Como ya adelantamos en nuestra última publicación, dada la extensión que la Guía sobre Protección de datos y relaciones laborales (en adelante, la Guía) dedica a la parte de la vigilancia de la salud, vamos a continuar analizando otros puntos interesantes que se recogen en la misma.
Conviene recordar que la vigilancia de la salud viene reconocida en el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales (en adelante, LPRL): “1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo”.
Estas medidas de vigilancia y control de la salud de los trabajadores se han de llevar a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
Sin embargo, el artículo 22.4 de la LPRL reconoce el derecho del personal sanitario a realizar las acciones de vigilancia de la salud oportunas para poder conocer la información médica que proceda.
Asimismo, la propia LPRL admite y obliga en algunos casos a comunicar datos personales a los delegados de prevención, a la autoridad sanitaria, a la autoridad laboral, a los jueces y tribunales, etc.
- EL ACCESO A LOS DATOS POR LA EMPRESA Y LOS DELEGADOS DE PREVENCIÓN
Los casos que plantean mayores dificultades son los que se refieren al acceso a información por la propia empresa y por los delegados de prevención.
El tratamiento por parte de los servicios de prevención de riesgos laborales del historial médico deberá limitarse a las previsiones del artículo 22.4 de la LPRL, con la única excepción de las conclusiones derivadas del seguimiento en cuanto a la aptitud de las personas trabajadoras para el desempeño del puesto de trabajo: “El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”.
No obstante, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto o con la necesidad de introducir o mejorar las medidas de protección y prevención.
Con carácter general, ni el Convenio Colectivo ni el consentimiento son bases jurídicas que legitimen la cesión de datos médicos, pues la persona trabajadora no tiene completa libertad para prestar el mismo. (STS 6234/2010, de 27 de octubre, Sala de lo Social).
Cuando la vigilancia de la salud es realizada por facultativos externos, a no ser que se cuente con el consentimiento de los trabajadores, los médicos de empresa no tienen acceso al diagnóstico médico, pues se produciría una comunicación de datos a terceros sin consentimiento de la persona trabajadora.
Por su parte, los miembros del Comité de Seguridad y Salud y los delegados de prevención pueden acceder a la información necesaria para el ejercicio de sus funciones y, en particular, a la prevista en los artículos 18, 23 y 36 de la LPRL.
Los delegados de prevención podrán acceder a datos personales contenidos en informes y documentos resultantes de la investigación de los accidentes de trabajo y enfermedades profesionales sobre daños en la salud de las personas trabajadoras cuando tengan su origen en un hecho relacionado con el entorno laboral, sólo para la finalidad de control que les atribuye la LPRL y únicamente procederá el tratamiento de los datos estrictamente necesarios en relación a la gravedad y naturaleza de los daños. Esto es así porque el derecho de información de los delegados tiene la misma extensión que la potestad informativa de la autoridad laboral en este ámbito, y porque la investigación de accidentes de trabajo y enfermedades profesionales forma parte del proceso de evaluación de los riesgos laborales y el acceso a sus resultados deriva del derecho de información sobre la evaluación de riesgos.
De todas formas, los delegados de prevención deben respetar el deber de confidencialidad ya que les aplica lo dispuesto en el artículo 65.2 del Estatuto de los Trabajadores y en el artículo 37.3 LPRL en cuanto al sigilo profesional respecto de las informaciones a que tuviesen acceso como consecuencia del desempeño de sus funciones.
- RELACIÓN EMPRESA-SERVICIO DE PREVENCIÓN
Como ya hemos visto, la relación entre la empresa y el servicio de prevención requiere que se lleven a cabo comunicaciones de datos relativos a los empleados, que no exigen el consentimiento de éstos porque se trata de una obligación legal: la prevención de riesgos laborales.
La Guía hace referencia a la sentencia SAN de 24 de mayo de 2007, Sala de lo Contencioso, la cual declara la nulidad de las sanciones impuestas por la AEPD a la mutua por usar datos de carácter personal para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, y por cesión de los datos de carácter personal, fuera de los casos en los que estén permitidas.
La cesión de datos producida se encuentra amparada por la aplicación de los principios de racionalidad y de unidad de historias clínicas y tiene una finalidad legítima, la correcta aplicación de la normativa sobre Seguridad Social y Prevención de Riesgos Laborales y la prevención del fraude, por lo que no es exigible el consentimiento de la persona trabajadora denunciante.
Por otra parte, se ha de tener en consideración que la condición de responsable del tratamiento varía según se trate de un servicio de prevención propio, ajeno o mancomunado:
- Si se trata de un servicio propio, la empresa será responsable del tratamiento y existirán en el seno de la empresa distintos perfiles y facultades de acceso a datos.
- El servicio de prevención ajeno será responsable del tratamiento. Aquí existe una total separación entre la empresa y el servicio de prevención, el cual deberá limitarse únicamente a comunicar al empleador la condición de apto o no apto del empleado o, la necesidad de realizar adaptaciones o mejoras para reducir o eludir los riesgos.
- Los servicios de prevención mancomunados tengan o no personalidad jurídica diferenciada, tendrán la consideración de servicios propios de las empresas que los constituyan. Si el servicio de prevención tiene personalidad jurídica propia, se considera como un servicio de prevención ajeno y, por tanto, responsable del tratamiento; y si, por el contrario, el servicio de prevención no tuviera personalidad jurídica propia, las empresas, asumirían la condición de responsables del tratamiento.
- CAMBIO DEL SERVICIO DE PREVENCIÓN
Cuando se produce un cambio en el servicio de prevención, la comunicación de los datos relativos a la vigilancia de la salud de las personas trabajadoras a la nueva entidad que desarrolle el servicio de prevención sería un supuesto de comunicación de datos previsto en el artículo 23.1 de la LPRL, en relación con el artículo 30.3, derivada de la obligación de puesta a disposición del nuevo servicio y de la obligación de mantenimiento de la historia clínico-laboral.
No obstante, en virtud de los principios de minimización y de limitación de la finalidad:
- Los datos de salud sólo pueden ser comunicados al nuevo servicio de prevención, y no a otra entidad.
- La comunicación debe producirse directamente entre los servicios médicos de las empresas de prevención involucradas y se han de respetar las siguientes cautelas:
- Los datos no pueden utilizarse con una finalidad distinta.
- El trabajador tiene derecho a ser informado.
- El servicio de prevención que cesa no debe proceder a la supresión de los datos inmediatamente, pues tiene que cumplir con el principio de conservación, en los términos previstos en la normativa laboral aplicable.
- HISTORIA CLÍNICA DE LAS PERSONAS TRABAJADORAS
Como ya mencionábamos más arriba, del artículo 22.4 de la LPRL se deriva el derecho del personal sanitario que realice las acciones de vigilancia de la salud a conocer la información médica que proceda.
Esta información compondrá, el historial clínico laboral del trabajador, debiendo tenerse en cuenta que se someterá a lo establecido en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Respecto del acceso a la historia clínica, la legislación específica impone deberes como la limitación del acceso a las anotaciones subjetivas del facultativo, la existencia de límites a la rectificación contenidas en regulaciones sectoriales en materia de Seguridad Social, o la imposibilidad de proceder a la supresión de los datos que deban conservarse en virtud de la normativa sanitaria.
También deriva de la Ley 41/2002 la exigencia de fijar perfiles de usuario que definan de modo muy preciso el perfil funcional de cada tipo de trabajador.
Y es con este artículo sobre el tratamiento de los datos de los trabajadores en el marco de la vigilancia de la salud, con el que podemos dar por terminado nuestro análisis de la Guía sobre Protección de Datos y relaciones laborales.
Ver otros artículos relacionados:
Parte 1: Protección de datos y relaciones laborales (Parte I: legitimación y selección de personal)
Parte 3: Protección de datos y relaciones laborales (Parte III: control de la relación laboral)
Parte 5: Proteccion de datos y relaciones laborales (Parte V: Vigilancia de la salud I)