Cada quincena procesas la nómina y sin darte cuenta acumulas una cantidad enorme de información sensible de tus empleados: su RFC, su CURP, el número de cuenta bancaria, cuánto ganan, qué descuentos tienen, si tienen un embargo o una pensión alimenticia. Esos datos no son tuyos. Son de ellos. Y la ley te obliga a cuidarlos como si fueran de alguien que te los prestó con toda la confianza del mundo.

Por qué la nómina es un expediente de datos personales sensibles

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) aplica a cualquier empresa o persona física con actividad empresarial que recopile datos de individuos. Como patrón, eres el responsable del tratamiento de los datos personales de todos tus colaboradores.

El archivo de nómina típico contiene, al menos:

  • RFC y CURP — datos de identidad fiscal y civil
  • Número de seguridad social (NSS) ante el IMSS
  • Cuenta bancaria para dispersión de pago
  • Historial salarial y tabuladores
  • Deducciones especiales: pensiones, embargos, créditos Infonavit o Fonacot
  • Datos de salud cuando hay incapacidades médicas o seguros de gastos médicos

Los datos de salud son considerados datos sensibles bajo la LFPDPPP, lo que implica obligaciones adicionales y un nivel de protección más estricto. No se pueden usar para nada distinto a la finalidad para la que fueron recopilados, y el empleado debe haber dado su consentimiento expreso.

Cuánto tiempo debes conservar los expedientes de nómina

Aquí es donde muchos patrones se confunden porque hay varios ordenamientos que dictan plazos distintos y todos aplican al mismo tiempo.

La Ley Federal del Trabajo establece que debes conservar los recibos de nómina firmados al menos un año, pero la práctica recomendada —y lo que te cubre ante una demanda laboral— es guardarlos cinco años, que es el plazo de prescripción de las acciones laborales más comunes.

El Código Fiscal de la Federación te obliga a conservar la contabilidad, incluidos los comprobantes de nómina timbrados (CFDI), durante cinco años contados a partir de la fecha en que se presentó o debió presentarse la declaración anual correspondiente. Si hay pérdidas fiscales pendientes de amortizar, ese plazo se extiende hasta que las amortices por completo.

El IMSS e Infonavit pueden revisar hasta cinco años hacia atrás en una visita de inspección ordinaria, y hasta diez años si detectan irregularidades. Por eso, conservar los movimientos afiliatorios y los comprobantes de pago de cuotas al menos ese tiempo es lo prudente.

En resumen: cinco años como mínimo operativo, con copias de seguridad que sobrevivan posibles auditorías extendidas de hasta diez años.

Cómo proteger esos datos: obligaciones concretas del patrón

La LFPDPPP no te pide que construyas un búnker digital, pero sí te exige medidas razonables y documentadas. Estas son las principales:

  • Aviso de privacidad: debes entregarlo a cada empleado desde el momento de la contratación. Debe explicar qué datos recopilas, para qué los usas, con quién los compartes (por ejemplo, el banco o el IMSS) y cómo puede el trabajador ejercer sus derechos.
  • Acceso restringido: solo las personas que necesitan trabajar con la nómina deben poder verla. Nada de tener el archivo de Excel de sueldos en una carpeta compartida con toda la empresa.
  • Cifrado o contraseña en los archivos digitales que contienen datos de empleados, especialmente si se transmiten por correo electrónico o se guardan en la nube.
  • Contratos de confidencialidad con tu despacho contable externo, tu proveedor de software de nómina y cualquier tercero que procese esa información a tu nombre. Bajo la ley, ellos son encargados del tratamiento y tú sigues siendo el responsable.
  • Protocolo para bajas: cuando un empleado sale de la empresa, sus datos no desaparecen de inmediato, pero sí debes dejar de usarlos para fines que ya no aplican. Define cuándo y cómo eliminas o archivas cada tipo de dato.
  • Plan de respuesta ante brechas: si te hackean o pierdes información, la ley te obliga a notificarlo al Instituto Nacional de Transparencia (INAI) y a los titulares afectados sin demora.

Los derechos ARCO de tus empleados y cómo atenderlos

Tus colaboradores tienen derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales. Estos son los llamados derechos ARCO y como patrón debes tener un mecanismo para responderlos.

En la práctica esto significa que si un empleado te pide ver qué datos tienes de él, tienes 20 días hábiles para responder. Si pide corregir un error en su RFC o en su número de cuenta, debes atenderlo. Si se va de la empresa y pide que borres cierta información una vez cumplidos los plazos legales de conservación, también debes tener un proceso para hacerlo.

No es burocracia vacía: el INAI ha impuesto multas a empresas medianas por no contar con un aviso de privacidad adecuado o por no atender solicitudes ARCO. Las sanciones van desde los 100 hasta los 320,000 días de salario mínimo, dependiendo de la gravedad.

La buena noticia es que ordenar todo esto no requiere contratar un abogado de tiempo completo. Requiere tener procesos claros, documentados y revisados periódicamente.

En CIFRA ayudamos a los patrones a poner en orden su manejo de datos de nómina: desde el aviso de privacidad hasta los protocolos de conservación y eliminación de expedientes, todo alineado con la LFPDPPP y los plazos del SAT, IMSS e Infonavit. Si quieres revisar si tu empresa está cumpliendo con estas obligaciones, platica con nosotros y lo vemos juntos.

Protección de Datos
Compartir: