Plan de compensación flexible: no vulnera la normativa de protección de datos ceder al proveedor externo datos personales de los empleados
Cada vez son más las empresas que ofrecen a sus empleados planes de compensación flexible que se gestionan contratando con un proveedor de servicios externos la implantación del plan, los beneficios, el programa informático… La Agencia Española de Protección de Datos (AEDP) acaba de emitir una resolución en la que determina que si existe un contrato de prestación de servicios entre la empresa y el proveedor (empresa externa) que cumpla las previsiones del artículo 12 de la LOPD, el acceso por parte de la empresa externa a los datos de carácter personal de los empleados no tiene la consideración de comunicación de datos, no siendo por tanto aplicable el artículo 11 de la LOPD y, en consecuencia, no se requiere el consentimiento del interesado (Resolución de Archivo de actuaciones de la Agencia Española de Protección de Datos, de fecha 5 de abril de 2018).
El caso concreto
Una compañía contrató con una empresa externa un plan de compensación flexible consistente en un beneficio social, ofreciendo a los empleados la opción de poder elegir cómo cobrar parte de sueldo. Por tanto, la empresa externa actúa en este caso, a efectos de la normativa de protección de datos, como encargado del tratamiento con respecto a la compañía que contrata sus servicios, bajo sus instrucciones.
Con esta finalidad, la compañía suscribió un contrato de prestación de servicios con una empresa externa en donde esta última figuraba como encargado del tratamiento para la prestación del
servicio de diseño, implantación, comunicación y administración de políticas y soluciones de retribución flexible.
La empresa externa, envió a las direcciones de correo electrónico corporativo un mail recordatorio sobre el plazo para solicitar el plan de compensación flexible. Dicho plan se contrata a través de la intranet de la compañía, en el área del empleado, mediante acceso online con usuario y contraseña.
En la citada intranet, los trabajadores contaban con información sobre el plan de retribución flexible, constando que la empresa que lo gestiona es la compañía externa (xxx). Además, se ofrece la posibilidad de simular el plan, apareciendo una cláusula informativa relativa al artículo 5 de la LOPD sobre el tratamiento que la compañía va a realizar, así como la identidad de la empresa externa como gestor del plan. Además, se informa al trabajador de que, si finalmente contrata, autoriza expresamente que la empresa comunique a la empresa externa los datos del trabajador
de que dispone y que son necesarios para la gestión de dicho plan.
Uno de los empleados denunció a su compañía ante la AEPD poniendo de manifiesto que recibió un correo electrónico en su e-mail corporativo. Dicho correo contenía publicidad de la empresa externa. El empleado dirigió un correo electrónico a la empresa externa solicitando información acerca del motivo por el que contaba con sus datos personales. Recibió respuesta al día siguiente, en la que se le hacía saber que dicha empresa se encarga de la retribución flexible de los empleados de la compañía para la que trabaja, que le había facilitado sus datos para que se pudiera dar de alta en el plan de compensación flexible. El trabajador manifestaba en la denuncia ante la AEPD no haber dado su consentimiento para la cesión de sus datos.
La resolución de la AEPD
La AEPD entiende que este procedimiento es totalmente lícito y que, en este caso, ha quedado acreditado que entre las dos empresas denunciadas se había suscrito un contrato de prestación de servicios cuyo contenido responde a las previsiones del artículo 12 de la LOPD. En este sentido, la empresa externa es la encargada del tratamiento para la prestación del servicio de diseño, implantación, comunicación y administración de políticas y soluciones de retribución flexible, siguiendo para ello las instrucciones de la compañía que ha contratado sus servicios. Por tanto, el acceso a los datos de carácter personal de los empleados «no tiene la consideración de comunicación de datos, no siendo aplicable el artículo 11 de la LOPD y, en consecuencia, no requiriéndose el consentimiento del interesado».
Normativa aplicable
El artículo 12 de la LOPD dispone expresamente lo siguiente:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita
acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
