PROTECCIÓN DE DATOS

La gestión de datos personales en la PRL y la aplicación de la LOPD

Tribuna
Pedro-Quintana_EDEIMA20160301_0005_1.jpg

La Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) en su articulado señala cuales son las obligaciones del empresario para garantizar la seguridad y salud de los trabajadores a su cargo, y dentro de estas obligaciones esta la documentación que debe elaborar y conservar el empresario. Una relación de la documentación obligatoria que cualquier empresa debe disponer en materia de PRL es la siguiente:

  • Plan de prevención de riesgos laborales.
  • Informes de evaluación de los riesgos para la seguridad y la salud en el trabajo.
  • Registros de los controles periódicos de las condiciones de trabajo y de la actividad de los trabajadores.
  • Registros de la planificación de la actividad preventiva.
  • Registros de la práctica de los controles del estado de salud de los trabajadores y de las conclusiones obtenidas de los mismos (Vigilancia de la Salud).
  • Registros con la relación de daños a la salud ocasionados a los trabajadores (accidentes de trabajo y enfermedades profesionales), y la investigación de sus causas.
  • Registros de la Información y formación proporcionada sobre PRL a los trabajadores.
  • Registros de las actividades de coordinación de actividades empresariales. 

Esta documentación contiene a menudo datos de carácter personal, como son:

  • La identificación de los puesto de trabajos existentes o de las actividades realizadas en el mismo y de los trabajadores que los ocupan o las realizan.
  • Antigüedad en el puesto de trabajo.
  • La formación en PRL impartida a los trabajadores con identificación de los mismos.
  • Datos personales relativos al estado de salud del trabajador de carácter muy sensible. 

La estructura organizativa de la empresa encargada de la PRL es la encargada de recabar los datos y de elaborar la documentación arriba indicada. Dicha estructura está formadas por muy diversas modalidades organizativas. La propia LPRL recoge en su articulado las siguientes modalidades preventivas:

  • La asunción personal por el empresario.
  • Los trabajadores designados por el empresario para desarrollar la actividad preventiva.
  • Los Servicios de Prevención Propios y Mancomunados.
  • Los Servicios de Prevención Ajenos. 

Estas diferentes modalidades de organización preventivas en la empresa pueden ser de un solo tipo o pueden convivir más de un tipo al mismo tiempo, y dependerá que sea una, otra o más de una a la vez tanto de la actividad de la empresa, de su tamaño, y de los requisitos que debe cumplir de acuerdo con lo indicado en la LPRL. A su vez, de esta organización preventiva forman parte diversos perfiles de los profesionales, como son el personal administrativo, los directivos, los técnicos de PRL, el personal sanitario, etc... 

La condición de responsable del fichero o del tratamiento varía según la modalidad organizativa adoptada. Así, un empresario que recurra a las modalidades de asunción personal por el empresario, trabajadores designados o servicio de prevención propio, será la propia empresa la responsable del fichero que se genere para la gestión de la prevención. 

Los servicios de prevención ajenos, en cambio, tienen la consideración de responsables del tratamiento de los datos obtenidos, pero solo al objeto de la prestación de sus servicios profesionales a las empresas que han recurrido a sus servicios, no pudiendo ceder estos datos a terceros salvo con la autorización de estas o bajo ciertos supuestos legales de cesión no consentida. 

Con carácter general respecto a los datos personales necesarios para la gestión de la PRL, la LOPD señala con respecto a los datos de carácter personal que han sido facilitados por los trabajadores con este fin a la empresa o a los servicios de prevención ajenos, su cesión o comunicación a un tercero solo podrá hacerse para el cumplimiento de fines directamente relacionados con las funciones legítimas del que la cede y del que la recibe con el previo consentimiento del interesado en dichos datos personales. Este consentimiento no será necesario en los supuestos contemplados de la posible cesión no consentida de los datos cuando una norma con rango de Ley así lo disponga, como son los datos necesarios para elaborar la documentación que expresamente están recogidos en la LPRL y que anteriormente hemos citado. 

En el caso particular de los datos relativos al estado de salud del trabajador, tienen un régimen jurídico de protección alta en la LOPD y por ello solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga la LPRL o el afectado consienta expresamente y únicamente para su uso pleno por personal sanitario expresamente autorizado. 

A destacar que el hecho de que la cesión de los datos personales cuando es el empresario responsable de los mismos, aún en los casos que legalmente no requieran necesariamente el consentimiento de los trabajadores, no le exime de la obligación de informar al trabajador de los destinatarios de las cesiones de sus datos, así como del tratamiento realizado por el receptor de los mismos según indica la LOPD. 

Si el tratamiento de estos datos personales no se hace de forma correcta de acuerdo a la LOPD el empresario puede recibir las siguientes sanciones:

  • Infracción leve ( 601,01 € y 60.101,21 €): el recopilar datos personales sin informar previamente.
  • Infracciones graves (60.101,21 € y 300.506,25 €): no tener el consentimiento del interesado para recabar sus datos personales y tratar datos especialmente protegidos sin la autorización del afectado.
  • Infracción muy grave (300.506,25 € y 601.012,1 €): la comunicación o cesión de datos cuando esta no esté permitida. 

Los destinatarios de la cesión consentida de los datos personales contenidos en la documentación necesaria para la gestión de la PRL pueden ser:

  • Personal de las administraciones y autoridades públicas con atribuciones en PRL, que necesitan acceso a la misma cuando lo requiera para comprobar el cumplimiento de las obligaciones legales en PRL.
  • Las autoridades sanitarias respecto a la documentación relativa a la vigilancia de la salud.
  • Los representantes de los trabajadores con atribuciones en PRL.
  • Personal de los servicios de prevención (externos o internos) e integrantes de la empresa con responsabilidades preventivas en razón de su trabajo o de sus atribuciones en PRL.
  • Las mutuas de accidentes de trabajo y enfermedad profesional (MATEPS).
  • Miembros de las organizaciones preventivas de otras empresas como consecuencia de la concurrencia de trabajadores y actividades realizadas en un mismo lugar de trabajo y la necesidad de cumplir con las obligaciones legales de comunicación en coordinación de actividades empresariales. 

Todos ellos en razón de su cargo y responsabilidad atribuida en materia de PRL necesitan acceder y consultar la documentación de PRL mencionada al principio de este artículo, y por tanto acceder a los datos personales contenidos en la misma. 

Respecto a los datos relativos al estado de salud de los trabajadores, esta habilitación legal plena de acceso a los mismos está restringida a las autoridades sanitarias y personal sanitario de los servicios médicos de empresa, de los servicios de prevención y de las MATEPS, y solo en razón de su trabajo o responsabilidad atribuida. 

El empresario, los miembros de la empresa con responsabilidades en materia de prevención, los técnicos no sanitarios de servicios de prevención y los representantes de los trabajadores con atribuciones en PRL solo serán informados de las conclusiones que se deriven de los reconocimientos médicos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva. Pero como hemos dicho, en cualquier caso siempre existe la obligación de informar al trabajador afectado de que sus datos son cedidos a un tercero. 

A su vez, todos estos destinatarios de la documentación necesaria para la gestión de la PRL que contienen datos personales, están sometidos a la obligación del sigilo profesional acerca de los mismos. Solo los pueden utilizar para los fines previstos y autorizados legalmente en función de sus diferentes responsabilidades y atribuciones en PRL, no pudiendo divulgarlos ni difundirlos con otros fines distintos sin autorización expresa de los interesados.  

Un caso especial en la cesión de datos relacionados con la gestión de la PRL lo tenemos en la obligación legal de coordinación de actividades empresariales. En este caso y como indica la LPRL, todos los empresarios concurrentes con trabajadores presentes en un mismo centro de trabajo deben intercambiar entre si la información necesaria para evitar que los riesgos que generan las actividades de cada una de las empresas no afecten a los trabajadores de las otras. 

De entre las empresas concurrentes es especialmente el llamado empresario o contratista principal quien debe gestionar una gran cantidad de registros ajenos a su organización que contienen datos personales, por su deber de vigilancia como contratista del cumplimiento por sus subcontratistas de las obligaciones sujetas a responsabilidad civil subsidiaria. Y es por ello quien debe ser especialmente escrupuloso en dicha gestión en cumplimiento de la LOPD. 

Estas cesiones de datos en este caso están amparadas tanto por el Estatuto de los Trabajadores como la LPRL. Esto es así al tratarse tanto de registros documentales relativos al cumplimiento de los subcontratistas con respecto a sus trabajadores respecto a sus deberes en PRL (evaluación de riesgos, medidas preventivas aplicadas, formación e información en PRL y vigilancia de la salud de los trabajadores) como de otros registros que no tienen que ver con la LPRL pero si con otras obligaciones sociales y tributarias de los subcontratistas con respecto a sus trabajadores. Obligaciones, como hemos dicho, sujetas todas ellas a responsabilidad civil subsidiaria por parte del contratista principal. 

En cualquier caso, los datos cedidos por los empresarios concurrentes serán los estrictamente necesarios para comprobar el cumplimiento de las obligaciones antes citadas, evitando la difusión de datos tan personales como los datos sobre su estado de salud (salvo el apto o no apto al puesto de trabajo) o datos relativos al nivel y volumen de ingresos percibidos por los trabajadores que no son necesarios para verificar el cumplimiento de las obligaciones derivadas antes mencionadas. 

Para quien quiera profundizar más en este tema relativo al cumplimiento de la LOPD en la gestión de la PRL, lo puede hacer consultando la Guía sobre la protección de datos en las relaciones laborales editada y publicada en su web por la Agencia de Protección de Datos.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación