Con fecha 7 de febrero de 2023, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) publica en el Diario Oficial de la Federación una serie de criterios de interpretación de las normas en materia de protección de datos personales que es relevante para los patrones.
Uno de los criterios que destaca, es uno que indica que el salario base de cotización (SBC) previsto por la Ley del Seguro Social (LSS) es considerado dato personal de carácter patrimonial, por lo que su tratamiento y transferencia requieren del consentimiento expreso de su titular [1], es decir, de la persona a la que el SBC corresponda.
Cabe agregar que los criterios de interpretación son de carácter vinculantes para los sujetos obligados [2] en ámbito federal, y, orientadores para los organismos garantes de las entidades federativas [3].
El criterio de interpretación: ¿contraviene la Ley?
El criterio de interpretación se reproduce a continuación:
Datos personales de carácter patrimonial o financiero. El salario base de cotización previsto por la Ley del Seguro Social, se encuentra dentro de dicha categoría, por lo que su tratamiento y transferencia requieren del consentimiento expreso de su titular. El salario base de cotización, integra los pagos hechos en efectivo por cuota diaria, gratificaciones, percepciones, primas, comisiones y cualquier otra cantidad o prestación que se entregue a la persona por su trabajo, por lo que se estima que dicho dato está asociado al patrimonio de su titular, entendido como aquel conjunto de bienes, derechos y obligaciones correspondientes a una persona física, susceptibles de ser cuantificadas económicamente; razón por la cual es indudable que el salario base de cotización es un dato personal de carácter patrimonial, por lo que conforme a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su tratamiento y transferencia está sujeta al consentimiento expreso de su titular en términos de lo dispuesto por el Reglamento de la Ley en cita.
Lo “dispuesto por el Reglamento” hace referencia al Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en su Artículo 15, fracción II cuando indica que:
El responsable deberá obtener el consentimiento expreso del titular cuando
(…)
II. Se trate de datos financieros o patrimoniales;
(…)
Esta situación pone en alerta a los responsables de nóminas o en materia laboral pues alza la pregunta: ¿debe un patrón obtener consentimiento de sus trabajadores previo a tratar o transferir su SBC?
La pregunta es válida, sobre todo porque el criterio de interpretación pareciera contrariar la aplicación de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), Artículo 10, fracción IV, y el Reglamento de este ordenamiento, en su Artículo 17, cuando indican que:
Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando:
(…)
IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable
(…)
Artículo 17. En términos de lo dispuesto por los artículos 10, fracción IV y 37, fracción VII de la Ley, no se requerirá el consentimiento tácito o expreso para el tratamiento de los datos personales cuando éstos deriven de una relación jurídica entre el titular y el responsable.
No resulta aplicable lo establecido en el párrafo anterior cuando el tratamiento de datos personales sea para finalidades distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular. (…)
Puesto que en efecto existe una relación jurídica entre el trabajador (titular) y patrón (responsable), es preciso aclarar el fondo del criterio de interpretación y por qué es emitido por el INAI.
El criterio de interpretación: ¿contraviene la Ley?
Una lectura de los precedentes que dan pie al criterio de interpretación del INAI [4], coinciden en que un titular de datos personales denunció al responsable del tratamiento de datos personales, aduciendo que nunca ha tenido relación legal alguna con la entidad y que ésta utilizó sus datos al darle de alta y baja del Sistema Único de Autodeterminación (SUA) del IMSS.
En los tres expedientes de la entidad denunciada declara que “no existe relación alguna” entre ésta y el titular de los datos personales. Además, alega que el tratamiento de los datos fue accidental, toda vez que un trabajador “involuntariamente invirtió el orden de los números de seguridad social de uno de los trabajadores ocasionando con ello el alta en el sistema del denunciante”. Siguiendo esta línea de eventos, el responsable de los datos (aún sin reconocer el error), transfirió la información del denunciante al IMSS.
Con estos antecedentes, el INAI determinó que las entidades son infractoras por faltar a lo siguiente:
- Poner a disposición del titular un aviso de privacidad
- Omitir tomar las medidas necesarias para garantizar el debido tratamiento de datos personales
- No recabar ni transferir datos de forma lícita (con expreso consentimiento, en este caso).
Queda patente que el tratamiento del SBC sí amerita expreso consentimiento del titular del dato, sin embargo, esto es aplicable cuando no exista una relación jurídica, ya que, como indican los expedientes, entre el titular y el responsable no había relación jurídica que justificara el tratamiento de datos personales sin consentimiento en los términos de la Ley y su Reglamento.
Cuando se trate de un trabajador del patrón, es decir, que exista una relación jurídica, se actualizan los supuestos en donde se exenta de la obtención del consentimiento. Esta situación no exime al patrón de proporcionar un aviso de privacidad y de informar el tratamiento de los datos y de las transferencias que pueden realizarse.
Aprendizajes: debido tratamiento de datos personales aún si son recabados por error
De los expedientes se infiere que el criterio del INAI consiste en que los datos de una persona se deberán tratar como si hubiesen sido recabados de forma normal aun cuando han sido tratados por error, y, en consecuencia, el responsable debe cumplir con proporcionar un aviso de privacidad al titular, obtener su consentimiento cuando sea necesario, informar transferencias de datos, etcétera.
No obstante, dar cumplimiento a las citadas obligaciones resulta inverosímil cuando no concurre un contacto directo con el titular, toda vez que su información fue recaba involuntariamente, como en el caso de un responsable de nóminas que realiza trámites ante el IMSS y por error captura el número de seguridad social de una persona que sí existe, pero que no tiene relación con la empresa.
En consecuencia, los responsables de nóminas y del área laboral de las empresas deberán dar una completa revisión de los inventarios de las bases de datos y asegurarse que todos sean correctos no simplemente desde una perspectiva fiscal o de seguridad social, sino también de protección de datos personales.
____________
Notas al pie
[1] Titular, se define según la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en su artículo 3, fracción XVII, como “la persona física a quien corresponden los datos personales”.
[2] Es decir, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos público
[3] Organismos con autonomía constitucional especializados en materia de acceso a la información y protección de datos personales que ostentan competencia únicamente sobre una entidad federativa.
[4] Expedientes PS. 0623/19, PS.0435/19, PS 0175/19.