Hace algunos meses la Agencia Española de Protección de Datos (AEPD), publicaba la Guía de la protección de datos en las relaciones laborales, cuyo análisis hemos ido realizando en varias publicaciones de este blog.
En concreto, nos interesa detenernos en la parte que la Guía dedica a la parte de la vigilancia de la salud (ver publicación), y más concretamente al acceso que tienen los delegados de prevención a algunos datos de la empresa.
Tal y como enuncia la Guía, debemos de partir de que los delegados de prevención pueden acceder a la información necesaria para el ejercicio de sus funciones, pero el acceso al historial médico deberá limitarse a las previsiones del artículo 22.4 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, con la única excepción de las conclusiones derivadas del seguimiento en cuanto a la aptitud de las personas trabajadoras para el desempeño del puesto de trabajo: “El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”.
Pero ¿qué tipo de información puede ser objeto de tratamiento?
Para resolver ésta y otras cuestiones, hemos de acudir a lo dispuesto en uno de los últimos informes jurídicos de la AEPD (N/REF: 0026/2021), en adelante el Informe, donde se resuelve la consulta planteada acerca de si es o no conforme a la normativa vigente en materia de protección de datos (RGPD y LOPDGDD), la comunicación a los Delegados de Prevención de una empresa del documento relativo a la relación de accidentes de trabajo y enfermedades profesionales que han causado al trabajador una incapacidad laboral superior a un día de trabajo junto al nombre y apellidos de las personas accidentadas, o, si por el contrario, no se debe facilitar el nombre y apellidos del accidentado, siendo suficiente la comunicación del número de identificación profesional (NIP).
Esto se debe a que en cumplimiento de lo dispuesto en el artículo 23 de la LPRL, la documentación que el empresario debe elaborar para poner en disposición de la autoridad laboral y que es objeto de análisis se encuentra la relación de accidentes de trabajo y enfermedades profesionales que hayan causado al trabajador un incapacidad laboral superior a un día de trabajo. Documentación que ha de comunicarse a los Delegados de Prevención para poder ejercer las competencias que la propia norma les confiere en relación con el proceso global de evaluación de riesgos laborales siempre que se garantice el respeto de la confidencialidad.
Por su parte, la Inspección de Trabajo sí considera necesario que, en centros de trabajo con un gran volumen de plantilla, se comunique a los Delegados de Prevención los datos identificativos del accidentado, (nombre y apellidos,) siendo insuficiente la aportación del NIP y no estando ante datos de salud, sin embargo, no se explica ni se deduce, porqué con el nombre y apellidos del accidentado los Delegados de Prevención si pueden ejercer eficazmente sus funciones puesto que bastaría con conocer las características del puesto de trabajo, los hechos sucedidos y las consecuencias en la salud del citado trabajador.
En primer lugar, para saber si estamos ante datos de salud, (artículo 4.15 del RGPD) hemos de acudir a la interpretación del concepto de dato de salud que mantuvo la Audiencia Nacional en su sentencia del 24 de noviembre de 2020, con relación a la información sobre el dopaje, careciendo de importancia que el tratamiento de los datos se dé o no en un entorno hospitalario (ver publicación).
En el caso que estamos analizando, el tratamiento de datos personales sí parte de un entorno médico-hospitalario, pues el trabajador que ha causado baja laboral ha tenido que ser tratado y diagnosticado por un profesional médico, y, por tanto, al trasladar esa información al Delegado de Prevención, se está informando sobre aspectos relacionados con la salud del trabajador. No cabe duda entonces de que esa información sobre la salud, asociada a un identificador personal hace que estemos ante el tratamiento de datos especialmente protegidos (artículo 9 RGPD).
Una vez que hemos determinado que estamos ante el tratamiento de datos personales relativos a la salud necesitamos su encaje en alguno de los supuestos que permiten excepcionar la prohibición general de tratamiento de categorías especiales de datos como es el cumplimiento de una obligación legal. En este sentido, la propia LPRL establece la obligatoriedad respecto del empresario de llevar a cabo el tratamiento, por lo que, de acuerdo con el artículo 6.1c) del RGPD, el tratamiento se considera necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento:
- El artículo 36.2b) y c) de la LPRL reconoceel derecho de los Delegados de Prevención a tener acceso, aunque con limitaciones, a la información y documentación relativa a las condiciones de trabajo necesarias para el ejercicio de sus funciones, especialmente el a ser informados sobre los daños en la salud de los trabajadores a los efectos de que éstos puedan conocer las circunstancias en las que se han producido los mismos.
- El artículo 22.4 de la LPRL reconoce que los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador, y que el acceso a los datos de salud se limitará al personal médico y a las autoridades sanitarias, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
Queda demostrado en el Informe, que a pesar de que la doctrina jurisprudencial se muestra a favor de los Delegados de Prevención a la hora de conocer información y documentación sobre los procesos de evaluación sobre los riesgos laborales, se aboga por que se tengan presentes las limitaciones que se derivan de la propia LPRL y de la actual normativa en materia de protección de datos, es decir, dicha información ha de ser la estrictamente necesaria a la relativa a la gravedad y se ha de mostrar disociada.
Por su parte, la AEPD sostiene que corresponderá al responsable del tratamiento la previa valoración de las circunstancias concurrentes del caso concreto para aplicar de forma efectiva, los principios de licitud, lealtad, transparencia, minimización y confidencialidad (artículo 5 RGPD).
Asimismo, en cuanto al juicio de proporcionalidad considera que:
- La comunicación a los Delegados de Prevención de los nombres y apellidos de los trabajadores, podría resultar idóneo para que los Delegados de Prevención puedan ejercer las atribuciones que la LPRL les confiere en el artículo 36. 1 d) LPRL.
- El conocimiento de los nombres y apellidos de los trabajadores accidentados no se estima necesario, pues para ejercer las funciones de los Delegados de Prevención bastaría con conocer las características del puesto, los hechos sucedidos y las consecuencias en la salud de los trabajadores.
- Se ha de valorar si se dan más ventajas o beneficios para el interés general, que perjuicios para el trabajador, teniendo en cuenta si existen otros medios para conocer dónde, cuándo y cómo se ha producido el accidente, sin que el nombre y apellidos del trabajador relacionados con sus datos de salud, tengan que ser comunicados.
De acuerdo con todo lo expuesto hasta ahora, la primera conclusión a la que llegamos es que el conocimiento con carácter general, del nombre y apellidos de los trabajadores afectados por parte de los Delegados de Prevención, en el ejercicio de la función prevista en el artículo 36.2) LRPR no supera el juicio de proporcionalidad, y, por tanto, resulta contrario al principio de minimización, que establece que los datos sean adecuados, pertinentes y limitados a lo necesario.
Ahora bien, la AEPD deja claro en todo momento a lo largo de este Informe que corresponde al responsable del tratamiento, asesorado, en su caso, por el delegado de protección de datos, realizar el juicio de ponderación y la aplicación del principio de minimización, atendiendo a las circunstancias del caso concreto (tamaño de la plantilla, estructura, organización, etc.); y en todo caso, deberá documentarse y justificarse a los efectos de estar en
condiciones de demostrar que se cumple con lo dispuesto en el RGPD. En el caso concreto que estamos analizando deberá valorarse si se dan más ventajas para el interés general que perjuicios para el trabajador, en la medida en que existan otros medios para conocer dónde, cuándo y cómo se ha producido el accidente sin que el nombre y apellido del trabajador tengan que ser comunicados.
Especial alusión realiza la AEPD al principio de confidencialidad (artículo 5 LOPDGDD), puesto que, junto con el resto de los principios descritos, sirven a la finalidad de que el tratamiento de datos personales respete la privacidad de los afectados y despliegan su eficacia a través del uso de instrumentos como la anonimización o la seudonimización
En la consulta objeto de análisis, se indica que, entre los datos que se proporcionan a los Delegados de Prevención se encuentra el NIP como información que permite identificar directa o indirectamente a los trabajadores afectados por el accidente laboral o por la enfermedad profesional.
Por lo que llegados a este punto es preciso recordar lo indicado en el artículo 24 del RGPD a cuyo tenor “el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización (…)”
Por lo tanto, a modo conclusión y en base al criterio adoptado por la AEPD tanto en la Guía como complementariamente en el Informe al que nos hemos referido, los delegados de prevención podrán acceder al contenido de los informes y documentos resultantes de la investigación de los accidentes de trabajo y enfermedades profesionales sobre daños en la salud de las personas trabajadoras cuando tengan su origen en un hecho relacionado con el entorno laboral, sólo para la finalidad de control que les atribuye la LPRL y únicamente procederá el tratamiento de los datos estrictamente necesarios en relación a la gravedad y naturaleza de los daños, respetando el deber de confidencialidad respecto de las informaciones a que tuviesen acceso como consecuencia del desempeño de sus funciones.
Asimismo, el tratamiento de datos seudonimizados, se estima adecuado para la aplicación efectiva de los principios como el de minimización, confidencialidad e integridad de los datos, sin perjuicio de que, atendiendo a las circunstancias del caso, y previa valoración y justificación por el responsable del tratamiento, dicha información deba ampliarse con otra, entre la que podrá incluirse el nombre y apellidos de los afectados y siempre y cuando dichas técnicas permitan cumplir la finalidad de dicha comunicación a los Delegados de Prevención.