El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), publicó en el DOF el 7 de febrero de 2023 el acuerdo ACT-PUB/25/01/2023.07 mediante el cual aprobó los criterios de interpretación en materia de protección de datos personales en posesión de sujetos obligados o de particulares.
Según el criterio con clave de control PP/002/2023 de ese documento, relacionado con el salario base de cotización (SBC), precisa que esa base salarial está asociada con el patrimonio de los trabajadores, por lo que su comunicación debe ser acorde con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Por la relevancia que implica dicho criterio para el sector patronal, el maestro José Juan Ríos Aguilar, coordinador editorial de las secciones de laboral y seguridad social de IDC, Asesor Fiscal, Jurídico y Laboral realiza el análisis pertinente.
Transferencia de datos personales
De conformidad con los artículos 3o., fracciones IV, V Y XIX, 8o., primer, segundo y cuarto párrafos de la LFPDPPP y 12, 15, fracción II, 16, 20, 67, 68 y 69 del Reglamento de la LFPDPPP, los datos personales:
- consisten en cualquier información relativa a un sujeto identificada o identificable
- se tienen que tratar bajo el consentimiento de su titular, a través de la manifestación de su voluntad, y
- de carácter patrimonial, para que puedan transferirse (comunicarse a persona distinta del encargado del tratamiento), el responsable debe recabar la aceptación libre, específica, informada e inequívoca del titular, ya sea de forma: verbal, por escrito, o a través de medios electrónicos, ópticos o cualquier otra tecnología
Además, para transferir los datos personales, el responsable o encargado del manejo de estos, tiene que acreditar haber obtenido el consentimiento del poseedor de la información.
Criterio de la autoridad
Datos personales de carácter patrimonial o financiero. El salario base de cotización previsto por la Ley del Seguro Social, se encuentra dentro de dicha categoría, por lo que su tratamiento y transferencia requieren del consentimiento expreso de su titular. El salario base de cotización, integra los pagos hechos en efectivo por cuota diaria, gratificaciones, percepciones, primas, comisiones y cualquier otra cantidad o prestación que se entregue a la persona por su trabajo, por lo que se estima que dicho dato está asociado al patrimonio de su titular, entendido como aquel conjunto de bienes, derechos y obligaciones correspondientes a una persona física, susceptibles de ser cuantificadas económicamente; razón por la cual es indudable que el salario base de cotización es un dato personal de carácter patrimonial, por lo que conforme a lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su tratamiento y transferencia está sujeta al consentimiento expreso de su titular en términos de lo dispuesto por el Reglamento de la Ley en cita.
Fuente: Acuerdo ACT-PUB/25/01/2023.07, Clave de control: PP/002/2023.
Precedentes
En los expedientes PS.0623/19, PS.0435/19 y PS.0173/19 se denunció a distintas personas morales particulares —empresas responsables— por haber dado de alta al trabajador en el Sistema Único de Autodeterminación (SUA) del IMSS, sin que existiera relación legal alguna con los asegurados —propietarios de los datos—, y que dichas compañías utilizaron los datos personales de estos últimos sin su consentimiento tácito o expreso.
Es de aclarar que de los precedentes de los procedimientos manifestados, se advierte que más allá de la “alta” en el SUA, las responsables comunicaron el reingreso de los titulares al Régimen Obligatorio del Seguro Social (ROSS) a través del portal IMSS Desde su Empresa (IDSE).
Sustanciados los procedimientos de verificación llevados por el Secretario de Protección de Datos Personales y el Director General de Investigación y Verificación del Sector Privado, el Pleno del INAI determinó, entre otras cosas, que las empresas particulares:
- transfirieron datos personales de carácter patrimonial de los denunciantes sin haber obtenido previamente su consentimiento expreso, contraviniendo el artículo 8o., párrafos primero, segundo y cuarto, de la LFPDPPP, en relación con los diversos, 12, 15, fracción 11, 16, 20, 67, 68 y 69 párrafo primero del Reglamento de la LFPDPPP
- trataron datos personales de los dueños en contravención a los principios de:
- información: porque omitieron acreditar haber puesto a disposición de los particulares su aviso de privacidad en el que hiciera de su conocimiento los datos personales que trata y con qué finalidades. Consecuentemente se impidió a los afectados conocer, al menos, la existencia y las características principales del tratamiento al que serían sometidos sus datos personales.
Situación que transgrede los numerales 6o. y 15 de la LFPDPPP y 9o., fracción III y 23 del Reglamento de la LFPDPPP - responsabilidad:porque no tomaron las medidas necesarias para garantizar el debido tratamiento de los datos personales que están bajo su custodia y posesión, con el objeto de velar y responder por el cumplimiento de los principios de protección, debiendo adoptar aquellas acciones que le permitieran garantizarlos, pudiendo apoyarse incluso en estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo.
Por ello se conculcaron los dispositivos 6o. y 14 de la LFPDPPP y 9o. fracción VIII, 47 y 48 del Reglamento de la LFPDPPP, y - licitud: sus conductas no se apegaron a las disposiciones de la LFPDPPP y la normatividad que de ella deriva; por lo tanto se vulneraron los preceptos 6o. y 7o., primer párrafo de dicho ordenamiento
- información: porque omitieron acreditar haber puesto a disposición de los particulares su aviso de privacidad en el que hiciera de su conocimiento los datos personales que trata y con qué finalidades. Consecuentemente se impidió a los afectados conocer, al menos, la existencia y las características principales del tratamiento al que serían sometidos sus datos personales.
licitud: sus conductas no se apegaron a las disposiciones de la LFPDPPP y la normatividad que de ella deriva; por lo tanto se vulneraron los preceptos 6o. y 7o., primer párrafo de dicho ordenamiento
Justificación
La autoridad les solicitó a las empresas que especificaran los motivos por los cuales dieron de alta y baja como sus subordinados a los denunciantes ante el Instituto en diversas ocasiones.
En términos generales los responsables contestaron que por error de sus empleados (encargados de los trámites en el IDSE) ingresaron al portal del IMSS e involuntariamente invirtieron el orden de los números de seguridad social de varios de sus trabajadores, ocasionando con ello el alta en el sistema del denunciante; sin embargo, dicha acción fue accidental por la falta de experiencia de los colaboradores al momento de cargar al portal los movimientos afiliatorios vía electrónica.
Además, que al revisar los movimientos afiliatorios efectuados en el IDSE se dieron cuenta del yerro y realizaron el movimiento de baja correspondiente, tal y como se demuestra en las constancias de semanas cotizadas expedidas por el IMSS y que fueron exhibidas por los denunciantes.
El INAI les requirió más información a las compañías, y en alguno de los casos se respondió lo siguiente:
Solicitud |
Manifestación del responsable |
| De conformidad con las manifestaciones efectuadas, remita las documentales en las que se advierta la inversión del orden del Número de seguridad social (NSS) de su trabajador, con aquellos correspondientes al denunciante |
El error involuntario de captura fue porque el personal al momento de cargar al IDSE la hoja de cálculo con los NSS de algunos subalternos, manipuló las celdas de tal forma que los números ingresados se invirtieron, y el resultado de ello fue que coincidentemente ese dato identificador fue el del sujeto denunciante. Al tratarse de una hoja de cálculo, esta no es un documento, sino un formato digital que contenía celdas sin información del denunciante, porque para procesar un alta en el sistema no es necesario contar con datos exactos, completos y correctos, pues basta ingresar un NSS para generar el alta respectiva1 |
| Precise de qué manera su representada verificó que los datos personales motivo de la presente denuncia, fueran exactos, completos, pertinentes, correctos y actualizados |
En ningún momento se pretendió generar algún tipo de vínculo con el denunciante, porque nunca se tuvo información relativa a este; por ende, no tenía obligación de verificar que los datos personales del afectado fueran exactos, completos, pertinentes, correctos y actualizados. Se reiteró que no se cuentan con datos personales del denunciante, ni se tenía conocimiento que el NSS que se ingresó accidentalmente al IDSE pertenecía a aquel |
| Remita las documentales que acrediten los actos implementados por su representada para garantizar el debido tratamiento de datos personales, de conformidad con los artículos 14 de la LFPDPPP y 48 de su Reglamento |
Las medidas adoptadas a partir del error cometido consisten en acciones preventivas como lo son revisión minuciosa por parte del operador y su inmediato superior, sobre el contenido de las celdas en las hojas de cálculo una a una, antes de enviar por medios electrónicos cualquier tipo de información a las diversas autoridades. Apercibidos de ser sancionados conforme a la legislación laboral en caso de incurrir en omisiones |
Nota:
1. Es de precisar que la manifestación que se hace respecto a que solo con ingresar un NSS en el IDSE se genera el alta de una persona, es incorrecta porque en la práctica el sistema arroja el error 006 "Nombre de la persona es inválido" o el 059 "Nombre de la persona es diferente al registrado", esto porque el nombre ingresado no corresponde al NSS. Consecuentemente, no procederá el alta en el sistema y será un movimiento rechazado
Por otra parte, la autoridad, le requirió al Seguro Social distinta información, quien contestó que el IDSE:
- es un sistema en internet mediante el cual los empresarios envían los movimientos afiliatorios de sus trabajadores: altas, modificaciones salariales y bajas
- los datos obligatorios que debe ingresar el patrón al reincorporar al subordinado al ROSS son: primer y segundo apellidos, nombre, clave (NSS), CURP, unidad de medicina familiar, y salario diario integrado (SDI que es el SBC) del asegurado; tipo de colaborador, de salario, y de jornada; y fecha de movimiento, y
- el sistema arroja una constancia de presentación con el NSS, nombre, apellidos y SDI del subalterno
Igualmente, que el SUA es un programa informático que se instala en los equipos de cómputo de los patrones y apoya en la autodeterminación y entero de las cuotas obrero-patronales del IMSS, Sistema de Ahorro para el Retiro e Infonavit, de conformidad con el numeral 15, fracción II de la LSS, y su finalidad es facilitar el cumplimiento en la autodeterminación de los pagos.
También especificó que el IDSE y el SUA no guardan relación entre sí, ya que el primero es la herramienta informática donde los empleadores se autentican mediante certificados digitales y transmiten los datos necesarios para presentar sus reingresos, modificaciones al SBC y bajas ante el Instituto; y el segundo, se pone a disposición de las empresas para que realicen la autodeterminación de conformidad con el precepto 39 de la LSS.
Así las cosas, el INAI resaltó que, conforme a lo previsto en el dispositivo 15, fracción I de la LSS, es una obligación a cargo de todo patrón registrar e inscribir a sus trabajadores en el Instituto, comunicar sus altas y bajas, las modificaciones de su salario y los demás datos.
Por lo que en esa tesitura, y conforme al artículo 8o., primero, segundo y cuarto párrafo, de la LFPDPPP, todo tratamiento de datos personales está sujeto al consentimiento de su titular y que tratándose de datos personales de carácter patrimonial, las presuntas infractoras estaban obligadas a recabar el consentimiento expreso de la denunciante, para transferir sus datos personales para realizar los movimientos afiliatorios ante el IMSS, lo que se debió acreditar, situación que no aconteció. Omisión que infringió el numeral 63, fracción XIII de la LFPDPPP.
SBC
Para el INAI, entre los datos que dieron tratamiento los infractores fue el SBC, que conforme al dispositivo 27 de la LSS, se integra por los pagos hechos en efectivo por cuota diaria, gratificaciones, percepciones, primas, comisiones, y cualquier otra cantidad o prestación que se entregue al trabajador por sus servicios; por ende, estima que dicho dato está asociado con el patrimonio de su titular, entendido como el conjunto de bienes, derechos y obligaciones (deudas) correspondientes a una persona física, susceptibles de ser cuantificadas económicamente; razones por las cuales es indudable que el SBC es un dato personal de carácter patrimonial.
Contravención de principios
El Pleno del INAI al analizar si se contravinieron o no los diversos principios en la materia de protección de datos personales argumentó lo siguiente:
Principio |
Razonamiento |
| Información |
El principio consiste en la obligación de comunicar a los titulares de los datos personales, la información que se recaba de ellos, la existencia y las características principales del tratamiento al que serán sometidos y con qué fines, a través del aviso de privacidad. Como las empresas responsables no acreditaron haber puesto a disposición de los denunciantes sus avisos de privacidad, previo al cuidado de sus datos personales; consecuentemente, omitieron hacerles del conocimiento los datos personales que trata y con qué finalidades, impidiendo así, que aquellos se enteraran, al menos, sobre la existencia y elementos primordiales del trato al que sería sometida su información. Además, las responsables reconocieron que entre ellas y los denunciantes no existía relación alguna, y que en ningún momento se les puso a disposición el aviso de privacidad pues no existe vínculo que les una, ello es una confesión expresa en su perjuicio |
| licitud |
Este principio consiste en que los particulares traten los datos personales de los titulares conforme a las disposiciones establecidas en la LFPDPPP y su reglamento. Las omisiones de las empresas (transferir datos personales sin autorización, omitieron entregar su aviso de privacidad, y tampoco implementaron medidas necesarias para garantizar el cumplimiento de principios de protección), demuestra que no se apegaron a la normativa aplicable, por lo que su actuación viola el principio de licitud |
| Responsabilidad |
Consiste en velar por el cumplimiento de los principios de protección de datos personales previstos en el artículo 6o. de la LFPDPPP, por lo que se tienen que adoptar medidas indispensables para su obligación; por ende, tienen que responder por el tratamiento de la información bajo su custodia o posesión, privilegiando los intereses del titular y la expectativa razonable de privacidad. Las infractoras transfirieron datos personales de los denunciantes a terceros, sin su consentimiento, por ello incumplieron su carga de velar y responder por los datos personales que estaban bajo su custodia y posesión. Ello porque estando obligadas a establecer las acciones necesarias y suficientes para la aplicación de los principios de protección de datos personales, que incluyera mecanismos y controles que sirvieran para tal fin, como la elaboración de políticas de privacidad, apoyarse en estándares, mejores prácticas internacionales, políticas corporativas, esquemas de autorregulación o cualquier otro mecanismo que determinara adecuado para tales fines; en la especie no aconteció |
Infracciones
Según el artículo 63, fracciones IV y XIII de la LFPDPPP, son faltas a dicha ley las conductas llevadas a cabo por los responsables, tales como: dar tratamiento a los datos personales en contravención a los principios establecidos en la presente ley, y recabar o transferir aquellos sin consentimiento expreso del titular, en los casos que este sea exigible.
Consecuentemente por la primera falta la multa es de 100 a 160,000 veces la UMA —esto es de $ 10,374.00 a $ 16,598,400.00— y por la segunda es de 200 a 320,000 veces la UMA —actualmente de $ 20,748.00 a $ 33,196,800.00— (art. 64, fraccs. II y III, LFPDPPP).
Crítica
Según lo vertido en las resoluciones del Pleno del INAI, los empresarios transgredieron la legislación, porque: comunicaron el SBC de los quejosos al IMSS, sin tener vínculo jurídico alguno, y la base salarial contempla los pagos hechos en efectivo por cuota diaria, gratificaciones, percepciones, primas, comisiones y cualquier otra cantidad o prestación que se entregue al empleado por sus servicios, lo cual está asociado al patrimonio de sus titulares (los denunciantes).
No quedó claro cómo las responsables se enteraron del SBC de los denunciantes; es decir, de qué manera conocieron la cuota diaria, las prestaciones en dinero y en especie de aquellos, para que se les “achacara” que realmente transfirieron información patrimonial de los quejosos.
Esto implica, que la autoridad debió constatar que efectivamente fue un error involuntario de las compañías, solicitándoles a estas cómo determinaron la base salarial de los sujetos que aseguraron, y posteriormente verificar con estos cuál es su salario real y prestaciones que tienen.
En ese sentido, si las respuestas coincidían, las empresas transfirieron un dato personal de un sujeto, sin causa alguna, pero si eran dispares, realmente se trató de un error humano y no se reportó un dato personal de carácter patrimonial, pues no fue acorde con la realidad.
Subcontratación especializada
Desde el 1o. de agosto de 2021 la prestación de servicios especializados o la ejecución de obras especializadas puede ser deducible en términos del artículo 27, fracción V de la LISR, siempre y cuando el contratante:
- verifique cuando se efectúe el pago de la contraprestación por el servicio recibido, que el contratista cuente con el registro ante la STPS
- obtenga del contratista copia de los CFDI por concepto de pago de salarios de los empleados con los que le hubiesen proporcionado el servicio o ejecutado la obra correspondiente
- cuente con el recibo de pago expedido por la institución bancaria por la declaración de entero de las retenciones realizadas a los subordinados
- tenga el pago de las cuotas obrero-patronales al IMSS, así como de las aportaciones de vivienda al Infonavit
También el beneficiario de los servicios es obligado solidario, en caso de que el contratista no cumpla con sus obligaciones laborales y de seguridad social (arts. 14, segundo párrafo, LFT, 15-A, segundo párrafo, LSS y 29 Bis, antepenúltimo párrafo, Ley del Infonavit).
En virtud de lo anterior, en los contratos de este tipo de subcontratación, es común que las partes acuerden que el patrón le transfiera la información relativa al SBC de los asegurados puestos a disposición al beneficiario.
Por lo tanto, conforme al criterio del INAI si los empresarios no contemplan en su aviso de privacidad que los datos inherentes a la base salarial de los colaboradores puestos a disposición se transmitirán a los contratantes, ni obtienen el consentimiento de los subalternos para tales efectos, corren el peligro de la imposición de distintas multas por violar la LFPDPPP.
Por otro lado, los patrones que en un juicio laboral hubiesen contestado la demanda negando la relación con el trabajador, aun cuando lo dieron de alta en el ROSS, corren el riesgo de ser multados por transferirle al Seguro Social el SBC de quien los demandó.
Conclusión
Por todo lo expuesto, es recomendable que los empleadores les señalen a su personal en su aviso de privacidad que los datos personales patrimoniales, como lo es el SBC, será comunicado a las instituciones de seguridad social o a sus clientes, ya sea para afiliarlos o para cumplir con otras obligaciones legales o contractuales, y estos expresen su consentimiento por escrito, para tales efectos.
Por otro lado, sin duda el criterio del INAI trae más obligaciones para las empresas, quienes deberán tener mayor cuidado al comunicar los reingresos de sus subordinados, para no errar en su NSS.
