Javier Alvarez Hernando
AC-ABOGADOS
Como en otros aspectos de la realidad empresarial la normativa sobre protección de datos incide, de una forma considerable, en las relaciones laborales, y concretamente en lo que aquí nos ocupa, en la prevención de riesgos laborales.
A la hora de dar solución a las cuestiones concretas que se presentan en el día a día el responsable del fichero (es decir, la empresa u organización) debe tener en cuenta, no sólo la normativa básica sobre la materia, es decir, la Ley Orgánica 15/1999, de Protección de Datos (en adelante, LOPD), y el Reglamento de desarrollo de la misma (R.D. 1720/2007, en adelante RLOPD), sino otras normas igualmente aplicables, como la Ley 31/1995, de Prevención de Riesgos Laborales (en adelante, LPRL) y sus normas de desarrollo.
La Agencia Española de Protección de Datos (AEPD), desde el primer momento, ha sido consciente de los riesgos que pueden afectar al derecho a la intimidad del trabajador. Por ello, la Agencia no ha escatimado esfuerzos en aclarar, a través de sus recomendaciones e informes jurídicos, las dudas que han venido surgiendo en los tratamientos de datos, y cesiones de los mismos, en general en las relaciones laborales. Incluso, en fechas recientes, la AEPD ha publicado una Guía monográfica al respecto, y que es accesible desde su sitio web (www.agpd.es).
Es conocido el elenco de obligaciones que la Ley de Prevención de Riesgos exige a las empresas, con el fin de disminuir o evitar los riesgos derivados del trabajo. Con este fin, se hace imprescindible tratar diversos datos de los trabajadores, detallar sus puestos de trabajo, tener en cuenta si padecen algún tipo de enfermedad, etc.
Debemos partir por considerar que, en materia de prevención de riesgos, el tratamiento de datos personales no requiere, por regla general, contar con el consentimiento del trabajador, al amparo del artículo 6.2 de la LOPD, al existir una relación contractual cuyo desarrollo, cumplimiento y control lo hace necesario.
No obstante, es preciso matizar que en el ámbito de la vigilancia de la salud, las revisiones médicas pueden tener un carácter voluntario u obligatorio. En el primer caso, es decir, cuando la revisión de la salud es voluntaria, es necesario contar con el consentimiento del trabajador para tratar, y en su caso, ceder, sus datos. La obligatoriedad de la vigilancia de la salud se exige por el artículo 21.1 de la LPRL, previo informe de los representantes de los trabajadores en aquellos supuestos en los que los reconocimientos médicos sean imprescindibles para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores, o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, o para el resto de compañeros, o cuando así lo diga una norma en relación con la protección de riesgos específicos y actividades catalogadas como especialmente peligrosas.
En todo caso, se trate de revisiones médicas voluntarias u obligatorias, el responsable del fichero debe cumplir con el principio de información, cuyo contenido se detalla en el artículo 5 de la LOPD. Además, el responsable debe limitarse a recabar y utilizar los datos que sean estrictamente necesarios para la finalidad de la prevención, tal y como impone el artículo 4 de la LOPD, al establecer los principios de calidad, finalidad y proporcionalidad en el tratamiento de datos de carácter personal.
En este sentido, es interesante apuntar que el acceso a datos de salud es completo para el personal médico, mientras que la gerencia únicamente podría acceder a las condiciones de aptitud o no aptitud del trabajador. No obstante, cabe la posibilidad de que el empresario deba acceder, de modo específico, a información personal del trabajador necesaria para el cumplimiento de sus obligaciones. Así por ejemplo, es obvio que si debe adaptarse una pantalla de ordenador con un determinado tipo de letra, existirán problemas visuales que denoten la existencia de una minusvalía o enfermedad. En estos supuestos, la legitimación para el tratamiento deriva de la propia Ley, como veremos a continuación, pero en todo caso debe respetarse el principio de calidad de los datos (artículo 4 de la LOPD), en el sentido de que el tratamiento de los mismos debe limitarse a los estrictamente necesarios.
Por otro lado, se hace necesario determinar quien será considerado responsable del fichero, o tratamiento, en el supuesto de que exista un servicio de prevención ajeno a la empresa. Pues bien, si se trata de un servicio propio la empresa será responsable del fichero que se genere para la gestión de la prevención, mientras que aquellas empresas que actúan como servicios de prevención ajenos tienen la consideración de responsables del tratamiento.
Debido a que el servicio de prevención tiene un carácter multidisciplinar (seguridad, ergonomía y psicosociología, medicina del trabajo) deben establecerse, por parte de la empresa responsable, un protocolo de actuación a la hora de tratar datos personales de los trabajadores. En dicho protocolo, deben fijarse distintos perfiles y facultades de acceso a los ficheros, por parte del personal de la empresa, deben implementarse medidas de seguridad de nivel alto, siempre que se incluyan datos de salud con identificación precisa de enfermedades, o se gestionen historiales de salud laboral.
Se hace necesario aclarar que no tiene la consideración de dato de salud, y por tanto no serían de aplicación las medidas de seguridad de nivel alto, la información relativa a la aptitud o no aptitud del trabajador, pero, si este dato no aparece aislado, sino se asocia a otros que motiven su calificación, como por ejemplo, una situación de minusvalía o enfermedad crónica, que motive una adaptación del puesto de trabajo, será considerado, sin lugar a dudas, un dato de salud.
En cualquier caso, las medidas de seguridad tienen que estar plasmadas en un “Documento de Seguridad”, tal y como exigen los artículos 79 y siguientes del RLOPD. Además debe tenerse en cuenta que, en el supuesto de historiales clínicos, es de aplicación tanto la “Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica”, como la abundante normativa autonómica que regula las historias clínicas.
Por último, este protocolo de actuación, debe contemplar qué procedimientos deben seguirse para dar cumplida respuesta a los posibles ejercicios de derechos de acceso, rectificación y cancelación de los trabajadores, tal y como determinan los artículos 15 y sig. de la LOPD; 23 y sig. del RLOPD, y 18 de la Ley 41/2002.
En otro orden de cosas, la normativa de prevención de riesgos habilita, y obliga, a que sean comunicados datos personales de trabajadores a los delegados de prevención, a la autoridad sanitaria, a la inspección de trabajo y a la autoridad laboral.
Los delegados de prevención, por mandato de los artículos 18, 23 y 36 de la LPRL, están facultados para acceder a la información y documentación relativa a las condiciones de trabajo que sean necesarias en el ejercicio de sus funciones. En este sentido, el artículo 36.2.c de la citada norma, señala que los delegados de prevención deben ser informados sobre los daños producidos en la salud de los trabajadores pudiendo conocer las circunstancias que los produjeron. Es decir, pueden acceder a datos personales relacionados con daños en la salud de los trabajadores, en el marco de la relación laboral, con la única finalidad de control, que les atribuye la LPRL, y limitada a los datos estrictamente necesarios, que en este supuesto, se corresponderían con la gravedad del daño y la naturaleza del mismo.
En todo caso, los delegados de prevención, al ser cesionarios de los datos, deben cumplir con lo establecido en la normativa de protección de datos, y en particular deben guardar el deber de secreto que se exige tanto por el artículo 10 de la LOPD como por el 37.3 de la LPRL, en relación con el artículo 65.2 del Estatuto de los Trabajadores.
