Prevención de riesgos laborales y los datos personales que entran en juego

Tips para gestionar adecuadamente los datos personales de los trabajadores que se generan como consecuencia de la Prevención de Riesgos Laborales.

La Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales, desarrolló las garantías y responsabilidades necesarias para cumplir con la obligación que tiene el empresario de implantar un plan de prevención de riesgos laborales que asegure una protección en la salud de los trabajadores.

Esta obligación puede ser satisfecha a través de la creación de un servicio médico propio de la empresa, o bien, pueden transferirse a un tercero, lo más habitual es que sea una Sociedad de Prevención de Riesgos Laborales o una  Mutua de Prevención de Riesgos Laborales la que se encargue de realizar estas actividades.

Como podemos imaginarnos, en la prevención de riesgos laborales se realizan reconocimientos médicos, donde se recogerán datos de salud de los empleados, enfermedades laborales o accidentes de trabajo. Es aquí, donde entra en juego la protección de los datos personales de los trabajadores, ya que se nos plantean diferentes cuestiones como por ejemplo:

¿Quién es el responsable de esos datos?, ¿quién puede acceder a esos datos?, ¿qué medidas de seguridad se deben aplicar? Etc…

En primer lugar hemos acudido a la Guía sobre la Protección de Datos en las Relaciones Laborales que indica que las Mutuas que gestionan la prevención de riesgos laborales, realizan su actividad con total independencia y autonomía con respecto al empresario, por lo que deben de tener la consideración de Responsables del tratamiento.

Las Sociedades de Prevención de Riesgo Laborales también tendrán consideración de Responsables del tratamiento ya que, aunque no actúen con la misma independencia con la que podría actuar una Mutua, lo cierto es que el artículo 22 de la Ley de Prevención de Riesgos Laborales establece que no podrá facilitarle al empresario otra información sobre los trabajadores que no sea “la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención..”

Como podemos observar tanto las Mutuas como las Sociedades de Prevención de Riesgos Laborales tienen un control total sobre los ficheros que se generan con los datos de los trabajadores y además  tienen ciertas limitaciones para comunicar estos datos al empresario.

La Guía continúa explicando que aquellos sistemas de información que se dediquen a la gestión de servicios de prevención de riesgos laborales deben de tener en cuenta:

El nivel de seguridad. Que será alto en todos aquellos casos en los que se incluyan datos de salud con identificación precisa de las enfermedades, traumatismos etc., o se gestionan historias de salud laboral.  (Art 5.1.g Real Decreto 172072007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 1571999 de Protección de Datos de Carácter Personal)”.

Por otra parte recordamos que cuando la empresa entregue datos sobre los trabajadores a la Mutua que va a gestionar la prevención de riesgos laborales se realizará lo que se conoce como comunicación de datos. Pero la particularidad es que, no será necesario obtener el consentimiento de los trabajadores pues entra dentro de la excepción de la obligación legal que tiene el empresario de asegurar este servicio a los trabajadores.

El informe 0299/2009 apoya esta idea explicando que los “preceptos legales deriva la obligación legal, de comunicar por parte de los empresarios los datos de sus trabajadores a las indicadas Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, cuando se haya optado por estas como medio de protección de tales contingencias”.

Por último en caso de que sea el empresario el que gestione la prevención de riesgos laborales  a través de un servicio médico integrado en la propia empresa, tendrá lógicamente la consideración de Responsable del Tratamiento, pero esto no significa que pueda tener acceso a los datos de los trabajadores sin su consentimiento expreso. El empresario solo podrá acceder a los datos sobre las condiciones de aptitud o no aptitud del trabajador, ya que a estos datos solo podrá acceder el personal competente y que gestione dicho servicio, es decir el personal médico y las autoridades sanitarias.

Puntos importantes:

  • Tanto las Mutuas, como las Sociedades de Prevención de Riesgos Laborales tendrán la consideración de Responsables de Tratamiento, con las obligaciones que ello conlleva.
  • Se deberán aplicar medidas de seguridad de nivel alto por la naturaleza de los datos que se tratan.
  • No será necesario recabar el consentimiento de los trabajadores para comunicar sus datos a las Mutuas o las Sociedades de Prevención por la excepción de la obligación legal.
  • El empresario solo podrá tener acceso a los datos sobre las condiciones de aptitud o no aptitud del trabajador para el puesto de trabajo, incluso cuando este servicio lo gestione un departamento interno de la propia empresa.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Eduardo Martínez

Eduardo Martínez

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios