Incidencia de la Ley de protección de datos personales y garantía de los derechos digitales (LOPDGDD) en el tratamiento de los datos relativos a la salud de los trabajadores

Esta documentación va aparejada a necesidades como:

• Uso, manipulación y almacenamiento de datos de carácter personal (salario de los trabajadores, ausencias por IT (enfermedades y accidentes), contratos de trabajo, documentos de cotización, etcétera).
• Envíos de los resultados médicos a la empresa.
• Cesión de datos en la coordinación de actividades empresariales o a terceros.
• Utilización de plataformas digitales o correos electrónicos para la comunicación de datos.
• Utilización de ordenadores fuera de las instalaciones de la empresa.
• Archivos informatizados con información confidencial.
• Copias de seguridad.
• Registro y archivo de datos obtenidos de las evaluaciones, controles, reconocimientos, investigaciones o informes a que se refieren los artículos 22 y 23 de la LPRL.

De acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) se consideran «datos personales»: toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. 

En relación con el cumplimiento del RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD),  para la PRL, la responsabilidad recae sobre el servicio de prevención ajeno, en caso de externalización del servicio o, sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/as, o mediante un servicio de prevención propio.

Art. 22.4 de la LPRL

«4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva».

• Analizar los datos utilizados.
• Aplicar las medidas de seguridad o de salvaguarda de la información. El RGPD y la LOPDGDD han instaurado un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
• Realizar un análisis de riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención. Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca: la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y el control para garantizar los derechos y libertades de las personas. La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
• Realizar una evaluación de impacto. A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el mencionado reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
• Solicitar el consentimiento para el tratamiento de datos en el que la persona trabajadora debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales. El «consentimiento del interesado» es definido por el RGPD en su artículo 4.11 como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».  
• La empresa de PRL debe informar a las personas trabajadoras sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, suspensión, oposición, limitación o portabilidad.
  
• Establecer un procedimiento en caso de «quiebra de seguridad». La violación de la seguridad de los datos personales (más comúnmente conocida como «quiebra de seguridad») es definida en el artículo 4.12 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
• Designar un delegado de protección de datos. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

En este sentido, se consideran infracciones administrativas muy graves el incumplimiento del deber de confidencialidad sobre los datos de la salud.

Continuando con el citado art. 22.1 de la LPRL, su párrafo segundo hace referencia a la protección del derecho a la intimidad del trabajador en los siguientes términos «esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento».

La norma que protege la intimidad de los empleados, al mismo tiempo, impone sacrificios a la misma cuando la negativa a someterse a los reconocimientos médicos puede colisionar con otros derechos básicos y fundamentales o con otros bienes jurídicamente protegidos, esto es, cuando debe primar el derecho a unas condiciones de salud y seguridad en el medio laboral que permitan garantizar un trabajo sin riesgos y cuando, para ello, se revele el reconocimiento médico como imprescindible.

Tal como ha afirmado la sentencia del Tribunal Constitucional n.º 70/2009, de 23 de marzo, ECLI:ES:TC:2009:70:

«(...) en el art. 18.1 CE, se comprende, sin duda, la información relativa a la salud física o psíquica de una persona, en la medida en que esos datos constituyen un elemento importante de su vida privada. (...) 

La información relativa a la salud física o psíquica de una persona, en suma, es no sólo una información íntima (SSTC 202/1994, de 4 de julio, FJ 2; y 62/2008, de 26 de mayo, FJ 2), sino además especialmente sensible desde este punto de vista y por tanto digna de especial protección desde la garantía del derecho a la intimidad (art. 6 del Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, así como el art. 8 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos)».