Siguiendo la estela de nuestras últimas publicaciones, nos aproximamos al final de la novedosa e interesante Guía sobre Protección de datos y relaciones laborales (en adelante, la Guía), la cual hemos ido analizando minuciosamente en este blog.
En este caso, vamos a abordar lo relativo al tratamiento de los datos de los trabajadores en el marco de la vigilancia de la salud, la cual, tal y como se recoge en la Guía del Ministerio de Sanidad sobre vigilancia de la salud para la prevención de riesgos laborales, engloba bajo su término una serie de actividades, referidas tanto a individuos como a colectividades y orientadas a la prevención de los riesgos laborales, cuyos objetivos generales tienen que ver con la identificación de problemas de salud y la evaluación de intervenciones preventivas.
La vigilancia de la salud viene reconocida en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (en adelante, LPRL): “1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo”.
Por tanto, debemos de partir de la idea de que la propia LPRL y sus normas de desarrollo imponen a las empresas la realización de un conjunto de actividades cuya finalidad es evitar o disminuir los riesgos derivados del trabajo, ligados en numerosas ocasiones a las características personales o de salud de la propia persona trabajadora y para cuyo desarrollo resulta necesario tratar datos personales de los trabajadores.
- BASES JURÍDICAS PARA EL TRATAMIENTO DE LOS DATOS
El tratamiento de datos personales en materia de prevención de riesgos se encuentra legitimado por la existencia de una relación contractual cuyo cumplimiento, desarrollo y control lo hace necesario.
Así pues, el contrato de trabajo, en combinación con el cumplimiento de las obligaciones legales establecidas en el Estatuto de los Trabajadores y en la LPRL, son las bases jurídicas del tratamiento de datos personales.
Por otra parte, en la medida en que el tratamiento de datos personales en el ámbito de la vigilancia en la salud implica tratamiento de datos especialmente protegidos requiriendo de un consentimiento explícito a tenor de lo establecido en el art. 9.2 a), el artículo 9.2 h) permite la recogida y tratamiento de datos con fines de medicina preventiva o laboral así como la evaluación de la capacidad laboral del trabajador, sin necesidad de contar con dicho consentimiento sin perjuicio de que se hayan de respetar una serie de garantías y límites.
Asimismo, el ya mencionado artículo 22 de la LPRL especifica que la vigilancia de la salud como una de las principales obligaciones del empleador en el campo de la prevención de riesgos laborales, sólo podrá llevarse a cabo “cuando el trabajador preste su consentimiento”, y deeste carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, algunos supuestos contemplados, como los reconocimientos imprescindibles para evaluar los efectos de las condiciones de trabajo sobre la salud de las personas trabajadoras, la verificación de si el estado de salud de la persona trabajadora puede constituir un peligro para ella misma o para las demás personas trabajadoras, o para cumplir con la obligación legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
En todo caso, independientemente de si el reconocimiento médico es voluntario u obligatorio la propia Guía nos recuerda que:
- El cumplimiento del deber de información es esencial, en relación con los resultados de la vigilancia de la salud y respecto del tratamiento de datos: “Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados” (artículo 22.3 de la LPRL)
- Hay que prestar particular atención al principio de proporcionalidad, y sólo cabe recabar y utilizar los datos estrictamente necesarios para la finalidad de prevención.
Y esto lo podemos enlazar también con lo expuesto en el artículo 22.2 LPRL: “Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud”.
Por otra parte, cabe señalar que el reconocimiento debe vincularse a la aptitud laboral, sin que pueda proporcionar al empleador ningún otro tipo de información. Es decir, los datos de los que el empleador puede disponer que son susceptibles de tratamiento, deben ser necesarios para la correcta ejecución del contrato.
La Guía pone a modo de ejemplo, por un lado, el caso en que el reconocimiento médico permitía averiguar datos no vinculados estrictamente con la aptitud laboral, como el consumo de drogas, para lo cual se determinó que debía obtenerse previamente el consentimiento informado del trabajador (STC 196/2004, de 15 de nov); y por otro lado, el caso en que se realizó una analítica a un trabajador para comprobar la presencia o no del VIH, sin su conocimiento, a la que sólo se le informó de que se iba a efectuar un reconocimiento médico, sin que se prestase consentimiento expreso, agravado además por la posterior divulgación del resultado positivo (STSJ CAT 12721/2012, de diciembre, Sala de lo Social) considerándose lesionado el derecho a la intimidad del trabajador.
Tampoco está legitimado el empleador para conocer el concreto diagnóstico médico, de modo que sólo podrá acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de “apto” o “no apto”, o al desglose de las tareas que es posible realizar, con las recomendaciones pertinentes sobre la adaptación o el cambio de puesto.
Como ya se analizó en uno de nuestros artículos (ver aquí) conviene aclarar que las mutuas colaboradoras con la Seguridad Social actuarán en calidad de responsables del tratamiento respecto de aquellos tratamientos de datos personales que efectúen en el ejercicio de las funciones que el texto refundido de la Ley General de la Seguridad Social les atribuye.
En todo caso debe protegerse la confidencialidad de la información sanitaria relativa a los trabajadores, por tanto carecería de sentido que la mutua comunicase a los empresarios cualquier dato que exceda de la mera conclusión sobre la idoneidad del trabajador para el puesto de trabajo (STS 6351/2009, de 20 de octubre, Sala de lo Contencioso), incluso si se trata de datos referidos a una persona trabajadora especialmente sensible a los riesgos derivados del trabajo, como, por ejemplo, trabajadoras embarazadas, o personas con capacidades diferentes. (artículo 25.1 LPRL)
Parece interesante traer a colación, la mención que se hace en la Guía a los datos médicos de los trabajadores de una empresa que forma parte integrante de un grupo empresarial, que tiene organizado sus servicios médicos de prevención como autónomos de la empresa matriz del grupo.
En estos casos, los servicios médicos de dicha empresa matriz no pueden acceder a los datos de los trabajadores del resto de empresas del grupo, salvo si ese acceso se encuentra justificado y, en todo caso, tomando siempre como interés preferente la salud del paciente.
A su vez, en este apartado la Guía se refiere a las distintas formas de violencia digital que se pueden producir en un entorno laboral, en numerosas ocasiones acompañadas de conductas constitutivas de acoso o por razón de sexo. Combatir estas conductas es una obligación del empleador, garante de la salud y seguridad de las personas trabajadoras. (Más información en las Recomendaciones de la AEPD sobre el acoso digital)
Por último, tal y como ya hemos analizado en alguno de nuestros artículos (ver aquí y ver aquí), la Guía aclara que el propio RGPD permite el tratamiento de datos personales de salud sin consentimiento del afectado en situaciones de interés público en el ámbito de la salud pública y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de dichas situaciones.
- TECNOLOGÍA WEARABLE
Un wearable es un dispositivo electrónico que se usa en el cuerpo humano y que interactúa con otros aparatos para transmitir o recoger algún tipo de datos. El ejemplo más claro y conocido lo constituyen los relojes inteligentes y las pulseras de actividad, pero hay muchos más.
La monitorización de datos de salud a través de estos dispositivos inteligentes en el entorno laboral está prohibida, a menos que esté establecida por ley o reglamentariamente, porque:
- No se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales.
- Supone el tratamiento de una categoría especial de datos sin una base jurídica que lo legitime.
- No cuenta con una finalidad legítima.
- Vulnera el principio de proporcionalidad, ya que conlleva una monitorización permanente y no se ciñe exclusivamente a la valoración sobre la aptitud de los trabajadores.
Es muy importante que tengamos en cuenta que incluso si el empleador utiliza a un tercero para recopilar los datos, el tratamiento seguiría siendo ilícito, salvo que se acreditase un interés legítimo, una finalidad específica, una monitorización proporcional, o se garantizase la anonimización completa de los datos.
Dada la extensión de esta parte que la Guía dedica a la vigilancia de la salud y para una mejor y más sencilla lectura y comprensión de la misma, continuaremos analizando en nuestra siguiente publicación, otros puntos interesantes sobre el acceso a los datos por parte de la empresa y de los delegados y servicios de prevención, así como sobre el acceso a la historia clínica de los trabajadores.
Ver otros artículos relacionados:
Parte 1: Protección de datos y relaciones laborales (Parte I: legitimación y selección de personal)
Parte 3: Protección de datos y relaciones laborales (Parte III: control de la relación laboral)