Recogida de datos de las personas trabajadoras sobre revisiones médicas y test psicotécnicos en el ámbito laboral

Recogida de datos especialmente protegidos: Revisiones médicas y test psicotécnicos de las personas trabajadoras

El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

En relación con el cumplimiento del RGPD y la LOPDGDD para la prevención de riesgos laborales la responsabilidad recae sobre el servicio de prevención ajeno en caso de externalización del servicio o sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/a, o mediante un servicio de prevención propio.

El art. 22.4LPRL establece:

"4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

No obstante, lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva"

La utilización de los datos señalados obliga a las empresas de prevención a:

• Aplicar las medidas de seguridad o de salvaguarda de la información. El RGPD y la LOPDGDD han instaurado un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
• Realizar un Análisis de Riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención. Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas. La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
• Realizar una evaluación de impacto. A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
• Solicitar el consentimiento para el tratamiento de datos en el que la persona trabajadora debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales. El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".
• La empresa de PRL debe informar a las personas trabajadoras sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, suspensión, oposición, limitación o portabilidad.
• Contar con un procedimiento en caso de "quiebra de seguridad". La violación de la seguridad de los datos personales (más comúnmente conocida como "quiebra de seguridad"), es definida en el artículo 4 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
• Designar un Delegado de Protección de Datos. Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.

Ver temas administrativo:

- Categorías de datos personales en la normativa de protección de datos.

- Categorías especiales de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD).

- Consentimiento de los interesados en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD).

- Reconocimientos médicos dentro de la medicina del trabajo.