Recogida de datos de las personas trabajadoras sobre revisiones médicas y test psicotécnicos en el ámbito laboral
- Estado: Redacción actual VIGENTE
- Orden: Laboral
- Fecha última revisión: 06/02/2020
El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».
Recogida de datos especialmente protegidos: Revisiones médicas y test psicotécnicos de las personas trabajadoras
El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».
En relación con el cumplimiento del RGPD y la LOPDGDD para la prevención de riesgos laborales la responsabilidad recae sobre el servicio de prevención ajeno en caso de externalización del servicio o sobre la propia empresa en caso de asumir la misma el propio empresario, mediante la designación de una/s persona/s trabajadora/a, o mediante un servicio de prevención propio.
"4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
No obstante, lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva"
La utilización de los datos señalados obliga a las empresas de prevención a:
- Aplicar las medidas de seguridad o de salvaguarda de la información. El RGPD y la LOPDGDD han instaurado un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
- Realizar un Análisis de Riesgos derivados del tratamiento de datos y establecer medidas de control de seguridad como prevención. Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos con el fin de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas. La reforma de la regulación de protección de datos supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño.
- Realizar una evaluación de impacto. A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
- Solicitar el consentimiento para el tratamiento de datos en el que la persona trabajadora debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales. El "consentimiento del interesado" es definido por el RGPD en su artículo 4.11 como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".
- La empresa de PRL debe informar a las personas trabajadoras sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, suspensión, oposición, limitación o portabilidad.
- Contar con un procedimiento en caso de "quiebra de seguridad". La violación de la seguridad de los datos personales (más comúnmente conocida como "quiebra de seguridad"), es definida en el artículo 4 del RGPD, de una forma muy amplia, como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
- Designar un Delegado de Protección de Datos. Los responsables y encargados del tratamiento deberán designar un Delegado de Protección de Datos (DPD) en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD.
Ver temas administrativo:
- Categorías de datos personales en la normativa de protección de datos.
- Categorías especiales de datos en el Reglamento general de protección de datos (RGPD) y en la LO 3/2018 (LOPDGDD).
- Consentimiento de los interesados en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD).
- Reconocimientos médicos dentro de la medicina del trabajo.
No hay versiones para este comentario
- Novedades laborales y de Seguridad Social
- Reforma laboral 2022
- Reforma de las pensiones 2022
- Medidas laborales y de seguridad social por COVID-19
- Contratación laboral
- Modificación, suspensión, nulidad y extinción del contrato de trabajo
- Seguridad Social
- Jornada Laboral
- Salario y régimen retributivo
- Negociación colectiva y Conflictos colectivos
- Economía social
- Infracciones y sanciones laborales
- Prevención de riesgos laborales
- Derecho Procesal Laboral
- Contingencias profesionales
- Nuevas tecnologías en el ámbito laboral
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
LEY 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 269 Fecha de Publicación: 10/11/1995 Fecha de entrada en vigor: 10/02/1996 Órgano Emisor: Jefatura Del Estado
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 1437/2020, 05-05-2021
Orden: Administrativo Fecha: 05/05/2021 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Maria Luz Lourdes Num. Recurso: 1437/2020
-
Sentencia ADMINISTRATIVO Nº 1364/2021, TS, Sala de lo Contencioso, Sec. 5, Rec 7919/2020, 23-11-2021
Orden: Administrativo Fecha: 23/11/2021 Tribunal: Tribunal Supremo Ponente: Huet De Sande, ángeles Num. Sentencia: 1364/2021 Num. Recurso: 7919/2020
-
Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 1058/2018, 14-10-2020
Orden: Administrativo Fecha: 14/10/2020 Tribunal: Audiencia Nacional Ponente: Atienza Rodriguez, Felisa Num. Recurso: 1058/2018
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-136/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-136/17
-
Incidencia de la LOPDGDD en el tratamiento de los datos relativos a la salud de los trabajadores
Orden: Laboral Fecha última revisión: 18/05/2022
Existen diferentes datos sensibles en la prevención de riesgos laborales que deben ser custodiados de acuerdo con lo que indica el RGPD y la LOPDGDD para proteger la legitimidad de la persona trabajadora. En relación con el cumplimiento del RGPD ...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD
Orden: Administrativo Fecha última revisión: 31/05/2021
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...
-
La protección de datos para los profesionales del derecho
Orden: Administrativo Fecha última revisión: 15/02/2022
Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...
-
Gestión de riesgos y EIPD en un despacho de abogados o procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Modelo de documento de consentimiento. Despacho de abogados
Fecha última revisión: 20/05/2021
DOCUMENTO DE CONSENTIMIENTOCLIENTE [NOMBRE] / [RAZON_SOCIAL] (1) D.N.I./C.I.F [NUMERO].PERSONA DE CONTACTO [NOMBRE] (2).ACTÚA EN CALIDAD DE [NOMBRE] D.N.I [DNI] (2).DOMICILIO (cliente) [DOMICILIO].POBLACIÓN [LOCALIDAD].PROVINCIA [PROVINCIA] C.P ...
-
Informe final sobre riesgos existentes y ausencia de necesidad de realización de Evaluación de impacto (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
INFORME FINAL SOBRE RIESGOS EXISTENTES Y AUSENCIA DE NECESIDAD DE REALIZACIÓN DE EIPD (EVALUACIÓN DE IMPACTO) Att. D./Dña. [NOMBRE][NOMBRE_EMPRESA][DIRECCIÓN] En [LUGAR], a [FECHA]. Muy señor/a mío/a:De conformidad con lo dispuesto en el ...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Retirada de contenidos de internet relacionados con violencia de género o menores
Fecha última revisión: 07/06/2022
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Consulta a fichero de morosos con motivo de un proceso de selección de personal sin consentimiento del candidato
Fecha última revisión: 07/06/2022
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 01/06/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOSe plantea cómo retirar imágenes relacionadas con un episodio de violencia de género cuya difusión en redes sociales no ha sido autorizada.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reglamento (UE) 2016/679 ...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTO¿Es posible consultar si una persona está incluida en un fichero de morosos con base en un proceso de selección de personal sin consentimiento del candidato?RESPUESTALa respuesta es no. Los ficheros de morosos existen con unas finalid...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa normativa aplicable a la instalación de cámaras de seguridad es variada: por un lado, es de aplicación la existente en relación con la...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018