Última revisión
prevencion
2260 - ¿Tiene el empresario la obligación de proteger los datos personales de las personas trabajadoras?
Relacionados:
Vademecum: prevencion
Fecha última revisión: 09/07/2024
Según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales, el empresario debe proteger los datos personales de las trabajadoras. La responsabilidad recae sobre el servicio de prevención ajeno, en caso de externalización del servicio, o sobre la propia empresa en caso de asumir la misma el propio empresario. Previo consentimiento de la trabajadora, esta información médica de carácter personal será accesible al personal médico y a las autoridades sanitarias. El incumplimiento del deber de confidencialidad es considerado una infracción administrativa muy grave.
Existen una serie de datos de carácter personal susceptibles de contener registros como son los relativos al nombre, a la dirección, al número de teléfono, a los datos sanitarios, a los ingresos, a la información bancaria, etc., que los técnicos de prevención, propios o ajenos han de utilizar dentro de la documentación necesaria para la realización de un plan de PRL como serían:
- Expedientes médicos e historia clínica de las personas trabajadoras (en caso de asumir la especialidad de medicina en el trabajo por la propia empresa).
- Resultado de los reconocimientos médicos (aptos o no aptos).
- Títulos de formación.
- Investigación de accidentes.
- Evaluaciones de riesgos.
- Personas trabajadoras sensibles o embarazadas.
- Registros de la entrega de los EPI.
- Documentación de coordinación de la actividad empresarial de diferentes empresas.
- Documentación de PRL de las ETT (contrato de puesta a disposición, certificados de aptitud, de formación, etcétera).
Esta documentación va aparejada a necesidades como:
- Uso, manipulación y almacenamiento de datos de carácter personal [salario de los trabajadores, ausencias por IT (enfermedades y accidentes), contratos de trabajo, documentos de cotización, etcétera].
- Envíos de los resultados médicos a la empresa.
- Cesión de datos en la coordinación de actividades empresariales o a terceros.
- Utilización de plataformas digitales o correos electrónicos para la comunicación de datos.
- Utilización de ordenadores fuera de las instalaciones de la empresa.
- Archivos informatizados con información confidencial.
- Copias de seguridad.
- Registro y archivo de datos obtenidos de las evaluaciones, controles, reconocimientos, investigaciones o informes a que se refieren los arts. 22 y 23 de la LPRL.
De acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) se consideran «datos personales»: toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
En relación con el cumplimiento del RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), para la PRL, la responsabilidad recae sobre el servicio de prevención ajeno, en caso de externalización del servicio o, sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/as, o mediante un servicio de prevención propio.
Art. 22.4 de la LPRL
«4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva».
- Analizar los datos utilizados.
- Aplicar las medidas de seguridad o de salvaguarda de la información. El RGPD y la LOPDGDD han instaurado un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
- Realizar un análisis de riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención. Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca: la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y el control para garantizar los derechos y libertades de las personas. La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
- Realizar una evaluación de impacto. A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el mencionado reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
- Solicitar el consentimiento para el tratamiento de datos en el que la persona trabajadora debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales. El «consentimiento del interesado» es definido por el RGPD en su artículo 4.11 como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».
- La empresa de PRL debe informar a las personas trabajadoras sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, suspensión, oposición, limitación o portabilidad.
- Establecer un procedimiento en caso de «quiebra de seguridad». La violación de la seguridad de los datos personales (más comúnmente conocida como «quiebra de seguridad») es definida en el art. 4.12 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
- Designar un delegado de protección de datos. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.
En este sentido, se consideran infracciones administrativas muy graves el incumplimiento del deber de confidencialidad sobre los datos de la salud.
Continuando con el citado art. 22.1 de la LPRL, su párrafo segundo hace referencia a la protección del derecho a la intimidad del trabajador en los siguientes términos «esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento».
La norma que protege la intimidad de los empleados, al mismo tiempo, impone sacrificios a la misma cuando la negativa a someterse a los reconocimientos médicos puede colisionar con otros derechos básicos y fundamentales o con otros bienes jurídicamente protegidos, esto es, cuando debe primar el derecho a unas condiciones de salud y seguridad en el medio laboral que permitan garantizar un trabajo sin riesgos y cuando, para ello, se revele el reconocimiento médico como imprescindible.
Tal como ha afirmado la sentencia del Tribunal Constitucional n.º 70/2009, de 23 de marzo, ECLI:ES:TC:2009:70:
«(...) en el art. 18.1 CE, se comprende, sin duda, la información relativa a la salud física o psíquica de una persona, en la medida en que esos datos constituyen un elemento importante de su vida privada. (...)
La información relativa a la salud física o psíquica de una persona, en suma, es no sólo una información íntima (SSTC 202/1994, de 4 de julio, FJ 2; y 62/2008, de 26 de mayo, FJ 2), sino además especialmente sensible desde este punto de vista y por tanto digna de especial protección desde la garantía del derecho a la intimidad (art. 6 del Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, así como el art. 8 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos)».
CUESTIÓN
1. ¿La empresa está legitimada para el tratamiento de datos sobre la salud de las personas trabajadoras?
Sí. El tratamiento de datos personales en materia de prevención de riesgos laborales está legitimado en la ejecución de la relación contractual y en el cumplimiento de las obligaciones legales del empleador, establecidas tanto en el Estatuto de los Trabajadores como en la Ley de Prevención de Riesgos Laborales (LPRL).
2. ¿Dónde ser regulan las actividades del área sanitaria de los servicios de prevención en función de los riesgos laborales en el marco de las actividades de prevención?
Se regulan en los arts. 22 y 31 de la LPRL y arts. 4, 5, 6, 9, 37, 38 y 39 del RSP.
3. Una mutua, ¿qué información sobre la salud de un trabajador derivada del examen médico pone en conocimiento de la empresa? ¿y los delegados/as de prevención?
La comunicación de datos entre el servicio de prevención y la empresa debe respetar el principio de proporcionalidad y minimización. Los pormenores de los estudios y pruebas realizadas las recibirá únicamente la persona trabajadora. La empresa solo recibirá un documento en el que se informa si el trabajador es o no apto para el puesto de trabajo. Los reconocimientos médicos están bajo el amparo de la confidencialidad de la LOPDGDD (STS, rec. 4946/2007, 20/10/2009, ECLI:ES:TS:2009:6351). Los delegados de prevención también tienen acceso limitado a estos datos.
DOCUMENTOS DE INTERÉS
- Guía básica y general de orientación de las actividades de vigilancia de la salud para la prevención de riesgos laborales. Ministerio de Sanidad. Año 2019.
- Convenio n.º 161 sobre Servicios de Salud laboral, y n.º 171 sobre recomendaciones, de la Organización Internacional del Trabajo (OIT).
- Exámenes médicos precedentes al empleo y/o seguros privados: Una propuesta para las guías Europeas, Consejo de Europa. Abril 2000.