la gestoría quien tiene la obligación de cumplimiento y que sus clientes (personas jurídicas) quedan cubiertos en este sentido.
Partamos de la base de que la LOPD somete a su normativa a cualquier entidad que trabaje, trate y almacene datos de carácter personal, por lo tanto, independientemente de que la gestoría de cualquier empresa cumpla con dicha normativa, la propia empresa en cuestión debe adaptar su protocolo de trabajo a la normativa vigente.
Para entender esta cuestión seria conveniente delimitar y aclarar términos a través de un ejemplo: Supongamos que tu empresa tiene contratados 5 empleados y que encomiendas a tu gestoría la tramitación de cualquier gestión laboral.
Evidentemente los datos de esos 5 empleados salen de tu empresa y por lo tanto, tu empresa actúa como responsable de los mismo y a su vez, encarga el tratamiento de esos datos a un tercero, la gestoría.
Tanto tu empresa como la gestoría tienen la obligación de tratar esos datos cumpliendo con las medidas de seguridad que establece la LOPD, sin embargo, en caso de incumplimiento de dichas obligaciones la responsabilidad recaería sobre tu empresa en primer lugar.
¿Y que ocurre con la gestoría?
La gestoría como tal, trata y almacena datos de sus clientes (tu empresa) y siguiendo el ejemplo, los datos de tus trabajadores pero actúa meramente como Encargada del Tratamiento ya que los datos de los trabajadores no pertenecen a la gestoría si no a tu empresa. Por ello, el hecho de custodiar y tratar dichos datos no implica que tu empresa derive cualquier tipo de responsabilidad en la gestoría ya que la «propiedad» de los datos es de tu empresa.
De cara a una posible denuncia por un uso indebido de dichos datos, tu empresa será la encargada de demostrar el cumplimiento de las obligaciones recogidas en la LOPD, tales como la inscripción de los ficheros ante la Agencia Española de Protección de Datos, la firma de contratos de acceso a datos con aquellos terceros que puedan acceder a determinada información, como tu gestoría, y otros requisitos como el cumplimiento de deber de información a los interesados, por ejemplo a tus empleados, a través de cláusulas que faciliten de forma clara y precisa el fin de la recogida de datos, así como la posible cesión a otros organismos y entidades privadas.
Por lo tanto ninguna entidad podrá eximir su responsabilidad por incumplimiento tratando de justificarse a través de la propia gestión de la gestoría ya que, como hemos podido apreciar a lo largo de este artículo, la aplicación de esta normativa se considera independiente a la relación contractual que exista entre ambas entidades.
¿Cómo adaptar mi empresa a la LOPD?
Es conveniente aclarar que en el caso de poder demostrar el correcto cumplimiento de todas las medidas de seguridad exigidas por la LOPD se podría trasladar dicha responsabilidad a un tercero, como podría ser la gestoría. Para todo ello confíe siempre en profesionales formados y con experiencia, tal y como Rapinformes demuestra desde hace más de 20 años.
