Envío de nóminas vía email, ¿Cómo cumplir con la normativa en materia de protección de datos?.

Actualmente nos encontramos en una sociedad en gran parte adaptada a los avances tecnológicos que tienen lugar en nuestra época. Es por ello que cada vez son más las empresas de nuestro país intentan progresar a la par, de tal manera que acondicionan su modo de trabajo a la era tecnológica en la que nos encontramos.

Motivo de lo anterior muchas empresas, para adaptarse a estos avances tecnológicos, optan por el envío de las nóminas a sus trabajadores por correo electrónico o por medio de alguna plataforma online especifica como la Intranet con el consiguiente ahorro económico y de tiempo que esto implica.

¿Pero puedo enviar las nóminas a mis empleados por correo electrónico?

Para dar respuesta a esta y otras cuestiones, antes de nada, hemos de acudir al Estatuto de los Trabajadores (ET), en concreto a su artículo 29, el cual hace referencia a la liquidación y al pago de los salarios, indicando que la documentación del salario a percibir por el empleado se realizara mediante la entrega al mismo de un recibo individual y justificativo del pago. Dicho documento, es decir la nómina se ha de ajustar al modelo oficial del Ministerio de Empleo y Seguridad Social, el cual se encuentra establecido en la Orden ESS/2098/2014, salvo que por convenio colectivo o, en su defecto, por acuerdo entre la empresa y los representantes de los trabajadores se estimen otras pautas.

Como podemos comprobar, la legislación laboral establece que el pago de la nómina ha de realizarse de manera puntual y documental, hecho que evidencia la obligación de la entrega de dicha documentación a los empleados. Por el contrario, el Estatuto de los Trabajadores no hace referencia al modo de entrega de dicha documentación a los empleados, es por ello que para dilucidar esta cuestión hemos de acudir a la jurisprudencia que ha sentado doctrina al respecto:

  • STS 9320/2011, en la que, tras un conflicto colectivo y reclamación por parte de los trabajadores a una entidad de la entrega de sus nóminas, el Tribunal Supremo (TS) falla a favor de los empleados sentando criterio y entendiéndose que la nomina ha de entregarse obligatoriamente en formato papel.
  • STS 5602/2016, esta sentencia viene a superar a la jurisprudencia del 2011, por la cual entendíamos que la nómina debía de entregarse en formato papel o por escrito, estimando en este caso el TS que no es necesario la entrega en papel, pudiéndose enviar por correo electrónico, siempre que el trabajador pueda acceder a la misma por los medios facilitados por la empresa. Por lo tanto, la empresa puede aportar la nómina al trabajador por mecanismos electrónicos, siempre que disponga de medios en la empresa para obtenerla, y al trabajador no le suponga ningún coste.
  • SAN 1509/2015, en la línea del TS, la Audiencia Nacional (AN) estima que es totalmente licito enviar la nómina al trabajador mediante correo electrónico u otro método informático, como puede ser por ejemplo la intranet, todo ello siempre y cuando el trabajador tenga acceso a ella en el centro de trabajo y en horario laboral, de tal manera que no suponga una carga para el empleado.

En conclusión, como podemos comprobar tanto en la normativa laboral de referencia como en las resoluciones de los diferentes órganos jurisprudenciales en lo relativo al modo de envío de la nómina por parte del empleador a los trabajadores, la empresa puede entregar la nómina en un soporte que no sea físico siempre que el trabajador tenga acceso al mismo por un medio facilitado por la empresa que no le suponga carga alguna. No obstante, a pesar de que la empresa puede entregarlo en otro soporte, el trabajador puede exigir que la nómina sea entregada en papel.

Una vez sentadas las bases tanto normativas como jurisprudenciales en materia laboral del presente artículo, pasaremos a analizar el impacto que tiene en materia de protección de datos el envío de la nómina a través del email.

Dicho análisis lo realizaremos a través de una reciente resolución por parte de la Agencia Española de Protección de Datos (AEPD), PS/00213/2021;

El proceso de investigación por parte de la AEPD que finalmente lleva a la resolución referenciada se inicia por la reclamación de un trabajador de un despacho. El empleado de la entidad manifiesta ante la autoridad de control que sus datos de carácter personal han sido cedidos a un tercero no autorizado, en concreto a un compañero de trabajo, pues este ha recibido por error un email con la nómina y ampliación de jornada laboral del reclamante.

Una vez recibida la reclamación por parte de la AEPD y dando el oportuno tramite de alegaciones a la entidad reclamada sin recibir respuesta por parte de esta la autoridad inicia el procedimiento sancionador.

¿Qué está incumpliendo exactamente el despacho en cuanto a la normativa en materia de protección de datos?

Se imputa al reclamado la comisión de una infracción de los artículos:

  • Art. 5.1.f) RGPD:Los datos personales serán: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
  • Art.5.LOPDGDD: “1. Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.   2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable. 3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento”

Entiende por tanto la AEPD que, en base a las pruebas aportadas por el reclamante, en las que se puede comprobar el envío de sus datos de carácter personal a un tercero, se cuentan con indicios suficientes de que el despacho reclamado ha vulnerado los artículos referenciados anteriormente, Art.5 del RGPD, principios relativos al tratamiento, en relación con el Art. 5 LOPDGDD, deber de confidencialidad.

Siendo el deber de confidencialidad un deber que ha de evitar que se realicen filtraciones de datos que no sean consentidas por los titulares de estos, además ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento, sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional. Si quieres conocer en profundidad el deber de confidencialidad, en el presente blog contamos con un artículo al respecto, el cual podrás visualizar pinchando aquí.

Finalmente, en base a lo indicado la AEPD procede a fijar el importe de la sanción por infracción del art. 5.1 f) RGPD al reclamado, como responsable de la citada infracción tipificada en el art. 83.5 del RGPD, procede graduar la multa teniendo en cuenta:

  • El alcance meramente local del tratamiento llevado a cabo por la entidad reclamada.
  • Solo se ha visto afectada una persona por la conducta infractora.
  • El perjuicio operado al reclamante debiendo acudir a esta instancia reclamando los citados hechos.
  • La entidad reclamada no ha respondido al requerimiento informativo de la Agencia lo que incide en la ausencia de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la misma.
  • No se tiene constancia de que la entidad hubiera obrado dolosamente, aunque la actuación revela una grave falta de diligencia.
  • La entidad reclamada es una pequeña empresa. Considerando los factores expuestos, la valoración que alcanza la cuantía de la multa es de 2.000 € por infracción del art. 5.1 f) del RGPD, respecto a la vulneración del principio de confidencialidad.

Por lo tanto, como podemos comprobar de la lectura de los anteriores párrafos, el hecho de enviar documentación en este caso laboral por correo electrónico ha de hacerse respetando la normativa en materia de protección de datos, pues sino podremos enfrentarnos a sanciones como la que trae causa del presente artículo.

Es por ello por lo que antes de terminar el artículo vamos a dar una serie de tips para enviar un email que contenga datos de carácter personal de forma que no incurramos en ningún incumplimiento normativo del RGPD y/o de la LOPDGDD:

  • Mantén la contraseña del correo electrónico de forma confidencial, sin que nadie mas la conozca. Así evitaremos accesos no deseados.
  •  
  • Emplea CCO al enviar un mensaje a más de un destinatario, salvo que sea necesario conocer quién más ha recibido ese correo. De este modo preservaremos la confidencialidad del resto de destinatarios.
  • Revisa las direcciones de los destinatarios antes de enviar el mensaje. De esta manera evitaremos accesos de terceros no autorizados.
  • Identifica de forma clara y concisa el asunto, nunca incluyas datos de carácter personal en el mismo.
  • Siempre que vayas a enviar documentación adjunta con datos de carácter personal, utiliza sistemas de cifrado. De esta forma evitaremos que si llega a un tercero no autorizado pueda acceder a la información.

Como consecuencia de lo expuesto a lo largo del artículo, podemos colegir que atendiendo a la normativa laboral no existe ningún impedimento para que la entidad pueda remitir a sus empleados las nominas vía email, no obstante, siempre y cuando esto lo hagamos de modo que respetemos los principios relativos al tratamiento y al deber de confidencialidad que se desprenden de la normativa en materia de protección de datos.