Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPDSanidad

Protección de datos y prevención de riesgos laborales

La protección de datos y la prevención de riesgos laborales son dos obligaciones legales que deben cumplir las empresas, y que además están relacionadas entre sí. En este artículo analizamos la relación entre protección de datos y prevención de riesgos laborales, cómo cumplir la primera al llevar a cabo las obligaciones de la segunda.

Relación de la protección de datos y la prevención de riesgos laborales

Existe una clara relación entre la protección de datos y la prevención de riesgos laborales; ambas son obligaciones legales que el empresario debe cumplir para la salvaguarda de la privacidad de sus empleados y la protección de su salud y bienestar físico y psicológico.

Sin embargo, para cumplir con la Ley de Prevención de Riesgos Laborales (LPRL), especialmente en lo tocante a la vigilancia de la salud, el empleador necesita tratar datos de los trabajadores, incluidos, en parte, datos relativos a la salud (considerados como datos especialmente protegidos), ya que es necesario que el empleador sepa si los trabajadores están en condiciones o no para desempeñar las tareas de su puesto de trabajo o, en algunos casos en los que la normativa lo permite, saber si tienen alguna condición, dolencia o discapacidad que exija adoptar determinadas medidas en lo relativo a la salud, para que el trabajador pueda llevar a cabo sus obligaciones laborales.

La LPRL legitima al empresario y al personal sanitario para realizar el tratamiento de datos personales de los trabajadores, incluso, en el segundo caso, a acceder a su información médica, pero deben hacerlo respetando siempre el derecho a la intimidad y a la dignidad del trabajador y la confidencialidad de toda la información relacionada con su estado de salud. Es decir, respetando y cumpliendo con la LOPDGDD.

Cómo cumplir la protección de datos en la prevención de riesgos laborales y vigilancia de la salud

Para cumplir con la protección de datos al tiempo que se cumple con las obligaciones en materia de prevención de riesgos laborales y vigilancia de la salud, es necesario tener en cuenta diferentes aspectos que afectan a la protección de datos en las relaciones laborales, en concreto en lo relativo a la licitud del tratamiento, el acceso a los datos y la comunicación de datos entre otros.

Tener en cuenta los aspectos que desarrollaremos a continuación es fundamental si se quieren evitar sanciones de la LOPD, que al tratarse de datos de categorías especiales, podrían ser graves o muy graves y alcanzar multas de cuantías elevadas.

tarifas proteccion datos

Legitimidad para el tratamiento de datos

El tratamiento de datos personales en materia de prevención de riesgos laborales está legitimado en la ejecución de la relación contractual, así como en el cumplimiento de las obligaciones legales del empleador, establecidas tanto en Estatuto de los Trabajadores como en la LPRL.

Recordemos que el artículo 9.2.h) del RGPD admite la recogida y tratamiento de datos con fines de «medicina preventiva o laboral» y «evaluación de la capacidad laboral del trabajador».

Y si bien, hay casos en los que los reconocimientos médicos que deben realizar los empleados, son de carácter voluntario, el tratamiento de datos derivados de la vigilancia de salud nunca podrá estar basado en el consentimiento del empleado, porque existe una relación desigual entre este y el empleador, pero tampoco será necesario, ya que, cómo hemos dicho, existe no una, sino dos bases jurídicas para estos tratamientos de datos personales.

Cabe señalar, no obstante, que aunque el consentimiento no sea necesario, sí que debe informarse a los empleados del tratamiento de sus datos y la finalidad del mismo, en este caso la vigilancia de la salud y la prevención de riesgos laborales.

Así mismo, el empleador y el servicio de prevención (sea este propio o ajeno) deben cumplir con el principio de proporcionalidad, es decir, que solo deben recabar los datos estrictamente necesarios para la finalidad de prevención.

En ese sentido, el acceso a los datos personales que tienen unos y otros está limitado, lo que nos lleva a nuestro siguiente punto.

Acceso a los datos relativos a la salud de los trabajadores

Cuando hablamos de acceso a los datos relativos a la salud de los trabajadores necesarios para cumplir con las obligaciones en materia de protección de datos y de prevención de riesgos laborales, debemos diferenciar dos actores diferentes:

  • El empleador: La empresa solo podrá conocer si el trabajador es apto o no para desempeñar su puesto de trabajo, de manera que no está legitimada para conocer el informe médico del trabajador resultado del reconocimiento médico. Es decir, que el empleador solo puede acceder a las conclusiones en el sentido de «apto» o «no apto» o al desglose de las tareas que es posible realizar y las recomendaciones pertinentes sobre la adaptación o el cambio de puesto, pero nunca al informe diagnóstico completo. Por ejemplo, la empresa puede saber si se recomienda que un empleado use protectores auditivos, pero no qué problema de salud lo motiva en concreto.
  • Los delegados de prevención: Como el empleador, los delegados de prevención de la empresa podrán conocer solo las conclusiones finales de los reconocimientos médicos en cuanto a la aptitud o no del trabajador para desempeñar su puesto de trabajo y las recomendaciones en materia de prevención que puedan acompañarlas.

Cabe señalar que en caso de accidente laboral o enfermedad laboral, tanto el empleador como los delegados de prevención podrán acceder a los datos personales que figuren en informes y documentos resultantes de la investigación realizada, siempre que tengan su origen en un hecho relacionado con el entorno laboral y solo con la finalidad de control que les atribuye la LPRL y respetando el principio de minimización.

En este sentido, empleador y delegados de prevención deben respetar el deber de confidencialidad respecto a la información relativa a la salud contenida en dichos informes y documentación.

En el caso de que los reconocimientos médicos los realice un servicio de prevención externo, los médicos de la empresa, si los hubiera, no podrán tener acceso al diagnóstico médico, puesto que se trataría de una comunicación de datos sin consentimiento del trabajador. Si bien, sin perjuicio de la posible comunicación a los órganos jurisdiccionales o cuando concurra un riesgo para terceros en los términos previstos en la ley.

protección de datos y prevención de riesgos laborales

Historia clínica de los trabajadores

La historia clínica de los trabajadores se regirá tanto por la LOPDGDD como por la Ley de Autonomía del Paciente.

Así, el personal sanitario que lleve a cabo el servicio de vigilancia de la salud, tendrá acceso al historial clínico-laboral del trabajador, contemplando los mismos derechos y obligaciones regulados en la Ley de Autonomía del Paciente.

Los trabajadores también podrán ejercer sus derechos de acceso, rectificación y supresión en los términos que establecen ambas normativas, teniendo en cuenta las limitaciones establecidas para estos derechos, a saber, no tienen acceso a las anotaciones subjetivas del médico hechas en la historia ni a saber quién ha accedido a su historial clínica, ni se podrán suprimir aquellos datos que deban conservarse en virtud de la normativa sanitaria.

Empresa y servicio de prevención ¿Quién es el responsable del tratamiento?

La condición de responsable del tratamiento dependerá de la relación establecida entre la empresa y el servicio de prevención:

  • En el caso de un servicio de prevención propio, la empresa es la responsable del tratamiento. Esto implica que deben crearse diferentes perfiles y niveles de acceso a los datos de salud, para poder garantizar la licitud del tratamiento y la confidencialidad de los datos.
  • En el caso de un servicio de prevención ajeno, el responsable del tratamiento será el servicio de prevención, ya que será quien disponga todo lo relativo al tratamiento de los datos. En ese caso existe una separación total entre la empresa y el servicio de prevención, quien solo comunicará a la empresa si el trabajador es apto o no para desempeñar su puesto de trabajo.
  • En el caso de los servicios de prevención mancomunados, si estos no tienen personalidad jurídica diferente a la de la empresa, se considerarán un servicio de prevención propio, por lo que el responsable del tratamiento es la empresa. En cambio, si tiene personalidad jurídica diferenciada, se lo considerará un servicio de prevención ajeno, asumiendo su papel como responsable del tratamiento.

En cualquier caso, como responsables del tratamiento, empresa y servicio de prevención ajeno deben garantizar la confidencialidad de los datos, de manera que los sistemas de información para la gestión de servicios de prevención deben:

  • Implementar sistemas de registro o logs, para poder llevar un control de los accesos y verificar que estos solo se realizan por personal autorizado.
  • Definir de manera precisa los perfiles de acceso y las funciones y nivel de responsabilidad de los usuarios.

Cómo comunicar los datos al cambiar de servicio de prevención

En caso de que la empresa cambie de servicio de prevención ajeno (o pase de uno propio a uno ajeno), se deberán comunicar los datos clínicos-laborales al nuevo servicio contratado, respetando los principios de minimización y de limitación de la finalidad, de manera que:

  • Los datos de salud solo serán comunicados al nuevo servicio de prevención (no a la empresa ni a ninguna otra entidad).
  • La comunicación se producirá directamente entre los servicios de prevención involucrados, sin ningún tipo de intermediación de terceros, incluida la empresa.
  • Los datos no se utilizarán con una finalidad distinta a la prevención de riesgos laborales.
  • Los trabajadores serán informados del cambio del servicio de prevención y la comunicación de sus datos.
  • El servicio de prevención con el que se cesa el contratado no podrá suprimir los datos de manera inmediata, teniendo que conservarlos de acuerdo a la normativa laboral que resulte de aplicación.

El caso de uso de wearables

Salvo que esté establecido por ley o reglamentariamente, el uso de wearables y la monitorización de datos de salud a través de ellos por parte de la empresa está prohibida, así lo recoge la guía de la AEPD para la protección de datos en las relaciones laborales, en concreto da las siguientes razones:

  • No estaría dentro de la vigilancia de la salud propia de la prevención de riesgos laborales.
  • No hay base jurídica para el tratamiento de una categoría especial de datos como son los de salud.
  • Vulnera el principio de proporcionalidad, ya que supone una monitorización permanente, donde el empleador podría acceder a datos de salud específicos y no siempre relacionados con la aptitud del empleado para desempeñar su trabajo.
  • El consentimiento por parte de los trabajadores para llevar estos dispositivos no sería válido para la legitimación del tratamiento, por el desequilibrio de poder en la relación entre empleador y trabajador.

En definitiva, como empleador debes cumplir con la LPRL y cumplir la ley de protección de datos al hacerlo.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.