Conclusiones: 1. La empresa empleadora en cuanto al registro de planillas es la titular del banco de datos personales de sus trabajadores, con lo cual, si decide contratar a otra persona natural o jurídica con la finalidad de que realice esta actividad por ella, quien preste el servicio de planilla está asumiendo la calidad de encargada del tratamiento de los datos personales para esos fines.
2. Corresponde a la empresa empleadora, en su calidad de titular del banco de datos personales de los trabajadores para efectos del registro de planillas la inscripción en el Registro Nacional del Protección de Datos Personales del banco de datos “Trabajadores” indicando, como una de las finalidades de la existencia de este banco, el cumplimiento de las obligaciones propias de la legislación laboral entre las que se encuentra el registro de planilla.
Opinión Consultiva N° 03-2022-JUS/DGTAIPD
ASUNTO: Opinión sobre tratamiento de datos de trabajadores en el marco de contratación de servicio de planilla
REFERENCIA: Hoja de trámite N° 239303-2021
FECHA: Miraflores, 18 de enero de 2022
I. ANTECEDENTES
1. Mediante el documento de la referencia se consulta a a Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (DGTAIPD) respecto al tratamiento de datos personales en el marco de la contratación de servicio de planillas. Específicamente se consulta sobre lo siguiente:
a. ¿La autorización dada para que la empresa tercera recopile datos personales directamente de los trabajadores de la contratista constituye una entrega de datos personales? Es decir, ¿la autorización referida constituiría una entrega por parte del titular del banco de datos personales trabajadores (empresa A) a un encargado de tratamiento de datos personales (empresa tercera) en virtud de una relación jurídica que los vincula?
b. ¿Resultaría aplicable lo establecido por la normativa sobre encargado del tratamiento de datos?
c. Además del banco de datos de trabajadores de sus trabajadores que registra la empresa contratista (empresa A), ¿la empresa tercera o subcontratista debe registrar un banco de datos de usuarios de su portal (o similar) o ello no sería necesario? ¿Quién tendría que solicitar la autorización previa para recopilar los datos personales de las personas naturales (trabajadores) que utilizarán el portal web de la empresa tercera?
II. MARCO NORMATIVO DE ACTUACIÓN
2. La Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la DGTAIPD) es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública (ANTAI)[1] y la Autoridad Nacional de Protección de Datos Personales (en adelante, la “ANPD”)[2].
3. Entre sus funciones se encuentra absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto a la aplicación de las normas de transparencia y acceso a la información pública, así como de la normativa sobre protección de datos personales.
4. En esa medida, esta Dirección General emite la presente Opinión Consultiva en el ámbito de la interpretación en abstracto de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
Sobre el concepto de datos personales, titular del banco de datos y encargado del tratamiento
5. En virtud del artículo 2, numeral 4, de la Ley de Protección de Datos Personales (en adelante LPDP) se considera dato personal toda información sobre una persona natural que la identifica o la hace identificable, a través de medios que pueden razonablemente ser utilizados.
6. El reglamento de la LPDP, artículo 2, numeral 4, complementa la citada definición, señalando que son datos personales “aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados”.
7. Asimismo, el numeral 19 del citado artículo define al tratamiento de datos personales como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales”.
8. La LPDP y su reglamento establecen obligaciones para quienes realizan tratamiento de datos[3] que puede ser un titular del banco de datos, un encargado de tratamiento o un responsable de tratamiento:
• Titular del banco de datos: Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad (artículo 2, numeral 17, de la LPDP).
• Encargado de tratamiento de datos personales: Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando juntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales (artículo 2, numeral 7, de la LPDP).
• Responsable de tratamiento: Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales (artículo 2, numeral 14, del Reglamento de la LPDP).
9. Para tener clara la diferencia entre el responsable o titular del banco de datos personales y el encargado del tratamiento, debemos tener en cuenta que corresponde al titular del banco de datos o responsable del tratamiento decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio[4].
10. El artículo 28 de la LPDP, establece de forma general las obligaciones que deben cumplir el titular del banco de datos personales y el encargado de tratamiento de los datos personales, según sea el caso, siendo estas las siguientes:
Artículo 28. Obligaciones
El titular y el encargado de tratamiento de datos personales, según sea el caso, tienen las siguientes obligaciones:
1. Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales, salvo ley autoritativa, con excepción de los supuestos consignados en el artículo 14 de la presente Ley.
2. No recopilar datos personales por medios fraudulentos, desleales o ilícitos.
3. Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.
4. No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
5. Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
6. Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
7. Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
8. Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada.
9. Otras establecidas en esta Ley y en su reglamento.
Sobre el titular del banco de datos personales de los trabajadores
11. Con Decreto Supremo Nro. 015-2010-TR se modifica el Decreto Supremo Nro. 018-2007-TR, que regula al uso del documento denominado “Planilla Electrónica”, estableciendo en su art. 4-A lo siguiente:
4-A.- Registro de Información Laboral (T-REGISTRO)
El empleador deberá registrarse, así como a sus trabajadores, pensionistas, prestadores de servicios, personal en formación – modalidad formativa laboral y otros, personal de terceros y derechohabientes, de acuerdo a los siguientes plazos: a) Trabajador, prestador de servicios a que se refiere el numeral ii) del literal d) del artículo 1 del presente Decreto Supremo, personal en formación modalidad formativa laboral y otros, y personal de terceros: dentro del día en que se produce el ingreso a prestar sus servicios, independientemente de la modalidad de contratación y de los días laborados.
(…)
Cualquier modificación o actualización de los datos de la información existente en el TREGISTRO, deberá ser efectuada por el empleador dentro del plazo de cinco (05) días hábiles de haber ocurrido el evento o de la fecha en que el empleador tuvo conocimiento” (énfasis añadido).
12. En tal sentido, es obligación del empleador registrar a sus trabajadores en el TREGISTRO el mismo día de ingreso a prestar el servicio, esto es, en el transcurso de dicho día.
13. En ese marco, en cuanto al registro de planillas, una empresa empleadora, al ser la que define los fines y medios del tratamiento, es la titular del banco de datos personales de sus trabajadores, con lo cual, si la empresa empleadora decide contratar a otra con la finalidad de que realice esta actividad por ella, esta empresa prestadora del servicio de planilla está asumiendo la calidad de encargada del tratamiento, tal como lo dispone el artículo 2, numeral 7 de la LPDP[5].
14. Dicho esto, la asignación por parte del empresa a empleadora a la empresa prestadora del servicio de planilla constituye, en sentido estricto, un encargo del tratamiento de los datos personales de sus trabajadores con todas las obligaciones y responsabilidad que esto conlleva, de acuerdo a lo establecido en la LPDP y su reglamento, aun cuando sean los propios trabajadores de la empresa empleadora los que accedan directamente al portal web de la empresa encargada del tratamiento con la finalidad de ingresar sus datos personales (nombres y apellidos, DNI, dirección, teléfono, datos de cónyuge e hijos, información bancada, etc.) a efectos de hacer efectivo el servicio de registro o gestión de planillas.
15. Asimismo, dado que el tratamiento de datos de los trabajadores por parte del empleador para efectos del registro de planillas constituye un tratamiento propio de la ejecución y desarrollo de la relación contractual laboral este no requiere del consentimiento por parte de los trabajadores titulares de los datos personales. Ello de acuerdo con lo establecido en el artículo 14, numeral 5, de la LPDP que establece lo siguiente:
Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
5. Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
16. Sin embargo, cabe advertir, que el hecho de que, en este caso concreto, el empleador, titular del banco de datos personales o responsable del tratamiento, no requiera el consentimiento por parte de los trabajadores, titulares de los datos personales, no significa que esté también esté exonerado de cumplir con derecho – deber de informar sobre la persona natural o jurídica que realiza, por encargo, el tratamiento de datos personales de los trabajadores para efectos del registro de planillas. Ello de acuerdo con lo dispuesto en el artículo 18 de la LPDP:
Artículo 18. Derecho de información del titular de datos personales
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la ubicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
En el caso que el titular del banco de datos establezca vinculación con un encargado de tratamiento de manera posterior al consentimiento, el accionar del encargado queda bajo responsabilidad del Titular del Banco de Datos, debiendo establecer un mecanismo de información personalizado para el titular de los datos personales sobre dicho nuevo encargado de tratamiento.
Si con posterioridad al consentimiento se produce la transferencia de datos personales por fusión, adquisición de cartera, o supuestos similares, el nuevo titular del banco de datos debe establecer un mecanismo de información eficaz para el titular de los datos personales sobre dicho nuevo encargado de tratamiento.
Sobre la inscripción del banco de datos personales
17. De acuerdo con lo establecido en el artículo 78 del reglamento de la LPDP: “Las personas naturales o jurídicas del sector privado o entidades públicas que creen, modifiquen o cancelen bancos de datos personales están obligadas a tramitar la inscripción de estos actos ante el Registro Nacional de Protección de Datos Personales”.
18. En este orden de ideas, el artículo 79 del reglamento de la LPDP dispone que son los titulares de los bancos de datos personales quienes tienen la obligación de inscribirlos en el Registro Nacional de Protección de Datos Personales (en adelante RNPDP), proporcionando, entre otra, la siguiente información: “La identificación del titular del banco de datos personales, y en su caso, la identificación del encargado del tratamiento”, ello con la finalidad de que el RNPDP cumpla con la obligación establecida en el artículo 83 del referido reglamento que regula el contenido de la resolución de inscripción que, entre otros datos, debe consignar: “la identificación del encargado del tratamiento en donde se encuentre ubicado el banco de datos personales y los receptores de los datos personales y del flujo transfronterizo”.
19. Por lo tanto, es a la empresa titular del banco de datos personales, en este caso: la empresa empleadora, quien tiene la obligación de inscribir sus bancos de datos personales ante el RNPDP, entre los cuales se encuentra el banco de datos “Trabajadores” debiendo consignar, entre las finalidades del tratamiento, las generadas por obligación legal, entre las que se encuentra el registro de planillas.
IV. CONCLUSIÓN
1. La empresa empleadora en cuanto al registro de planillas es la titular del banco de datos personales de sus trabajadores, con lo cual, si decide contratar a otra persona natural o jurídica con la finalidad de que realice esta actividad por ella, quien preste el servicio de planilla está asumiendo la calidad de encargada del tratamiento de los datos personales para esos fines.
2. Corresponde a la empresa empleadora, en su calidad de titular del banco de datos personales de los trabajadores para efectos del registro de planillas la inscripción en el Registro Nacional del Protección de Datos Personales del banco de datos “Trabajadores” indicando, como una de las finalidades de la existencia de este banco, el cumplimiento de las obligaciones propias de la legislación laboral entre las que se encuentra el registro de planilla.
Aprobado por:
María Alejandra González Luna
Directora General (e) de Transparencia, Acceso a la Información Pública
y Protección de Datos Personales
Descargue el informe aquí
[1] Decreto Legislativo Nro. 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de gestión de intereses (publicado el 07 de enero de 2017; Decreto Supremo Nro. 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (publicado el 22 de junio de 2017); y Decreto Supremo Nro. 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo Nro. 1353 (publicado el 15 de setiembre de 2017).
[2] Ley Nro. 29733, Ley de Protección de Datos Personales, artículo 32.
[3] Vid. Opinión Consultiva Nro. 034-2021-JUS/DGTAIPD, sobre las obligaciones del encargado y el responsable del tratamiento de datos personales.
[4] AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Guías y Directrices para la elaboración de contratos entre el responsable y el encargado del tratamiento, AEPD, Madrid, 2019, p. 2.
[5] En el mismo sentido la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS PERSONALES afirma lo siguiente «… es muy frecuente que la gestión de las nóminas se encomiende a una asesoría o a una gestoría. La empresa contratada debe tratar datos personales para poder realizar su prestación, y lo hará en condición de encargada del tratamiento». Al respecto: Vid. AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS PERSONALES, Protección de Datos en las relaciones laborales, AEPDP, Madrid, 2021, p. 29.
