fbpx

Social

La incidencia de la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales en el tratamiento de los datos relativos a la salud de los trabajadores

Tribuna

I. El tratamiento de los datos relativos a la salud de los trabajadores

El empresario tiene la obligación de garantizar la seguridad y salud de sus trabajadores (art. 4.2, d) y 19.1 del RDL 2/2015, por el que se aprueba el Estatuto de los Trabajadores [ET] -EDL 2015/182832-). Este deber general se concreta en un haz de medidas preventivas y de protección, recogidas en la L 31/1995, de Prevención de Riesgos Laborales (LPRL) -EDL 1995/16211-, que el empresario debe adoptar teniendo en cuenta los principios de acción preventiva enumerados en el art.15 de dicha norma.

La adopción de algunas medidas preventivas como la vigilancia de la salud (art.22 LPRL -EDL 1995/16211-), la evaluación de los riesgos presentes en los centros de trabajo, en especial en aquellos puestos de trabajo ocupados por mujeres embarazadas y por trabajadores especialmente sensibles (art.4, 5 y 6 del RD 39/1997, Reglamento de los Servicios de Prevención [RSP] -EDL 1997/22016-), o el cumplimiento de otras obligaciones preventivas como la investigación de los accidentes de trabajo (art.16.3 LPRL) y su comunicación a las autoridades competentes (art.23.3 LPRL), conllevan el registro y la comunicación de datos relativos a la salud de las personas trabajadoras.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) -EDL 2016/48900-, cataloga los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» como una «categoría especial de datos personales» (art.4.15 RGPD).

El RGPD prohíbe el tratamiento de este tipo de datos personales salvo cuando el mismo sea necesario, bien para «fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social» (art.9.2,h) RGPD -EDL 2016/48900-), bien para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado» (art.9.2,b) RGPD).

De este modo, los datos relativos a la salud de los trabajadores pueden recopilarse, almacenarse y consultarse, siempre que su tratamiento esté amparado en una norma con rango de ley y «sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes» (art.9.3 RGPD -EDL 2016/48900-), pudiendo la norma que lo autorice -pero también la negociación colectiva- establecer garantías adicionales relativas a la seguridad y confidencialidad de esta categoría de datos personales (art.9.1 y 4 RGPD).

En materia de seguridad y salud laboral, la norma que autoriza el tratamiento de datos relativos a la salud de los trabajadores es la citada LPRL -EDL 1995/16211-. Así lo reconoce la disposición adicional decimoséptima de la LO 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) -EDL 2018/128249- al manifestar que se encuentran amparados en la letra h) del art.9.2 del RGPD -EDL 2016/48900 los tratamientos de datos relacionados con la salud que estén regulados en la LPRL y sus disposiciones de desarrollo. No encontramos, sin embargo, en estas normas requisitos adicionales a los previstos en el RGPD ni en la LOPDGDD, como tampoco existen, hasta le fecha, garantías adicionales en los convenios colectivos.

Lo que sí encontramos en la LPRL -EDL 1995/16211-, en relación con el tratamiento de los datos de salud derivados de la vigilancia de la salud, es una regulación concreta. Así, toda la información derivada los exámenes de salud quedará recogida en una historia clínico-laboral, que se abrirá con motivo de este primer examen de salud y a la que se irán añadiendo las informaciones y resultados de los exámenes periódicos, en la que además de los datos de anamnesis, exploración clínica y control biológico y estudios complementarios en función de los riesgos inherentes al trabajo, se hará constar una descripción detallada del puesto de trabajo, el tiempo de permanencia en el mismo, los riesgos detectados en el análisis de las condiciones de trabajo, y las medidas de prevención adoptadas. Deberá constar igualmente, en caso de disponerse de ello, una descripción de los anteriores puestos de trabajo, riesgos presentes en los mismos y tiempo de permanencia para cada uno de ellos (art.37.3.c) del RSP -EDL 1997/22016-).

También respecto a la colaboración de los servicios de prevención con las Autoridades Sanitarias, cuyo tratamiento de datos personales relativos a la salud de los trabajadores, se debe efectuar, conforme a la LOPDGDD -EDL 2018/128249- (art.39 RSP -EDL 1997/22016-).

II. Las obligaciones de los sujetos responsables del tratamiento de los datos relativos a la salud de los trabajadores

El RGPD define al responsable del tratamiento de los datos personales como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento» (art.4.7 RGPD -EDL 2016/48900-). Cuando sean dos o más sujetos los corresponsables, deberán determinar de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el RGPD (art.26). La determinación de las responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento (art.29 LOPDGDD -EDL 2018/128249-). Por contra, encargado del tratamiento es «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento» (art.4.8 RGPD).

En relación con el tratamiento de los datos relativos a la salud de sus trabajadores, los sujetos responsables y encargados del tratamiento son distintos en función de la medida preventiva o de protección de la que se deriven dichos datos. En primer término, ha de recordarse que materia de seguridad y salud laboral el sujeto obligado al cumplimiento de las obligaciones contenidas en la LPRL -EDL 1995/16211-, en las normas que la desarrollan (v.gr. el RSP -EDL 1997/22016-) o en los convenios colectivos, de las que se puede derivar la necesidad de tratamiento de datos relativos a la salud de los trabajadores, es el empleador. Sin embargo, la persona encargada de hacerlas efectivas es el técnico en prevención de riesgos laborales, que puede ser el propio empresario, un trabajador designado por éste, un miembro del servicio de prevención propio integrado en la estructura organizativa de la propia empresa u otra persona que trabaje para un servicio de prevención ajeno, contratado por el empresario para cumplir con sus obligaciones preventivas (art.12 RSP). Será, por tanto, el trabajador designado, el servicio de prevención propio o el ajeno, quién asumirá el rol de responsable del tratamiento de los datos relativos a la salud de los trabajadores. En los supuestos en los que una empresa opte por organizar la actividad preventiva con un modelo mixto, los responsables del tratamiento de los datos personales serán más de uno, en función de la medida preventiva que ejecuten cada uno. Así sucederá, por ejemplo, cuando sea el empresario quien asuma la evaluación de riesgos, la investigación de accidentes y su comunicación, pero la vigilancia de la salud de los trabajadores, por imposición normativa (art.11.2 RSP), tendrá que asumirla otra persona (médico del trabajo) de la propia empresa o ajena a la misma.

En cambio, cuando se trate de los datos de salud derivados de las pruebas médicas para verificar el estado de salud del trabajador, realizadas con ocasión de sus faltas de asistencia al trabajo (art.20.4 ET -EDL 2015/182832-), el responsable del tratamiento será el servicio o centro médico encargado de llevar a cabo dicho control médico.

De la regulación contenida en el RGPD -EDL 2016/48900- y en la LOPDGDD -EDL 2018/128249- se desprende que no se requiere el consentimiento del trabajador para recabar, registrar o comunicar los datos relativos a su salud física o psíquica, cuando tales acciones se lleven a cabo, ora en cumplimiento de las obligaciones preventivas que las normas sobre esta materia imponen al empresario, ora como consecuencia de las pruebas médicas que se practiquen para verificar el estado de salud del trabajador con ocasión de sus faltas de asistencia al trabajo.

Por contra, sí debe cumplirse con un deber de información (principio de transparencia) previo al tratamiento de los datos personales. De este modo, el trabajador debe ser informado de la finalidad para la que van a ser recabados los datos relativos a su salud y de su destino (art.13 y 14 RGPD -EDL 2016/48900-). Asimismo, será informado sobre el sujeto responsable del tratamiento de dichos datos, de las personas que pueden tener acceso a los mismos, del plazo de conservación de los mismos y de la forma de ejercer sus derechos de acceso, rectificación y cancelación.

Además, el responsable, en cada caso, del tratamiento de los datos relativos a la salud de los trabajadores, viene obligado a cumplir con las siguientes obligaciones (art.5.1 RGPD -EDL 2016/48900-):

  • Recogerlos con un fin determinado (no genérico), explícito y legítimo (v.gr. la evaluación de riesgos, la vigilancia de la salud o la investigación de accidentes de trabajo). No podrá tratarlos para finalidades incompatibles con el fin para el que hayan sido recogidos inicialmente (principio de limitación de la finalidad; art.4.2 LOPD -EDL 1999/63731-). A estos efectos, el tratamiento de datos relativos a la salud de las personas trabajadoras con fines de archivos en interés público, fines de investigación científica e histórica o fines estadísticos, como es el tratamiento que compete realizar al Instituto Nacional de Seguridad y Salud en el Trabajo (art.8 LPRL -EDL 1995/16211-), a los órganos equivalentes en las CC.AA. o a la Administraciones Públicas Sanitarias (art.10 LPRL), no se considera incompatible con el fin para el que han sido recogidos.
  • Los datos relativos a la salud de los trabajadores deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que sean tratados (principio de necesidad o minimización)
  • Los datos personales deben ser exactos y estar actualizados, suprimiéndose o rectificándose aquellos que sean inexactos con respecto a los fines para los que se tratan (principio de exactitud)
  • Tratarlos de manera lícita, leal y transparente (principios de licitud, lealtad y transparencia). La licitud del tratamiento de los datos relativos a la salud de las personas trabajadoras encuentra su justificación en varias de las condiciones fijadas por el art.6.1 RGPD -EDL 2016/48900-: ejecución del contrato de trabajo; cumplimiento de la obligación empresarial de garantizar la seguridad y salud de los trabajadores o la protección de intereses vitales de los trabajadores o de terceras personas.
  • En su tratamiento se adoptarán todas aquellas medidas de seguridad que impidan su tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental (principio de integridad). Así, el responsable o encargado del tratamiento de los datos relativos a la salud de los trabajadores deberán elaborar un análisis del riesgo para detectar «quiebras de seguridad» (art.35 RGPD -EDL 2016/48900-), adoptar medidas de seguridad como el cifrado de datos, el registro de acceso, elaboración de un listado de personas autorizadas y una evaluación de impacto, cuando se realice tratamiento de datos a gran escala (art.32 a 34 RGPD). Asimismo, deberán designar un delegado de protección de datos cuando concurra alguna de las circunstancias enumeradas en el art.37.1 RGPD y, en todo caso, cuando se trate de centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (art.34.1,l) LOPDGDD -EDL 2018/128249-).

III. Los derechos de los trabajadores en relación con el tratamiento de los datos relativos a su salud

En relación con el tratamiento de los datos relativos a la salud, el trabajador es titular de los siguientes derechos:

1. Confidencialidad de los datos (art.5.1,f) RGPD -EDL 2016/48900-).Los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad, deber que es complementario al deber de secreto profesional que contempla el art.22 LPRL -EDL 1995/16211- en relación con los datos de salud derivados de la vigilancia de la salud. De este modo, el acceso a la información médica de carácter personal derivada de la vigilancia de la salud queda restringida al propio trabajador, al personal médico y a las autoridades sanitarias (art.22.3 LPRL). Por tales hay que entender aquellas que tengan competencia en materia de prevención de riesgos laborales y, en determinados supuestos, las competentes en materia de salud pública, cuando se trate de enfermedades de declaración obligatoria o cuando la información derivada del reconocimiento médico tenga trascendencia en el ámbito de sus competencias.

Por otro lado, los delegados de prevención, para el ejercicio de las funciones que le son propias, tienen derecho a acceder a la información y documentación relativa a las condiciones de trabajo, a la evaluación de los riesgos para la seguridad y la salud en el trabajo, y a los resultados de los controles del estado de salud de los trabajadores, si bien sólo serán informados (también los técnicos en prevención de riesgos laborales) de las conclusiones que se deriven de los reconocimientos médicos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.

Por lo demás, está prohibido el suministro de tales datos a otros sujetos -como el empresario- sin consentimiento expreso del trabajador (art.22.4 LPRL -EDL 1995/16211-).

2. Derecho de oposición (art.21 RGPD -EDL 2016/48900-). El responsable del tratamiento de los datos relativos a la salud del trabajador deberá informar a éste sobre el derecho que le asiste a oponerse al tratamiento de los mismos, por motivos relacionados con su situación particular, incluido el que se realice con fines de investigación científica o histórica o fines estadísticos, salvo cuando el tratamiento sea legítimo por realizarse en alguno de los supuestos previstos en el art.6 RGPD o que el responsable del tratamiento acredite otros motivos legítimos para el tratamiento que prevalezcan sobre los derechos del interesado, que sea necesario para el cumplimiento de una misión realizada por razones de interés público o para la formulación, el ejercicio o la defensa de reclamaciones.

3. Derecho de rectificación (art.16 RGPD -EDL 2016/48900-). El trabajador tendrá derecho a obtener del responsable del tratamiento la rectificación, sin dilación indebida, de aquellos datos relativos a su salud que sean inexactos. Además, tiene derecho a que se completen los que sean incompletos mediante una declaración adicional. A estos efectos, deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

4. Derecho de supresión (derecho al olvido) (art.17 RGPD -EDL 2016/48900-). El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos relativos a su salud, cuando concurra alguna de las circunstancias siguientes:

a) que los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados

b) que el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el mismo tratamiento

c) que los datos hayan sido tratados ilícitamente

d) que los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento

El derecho de supresión no podrá ejercerse cuando, entre otros motivos (art.16.3 RGPD -EDL 2016/48900-), el tratamiento sea necesario:

  • para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable
  • por razones de interés público en el ámbito de la salud pública
  • con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
  • para la formulación, el ejercicio o la defensa de reclamaciones

5. Derecho a la limitación en el tratamiento de los datos. Los datos relativos a la salud de los trabajadores serán tratados por el tiempo imprescindible para cumplir con la finalidad para la que sean recabados (art.18 RGPD -EDL 2016/48900-). Sin embargo, podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

El trabajador tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando concurra alguna de las siguientes circunstancias:

  • impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos
  • el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso
  • el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones
  • el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o ante de la Unión o de un determinado Estado miembro.

El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable (art.16.2 LOPDGDD -EDL 2018/128249-).

6. Portabilidad de los datos (art.20 RGPD -EDL 2016/4890-). El trabajador tendrá derecho a recibir los datos de salud que le incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, cuando el mismo sea necesario para la ejecución del contrato de trabajo y se efectúe por medios automatizados.

Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Al ejercer su derecho a la portabilidad de los datos, el trabajador tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable, siempre que sea técnicamente posible.

7. Prohibición de utilización de los datos relativos a la salud del trabajador con fines discriminatorios (art.22.4 LPRL -EDL 1995/16211-).

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", el 15 de marzo de 2019.