Incidencia de la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en el tratamiento de los datos relativos a la salud de los trabajadores

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Laboral
  • Fecha última revisión: 19/12/2019

Existen diferentes datos sensibles en la prevención de riesgos laborales que deben ser custodiados de acuerdo con lo que indica el RGPD y la ;LOPDGDD para proteger la legitimidad de la persona trabajadora. 

En relación al cumplimiento del RGPD y la LOPDGDD para la prevención de riesgos laborales la responsabilidad recae sobre el servicio de prevención ajeno en caso de externalización del servicio o sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/a, o mediante un servicio de prevención propio.

Existen una serie de datos de carácter personal -susceptibles a contener registros como nombre, dirección, número de teléfono, datos sanitarios, ingresos, información bancaria, etc- que los técnicos de prevención, propios o ajenos, han de utilizar dentro de la documentación necesaria para la realización de un Plan de PRL como serían:

  • Expedientes médicos e historia clínica de las personas trabajadoras (en caso de asumir la especialidad de Medicina en el Trabajo por la propia empresa).
  • Resultado de los reconocimientos médicos (Aptos o no aptos)
  • Títulos de formación.
  • Investigación de accidentes.
  • Evaluaciones de riesgos
  • Personas trabajadoras sensibles o embarazadas.
  • Registros de entrega de EPIs.
  • Documentación de Coordinación de Actividad Empresarial de diferentes empresas.
  • Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud, de formación, etc).

Esta documentación va aparejada a necesidades como:

  • Uso, manipulación y almacenamiento de datos de carácter personal (salario de los trabajadores; ausencias por IT (enfermedades y accidentes); contratos de trabajo; documentos de cotización, etc)
  • Envíos de los resultados médicos a la empresa
  • Cesión de datos en la coordinación de actividades empresariales o  a terceros 
  • Utilización de plataformas digitales o correos electrónicos para la comunicación de datos
  • Utilización de ordenadores fuera de las instalaciones de la empresa
  • Archivos informatizados con información confidencial
  • Copias de seguridad.
  • Registro y archivo de datos obtenidos de las evaluaciones,controles, reconocimientos, investigaciones o informes a que se refieren los artículos 22 y 23 LPRL

De acuerdo con el ;RGPD, se consideran «datos personales» toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. 

Obligación de las empresas en relación a la prevención de riesgos laborales respecto al cumplimiento del RGPD y la LOPDGDD.

En relación al cumplimiento del RGPD y la LOPDGDD para la prevención de riesgos laborales la responsabilidad recae sobre el servicio de prevención ajeno en caso de externalización del servicio o sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/a, o mediante un servicio de prevención propio.

El art. 22.4 LPRL establece

"4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva"

La utilización de los datos señalados obliga a las empresas de prevención a:

1. Analizar los datos utilizados.

2. Aplicar las medidas de seguridad o de salvaguarda de la información. El RGPD y la ;LOPDGDD han instaurado un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.

3.- Realizar un Análisis de Riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención. Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas. La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.

4.- Realizar una evaluación de impacto.  A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.

5.- Solicitar el consentimiento para el tratamiento de datos en el que la persona trabajadora debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales.El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".  

6.- La empresa de PRL debe informar a las personas trabajadoras sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, suspensión, oposición, limitación o portabilidad.

7.- Un procedimiento en caso de "quiebra de seguridad". La violación de la seguridad de los datos personales (más comúnmente conocida como "quiebra de seguridad"), es definida en el artículo 4 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

 8.-Designar un Delegado de Protección de Datos. Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

Infracciones administrativas

Se consideran infracciones administrativas muy graves el incumplimiento del deber de confidencialidad sobre los datos de la salud, en los términos del citado art. 22.4 LPRL.

Protección del derecho a la intimidad del trabajador

Continuando con el citado artículo 22LPRL, su párrafo segundo, hace referencia a la protección del derecho a la intimidad del trabajador en los siguientes términos «Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento».

La norma que protege la intimidad de los empleados, al mismo tiempo, impone sacrificios a la misma cuando la negativa a someterse a los reconocimientos médicos puede colisionar con otros derechos básicos y fundamentales o con otros bienes jurídicamente protegidos, esto es, cuando debe primar el derecho a unas condiciones de salud y seguridad en el medio laboral que permitan garantizar un trabajo sin riesgos y, cuando para ello, se revele el reconocimiento médico como imprescindible.

Tal como ha afirmado el Tribunal Constitucional (STC 70/2009, de 23 de marzo), el art. 18.1CE, comprende la información relativa a la salud física o psíquica de una persona, en la medida en que esos datos constituyen un elemento importante de su vida privada. La información relativa a la salud física o psíquica de una persona, en suma, es no sólo una información íntima (SSTC 202/1994, de 4 de julio, FJ 2 ; y 62/2008, de 26 de mayo , FJ 2), sino además especialmente sensible desde este punto de vista y por tanto digna de especial protección desde la garantía del derecho a la intimidad ( art. 6 del Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, así como el art. 8 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

No hay versiones para este comentario

Datos personales
Prevención de riesgos laborales
Servicios de prevención
Tratamiento de datos personales
Datos sobre la salud
Actividades empresariales
Externalización de servicios
Protección de datos
Persona física
Reconocimiento médico
Datos sensibles
Medidas de seguridad
Análisis de riesgo
Información bancaria
Empresas de trabajo temporal
Contrato de puesta a disposición
Documentos de cotización
Evaluación de impacto en protección de datos
Actividades de tratamiento de datos
Falta de consentimiento
Sin consentimiento
Puesto de trabajo
Quiebra
Derecho a la intimidad
Delegado de protección
Responsable del tratamiento
Consentimiento del interesado
Autoridad de control de datos
Consentimiento expreso para el tratamiento de datos
Violación de la seguridad de los datos personales
Encargado del tratamiento
Infracción administrativa muy grave
Tratamiento automatizado de datos

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
  • Recogida de datos de las personas trabajadoras sobre revisiones médicas y test psicotécnicos en el ámbito laboral

    Orden: Laboral Fecha última revisión: 06/02/2020

    El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de ...

  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

  • Datos relativos a condenas e infracciones penales en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 10/12/2019

    Los datos relativos a infracciones y condenas penales, no se encuentran expresamente incluido en la relación de categorías especiales de datos que podemos consultar en el tema correspondiente. Ahora bien, como veremos, el RGPD establece similares c...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados