LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 10:28:36

LegalToday

Por y para profesionales del Derecho

Resumen práctico de servicios de prevención ajeno y LOPD

Auditor Jefe y Director en PREVYCONTROL Entidad Auditora en Sistemas de Gestión PRL

Consultor de Gestión y Auditor Legal SGPRL

Sabido es que la mayor parte de las empresas recurren, como uno de los modelos organizativos para asumir la actividad preventiva en base al RD 39/97, a un servicio de prevención ajeno para la protección y prevención de riesgos laborales de sus trabajadores.

Conmutador con las palabras safe y unsafe

En las líneas que siguen se trata de resumir, a efectos prácticos y sin tratar de realizar un análisis profuso del tema, los principales aspectos que enfrentan los Servicios de Prevención Ajenos (en adelante SPA) en relación con la gestión de los datos de carácter personal de los trabajadores que prestan servicio en sus empresas-cliente, especialmente con ocasión de las actividades correspondientes vigilancia de la salud.

Respecto de los datos de carácter personal, en general se afirma que el consentimiento del interesado y el derecho a la información (el consentimiento informado) es la piedra angular de su regulación. En el ámbito de los datos sobre salud ocurre lo mismo. Nos permitimos aclarar algunas cuestiones:

¿De qué datos hablamos?

Los datos de salud se califican legalmente, junto a los referidos a la ideología, afiliación sindical, religión, creencias origen racial y vida sexual de las personas, como "especialmente protegidos". Se regulan en el art.7 LOPD, cuyo apartado 3 establece para los datos sobre el origen racial, la salud y la vida sexual un régimen restrictivo en cuanto a su tratamiento y cesión.

Los datos de salud a los que se refiere incluyen:

  • La salud pasada, presente y futura, física o mental de un individuo.
  • Los datos sobre porcentaje de discapacidad y su información genética
  • El dato "apto o no apto", habitual  tras un reconocimiento médico realizado por el SPA, que interesa especialmente al empresario cliente del SPA.
  • En cuanto al abanico de datos a tratar, todos los necesarios para efectuar un reconocimiento médico.

Deber de información

Se encuentra regulado en el art.5 LOPD, en cuya virtud los datos de salud no pueden ser recabados, tratados y cedidos salvo que, por razones de interés general, así lo disponga una Ley o el afectado consienta  expresamente (art.7.3 LOPD). El régimen se completa, en el Reglamento de desarrollo de la LOPD (RD 1720/2007) aplicando medidas de seguridad de nivel alto.

En el orden práctico y de acuerdo con los informes emitidos por la Agencia Española de Protección de datos, el deber de información tiene las siguientes notas:

  • No tiene excepción: siempre hay obligación de informar y, se añade, debe hacerse de tal modo que quede acreditado su cumplimiento. Es recurrente que el SPA recurra al expediente de incorporar o anexar un documento informativo al resto de documentos inherentes a un reconocimiento médico (y el número 2 del art.5 LOPD parece invitar a ello). La práctica es adecuada si se cumplen los siguientes extremos: para empezar, la información debe ser previa al reconocimiento (es decir, entregado el documento antes del mismo), expresa (un documento lo es), precisa (es decir, exacta, cierta y determinada) e inequívoca (que no dé lugar a confusión).
  • Pero, además, para que la práctica sea adecuada, se debe informar del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas y de las consecuencias de la obtención de los datos o de la negativa a suministrarlo ( aspectos que se analizan in fine)
  • Hay que informar de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • Se debe identificar y proporcionar la dirección del responsable del tratamiento o, en su caso, de su representante

El resto de la información solo se podrá facilitar al empresario con el consentimiento expreso del trabajador. Comunicar estos datos sin tal consentimiento es una infracción muy grave del art.44-4 c de la LOPD.

Consentimiento

El deber de obtener el consentimiento (junto al deber de proporcionar información) es el eje que vertebra la legitimación para el tratamiento y cesión de datos de salud del trabajador.  Únicamente el personal médico del SPA y las autoridades sanitarias (art.22 LPRL) no precisan de su consentimiento para tratar o ceder estos datos. En consecuencia, si el ámbito de intervención del SPA incluye la cesión de datos a categorías de agentes como "laboratorios externos o profesionales independientes", tal cesión no sería válida, salvo que esta clase de cesiones esté contemplada en una ley autorizante, según art.7.3 LOPD. En otras palabras, cualquier cesión de datos del SPA a otros profesionales o centros médicos, requerirá el consentimiento expreso de los afectados, incluido eventualmente el profesional médico de la empresa en que la que  los trabajadores prestan su actividad, si es que no han efectuado la acciones de vigilancia de la salud de los trabajadores.

Respecto al "empresario y las personas u órganos con responsabilidad en materia de prevención, serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador ("apto" o "no apto") o con la necesidad de introducir o mejorar las medidas de protección y prevención (artículo 22.4, párrafo tercero de la LPRL).

El resto de la información solo se podrá facilitar al empresario con el consentimiento expreso del trabajador. Comunicar estos datos sin tal consentimiento es una infracción del art.11.1 LOPD, de tipo grave (art.44.3 b/ de la LOPD).

Calidad de los datos

Aunque ya existe desvinculación de las Mutuas de Accidentes de Trabajo y Enfermedades de las Sociedades de Prevención que debieron crear en base al RD 688/2005, puede resultar conveniente precisar adecuadamente el ámbito y la finalidad del tratamiento de los datos personales. No hay que olvidar que el SPA interviene en funciones de vigilancia de la salud, una de sus actividades tipificadas en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y en sus normas reglamentarias de desarrollo. Y esta finalidad no se debe confundir con la que el art.68.2 b) de la LGSS (RDL1/94) confiere a las Mutuas como entidades colaboradoras en la gestión de la SS. En consecuencia, la cláusula informativa debe especificar claramente que el tratamiento de los datos se realiza para las acciones de vigilancia de la salud de los trabajadores del SPA.

¿Es el SPA un responsable de fichero o es encargado de tratamiento?

Por responsable de fichero se entiende la persona, física o jurídica, que decide sobre la creación, contenido, finalidad y uso del tratamiento de los datos. El encargado de tratamiento es aquella persona, física o jurídica, que trata los datos personales por cuenta del responsable de fichero. Desde el lado del interesado, la distinción es más teórica que real, puesto que en ambos roles sus derechos deben ser respetados de igual modo, pero la diferencia entre ambas figuras cobra relevancia desde el punto de vista de quien soporta determinadas obligaciones derivadas de LOPD; en concreto la de inscribir el fichero en el Registro de la Agencia (obligación de un responsable de fichero) y la de formalizar una relación contractual entre responsable y encargado.

El informe de la Agencia de 11 de marzo de 2008 indica que el acceso por parte del SPA a determinados datos de carácter personal implica que "…existirán supuestos en que es posible considerar que ese servicio de prevención ajeno accede a los datos en calidad de encargado del tratamiento (artículo 12 de la Ley 15/1999) y otros serán considerados como cesiones de datos (artículos 30.3 y 23.1 de la Ley 31/95 de Prevención de Riesgos Laborales). Y añade "…en este último supuesto no cabe duda que el SPA será considerado Responsable de tratamiento", que tendrá obligación de inscribir. El mismo informe indica más adelante que el SPA "será responsable del tratamiento de todos aquellos datos que el trabajador le proporcione en desarrollo de la actividad de prevención llevada a cabo por un servicio médico", mientras que los datos que se suministran al empresario que se limitan a la "aptitud del trabajador para el desempeño…" o con "la necesidad de introducir o mejorar las medidas de protección y prevención", sería un supuesto de cesión de datos que no requiere de consentimiento del trabajador, por estar autorizada en una Ley (pfo 3 del artículo 22.4 de la Ley 31/199).

Nivel de seguridad

El Reglamento de Desarrollo de la LOPD determina en el número 3 de su art.81 que  a los datos de salud deben aplicar las medidas de nivel alto (además de las de "rango inferior"). Pero el número 6 del mismo establece una excepción que reduce el nivel de medidas de seguridad a adoptar, hasta situarlo en el nivel más elemental, el llamado nivel básico. La cuestión entonces reside en analizar el alcance de esta excepcionalidad.

Lo que resulta claro, a tenor del informe 0179/2008 de la agencia es que se deben dar unos determinados requisitos:

  • Debe tratarse de datos consistentes en la "simple indicación del dato "apto" o "no apto" de un trabajador, a los efectos previstos en la LEY 31/95.
  • La finalidad del tratamiento debe venir impuesta por el cumplimiento de un deber público del responsable de tratamiento.

Cuestión previa ¿de qué tipo de datos hablamos? Estaríamos hablando de datos relativos a  minusvalías del afectado, la incapacidad laboral, la aptitud para el desempeño de un determinado puesto de trabajo, la causa de una baja laboral…¿se trata de datos especialmente protegidos? La respuesta es afirmativa; por tanto únicamente el consentimiento del interesado o razones de interés general recogidos en una "norma con rango de ley" pueden legitimar su tratamiento (artículo 7.3 de la Ley Orgánica 15/19, en relación con los arts.6 y 11). Ello significaría, en una aproximación "automática" que el nivel de seguridad aplicable debería ser el alto, es decir, el nivel en el que se deben cumplir medidas especiales junto a las de nivel básico y medio. Sin embargo, la norma excepciona esta automaticidad y permite la aplicación de un nivel básico si concurren las dos circunstancias del art 81.6 del RDLOPD. En efecto, el informe concluye considerando que se cumple el requisito del cumplimiento de deberes públicos, en concreto el  "deber legalmente exigido para garantizar el mantenimiento de una adecuada política de prevención de riesgos laborales", recogido en el art.22 de la Ley 31/1995.

Fuera de tales casos, los datos de salud deben recibir medidas de seguridad de nivel alto. En la práctica, lo que se persigue mediante la protección más intensa es evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos. Para ello, hay que adoptar  medidas de índole técnica y organizativa, que se concretan, en:

  • Etiquetado de soportes únicamente comprensible para usuarios autorizados
  • Cifrado del contenido de los soportes cuando vayan a salir fuera de las instalaciones del Responsable  de Fichero.
  • Extraer la copia de seguridad de las instalaciones fuera del lugar del tratamiento.
  • Dejar constancia, en el correspondiente  registro de accesos a estos datos de nivel alto, de los siguientes extremos:
    • identificación del usuarios
    • fecha y hora de acceso
    • fichero al que se accede
    • dejar constancia de si éste ha sido denegado o autorizado
  • Conservar el registro de acceso al menos durante dos años
  • Realizar una revisión del registro de acceso por el Responsable de Seguridad al menos una vez al mes, y la elaboración de un informe sobre las citadas revisiones.

Asimismo, se respetarán las siguientes prohibiciones, relacionadas con los ficheros automatizados:

  • Prohibición de empleo de contraseñas pertenecientes a otros usuarios para el acceso.
  • Prohibición de acceder al registro de accesos (el que haya habilitado el Responsable de Fichero) o a ficheros o programas no permitidos.

Obligatoriedad de someterse al reconocimiento médico por parte del trabajador

Aunque este aspecto no se encuentra relacionado directamente con la LOPD, se trata de un asunto que genera mucha controversia y problemática a la hora de aplicar la vigilancia de la salud en las empresas.

Las acciones de vigilancia de la salud tienen carácter voluntario por parte del trabajador, pero es obligatorio por la del empresario ponerlas a su disposición. Sin embargo, hay excepciones a esta regla, es decir, no es potestad del trabajador y tiene obligación de someterse a las mismas, cuando el reconocimiento sea imprescindible para:

  • Evaluar los efectos de las condiciones de trabajo sobre la salud.
  • Verificar si el estado de salud del trabajador puede constituir un peligro para sí o para otros.
  • Cuando así lo disponga la legislación vigente (en razón de riesgos específicos y actividades de especial peligrosidad).

Siguiendo al letrado Andreu Sánchez García en la doctrina hay dos posturas enfrentadas:

    a)   la de los que defienden que debe se la categoría del puesto de trabajo la que determine la obligatoriedad del examen, concluyendo en una relación más o menos extensa de puestos aplicables a priori: ya sea una relación cerrada de puestos -como conductores, trabajadores en altura, manejo de maquinaria peligrosa-, la relación de actividades del anexo I del RSP, o, por último cualquier tipo de trabajo que pueda dar lugar a una enfermedad profesional) y

    b)   la de quienes sostienen que el carácter obligatorio del examen exige, además, circunstancias individuales del empleado en forma de indicios, síntomas, conductas, etc… entendiendo que, "para el resto de casos, la adopción de medidas preventivas debería ser suficiente para controlar los peligros, sin que se revele como imprescindible el que sean examinados por un sanitario". Ambas posturas han sido defendidas en diferentes sentencias, por lo que no cabe deducir una norma práctica, sino un criterio de prudencia al valorar la necesidad del examen médico en el contexto de las medidas preventivas  a adoptar para un puesto de trabajo, máxime si se considera la sanción aplicable (de 2.046 a 40.985 euros) por "…No realizar los reconocimientos médicos y pruebas de vigilancia periódica del estado de salud de los trabajadores que procedan conforme a la normativa sobre prevención de riesgos laborales, o no comunicar su resultado a los trabajadores afectados…"

En definitiva, habrá que valorar, para determinar la obligatoriedad o no del examen médico:

  • Cuándo las medidas preventivas de un determinado puesto son suficientes: el examen de salud no es automáticamente obligatorio.
  • Cuándo un empleado en concreto esté presentando incidencias reales relacionadas con su salud (y no con una conducta intencionada o imprudente): las medidas preventivas del puesto no son suficientes y se debe predicar la obligatoriedad del examen.

Es decir, como hemos planteado, por norma general, el reconocimiento médico será voluntario. En caso de duda, suele ser un asunto controvertido, si la empresa considerase que existe obligatoriedad para su realización en algunos puestos concretos, debería establecer la siguiente pauta de actuación:

  • Concretar de manera cerrada los puestos de trabajo en los que estima que es obligatorio someterse a reconocimiento médico la causa que lo justifica, en base a lo establecido en el Art. 22.1 de la Ley 31/95, en base a informes de la organización preventiva de la empresa para, principalmente, estimen de manera técnica la conveniencia y se definan las pruebas médicas espefícicas obligatorias.
  • Solicitar informe a la Representación Legal de los Trabajadores en base al Art.22.1 de la Ley 31/95. Este informe no tiene carácter vinculante y, si existe, debe debatirse en el seno del Comité de Seguridad y Salud.
  • Comunicar a los trabajadores afectados por la decisión de obligatoriedad de reconocimiento médico con expresión de las pruebas irrenunciables.
  • Realización de los reconocimientos médicos según procedimiento establecido en la empresa. Las negativas podrían ser tratadas como acciones disciplinarias, pudiendo constituir causa de despido.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.