Hola, he planteado la siguiente cuestión en el foro de "Programas de Nómina". Me permito insertarla también aquí por si puede tener más difución y respuesta.
me gustaría poder contrastar con algunos de vosotros el siguiente tema:
repasando el Reglamento que desarrolla la LOPD (RD 1720/2007), publicado el año pasado, me planteo el nivel de seguridad que debo aplicar al programa de nómina.
Desde un inicio, al menos desde mi empresa, hemos entendido que debía de ser el nivel alto, aunque sólo fuera porque en la medida en que contiene información sobre minusvalias (por el tipo de contrato, IRPF) y de IT's, estamos hablando de datos relativos a la salud de nuestros empleados.
Esto implica unas medidas de seguridad más exigentes: contenido del documento de seguridad, auditoría, gestión de soportes), alguna de las cuales aún tenemos pendiente implementar.
No obstante, con la entrada en vigor del Reglamento, tengo mis dudas, que se han confirmado al ver algún artículo al respecto.
Así, aunque el art. 86.3 del Reglamento confirma el tratamiento de nivel alto para este tipo de información, luego matiza en el apartado 6 (lo mismo hace en el 5 respecto a información sindical cuando se trata simplemente de realizar una transferencia de las cuotas sindicales) que en la medida que se trate de información consistente únicamente en indicar el porcentaje de minusvalía, la mera situación de incapacidad (enfermedad ) o el apto o no apto (reconocimientos médicos) a los meros efectos de cumplir con los requerimientos legales (IPRF, cotización, prestaciones, prevención ), pero sin que contengan detalles relativos a la salud del empleados, se les puede dar el tratamiento propio del nivel básico.
El único caso en el que nos encontraríamos con información de más detalle sería en el caso de accidentes laborales, en los que sí que hay documentación de detalle relativa a la salud o estado físico del empleado. En todo caso, se trata de una información de detalle que en nuestro caso no es procesada de forma automatizada desde RRHH sino desde el servicio médico del servicio de prevención mancomunado del grupo de empresas al que pertenecemos, de forma que serán ellos los que deban responsabilizarse del tratamiento. En todo caso, las implicaciones de dar el tratamiento de nivel alto sólo al tema de accidentes, al menos al que desde el dpto. de RRHH de la propia empresa podemos hacer (partes o volantes de accidentes y poco más) resulta mucho más simple que aplicarlo a todo el programa de nómina.
El tema es relevante ya que, como decía, el poder considerar el programa de nóminas de nivel básico simplifica mucho las cosas, empezando por la no necesidad de auditorías, que aún tenemos pendiente.
En fin, si tenéis el tema más o menos contrastado, no sé cómo lo veis.
¿que nivel de seguridad habéis aplicado a vuestros programas de nóminas a efectos de la mormativa de protección de datos? (claro que habrá que tener en cuenta posibles matices de las caracteristicas del programa y del tipo de informacion porcesada en cada caso).
Gracias por vuestra colaboración.
Un saludo
me gustaría poder contrastar con algunos de vosotros el siguiente tema:
repasando el Reglamento que desarrolla la LOPD (RD 1720/2007), publicado el año pasado, me planteo el nivel de seguridad que debo aplicar al programa de nómina.
Desde un inicio, al menos desde mi empresa, hemos entendido que debía de ser el nivel alto, aunque sólo fuera porque en la medida en que contiene información sobre minusvalias (por el tipo de contrato, IRPF) y de IT's, estamos hablando de datos relativos a la salud de nuestros empleados.
Esto implica unas medidas de seguridad más exigentes: contenido del documento de seguridad, auditoría, gestión de soportes), alguna de las cuales aún tenemos pendiente implementar.
No obstante, con la entrada en vigor del Reglamento, tengo mis dudas, que se han confirmado al ver algún artículo al respecto.
Así, aunque el art. 86.3 del Reglamento confirma el tratamiento de nivel alto para este tipo de información, luego matiza en el apartado 6 (lo mismo hace en el 5 respecto a información sindical cuando se trata simplemente de realizar una transferencia de las cuotas sindicales) que en la medida que se trate de información consistente únicamente en indicar el porcentaje de minusvalía, la mera situación de incapacidad (enfermedad ) o el apto o no apto (reconocimientos médicos) a los meros efectos de cumplir con los requerimientos legales (IPRF, cotización, prestaciones, prevención ), pero sin que contengan detalles relativos a la salud del empleados, se les puede dar el tratamiento propio del nivel básico.
El único caso en el que nos encontraríamos con información de más detalle sería en el caso de accidentes laborales, en los que sí que hay documentación de detalle relativa a la salud o estado físico del empleado. En todo caso, se trata de una información de detalle que en nuestro caso no es procesada de forma automatizada desde RRHH sino desde el servicio médico del servicio de prevención mancomunado del grupo de empresas al que pertenecemos, de forma que serán ellos los que deban responsabilizarse del tratamiento. En todo caso, las implicaciones de dar el tratamiento de nivel alto sólo al tema de accidentes, al menos al que desde el dpto. de RRHH de la propia empresa podemos hacer (partes o volantes de accidentes y poco más) resulta mucho más simple que aplicarlo a todo el programa de nómina.
El tema es relevante ya que, como decía, el poder considerar el programa de nóminas de nivel básico simplifica mucho las cosas, empezando por la no necesidad de auditorías, que aún tenemos pendiente.
En fin, si tenéis el tema más o menos contrastado, no sé cómo lo veis.
¿que nivel de seguridad habéis aplicado a vuestros programas de nóminas a efectos de la mormativa de protección de datos? (claro que habrá que tener en cuenta posibles matices de las caracteristicas del programa y del tipo de informacion porcesada en cada caso).
Gracias por vuestra colaboración.
Un saludo