Prevención de Riesgos Laborales y RGPD: Resumen Práctico para tratamientos de vigilancia de la salud de los SPA sobre trabajadores de empresas y autónomos
Autores:
Javier Abad Calonge-Consultor de Gestión y Auditor Legal PRL
Javier Cassini Gómez de Cádiz- Director de PREVYCONTROL y Auditor Legal PRL
Introducción
Esta colaboración parte de la publicada en www.legaltoday.com el 29 de noviembre de 2016 y pretende servir de actualización de su contenido a consecuencia de la entrada en vigor obligatoria del REGLAMENTO UE/679 GENERAL DE PROTECCIÓN DE DATOS. Además, se le aporta un sentido más general a la totalidad de la actividad de prevención de riesgos laborales (en adelante PRL), no centrándola únicamente en la figura del Servicio de Prevención Ajeno (SPA).
Al igual que en aquella ocasión, se trata de resumir a efectos prácticos los principales aspectos que enfrentan, en este caso a la PRL en general, en relación con la gestión de los datos de carácter personal de los trabajadores, concretamente por disponer de mayor importancia, en su actividad de vigilancia de la salud. Interesa subrayar esta primera delimitación, por cuanto no se van a analizar otros datos que los referidos, de entre la gran diversidad de datos del trabajador que pueden ser objeto de tratamiento.
Con carácter previo al estudio de los datos, se hace necesario delimitar la empresa y su actividad, especialmente por la concurrencia de intereses desde al menos tres diferentes perspectivas: de un lado el trabajador, como centro de atención, por cuanto son sus datos los que deben ser adecuadamente tratados y, de otro, dos empresas (o empresarios) con actividades diferentes y complementarias (normalmente, una empresa o un autónomo y un Servicio de Prevención Ajeno).
Aunque ya existe desvinculación de las Mutuas de Accidentes de Trabajo y Enfermedades de las Sociedades de Prevención que debieron crear en base al RD 688/2005, puede resultar conveniente precisar adecuadamente el ámbito y la finalidad del tratamiento de los datos personales. No hay que olvidar que el SPA interviene en funciones de vigilancia de la salud, una de sus actividades tipificadas en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y en sus normas reglamentarias de desarrollo. Y esta finalidad no se debe confundir con la que el art.68.2 b) de la LGSS (RDL1/94) confiere a las Mutuas como entidades colaboradoras en la gestión de la SS. En consecuencia, la cláusula informativa debe especificar claramente que el tratamiento de los datos se realiza para las acciones de vigilancia de la salud de los trabajadores. Este particular puede afectar perfectamente al trabajador autónomo ya sea porque haya contratado trabajadores o debido a que se le haya requerido reconocimiento médico específico por una empresa contratista en virtud del Art.24 de la Ley 31/95 acerca de coordinación de actividades empresariales y el RD 171/2004 que desarrolla el citado artículo.
Nos encontramos en la práctica con normas de diferente naturaleza regulando la protección de los derechos de los trabajadores en relación con el tratamiento de sus datos.
Protección de datos personales en la Normativa PRL.
El desarrollo de las acciones de vigilancia de la salud de los trabajadores aparece regulado, como señala el informe jurídico de la AEPD 2010/0206, como una obligación para la empresa, según art. 22 de la Ley 31/1995, y comporta el acceso por el SPA a datos de los trabajadores, entre ellos los datos de salud. Por tanto, la causa de la existencia de tratamientos de datos sobre la salud de trabajadores, entre los que podría incluirse un autónomo según el caso, es una obligación legal.
La regulación preventiva, en primer lugar, señala el carácter voluntario, desde el lado del trabajador, de la actividad de vigilancia de la salud. De la posibilidad o facultad de negarse a realizar el reconocimiento médico se deduce, salvo excepciones, que los datos que se traten por el SPA van a ser recabados voluntaria y directamente del interesado, origen que va a tener consecuencias en diversos órdenes, como el contenido del derecho a la información o la problemática de la obtención del consentimiento.
En segundo lugar, las medidas de vigilancia y control de la salud han de respetar el derecho a la intimidad y la dignidad de la persona y la confidencialidad de la información sobre su estado de salud.
En tercer lugar, los resultados de la actividad deben ser comunicados a los trabajadores o autónomo.
En cuarto lugar, la regulación de la L. 31/95, como no podría ser de otro modo, desautoriza cualquier finalidad discriminatoria o perjudicial e introduce restricciones personales a las eventuales cesiones de datos, obligando a prestar consentimiento expreso con carácter general, fuera de los casos del personal medico. Las únicas excepciones a este consentimiento expreso es el dato “apto” o “no apto” para el trabajo (artículo 22.4, párrafo tercero de la LPRL), que es el dato que interesa especialmente al “empresario”. Los datos personales obtenidos en el reconocimiento relacionados con la necesidad de introducir o mejorar las medidas de protección y prevención también pueden ser cedidos a “personas u órganos con responsabilidad en materia de prevención”,
Obligatoriedad de someterse al reconocimiento médico
Normalmente, y esto afectaría al autónomo si tiene trabajadores a su cargo, las acciones de vigilancia de la salud tienen carácter voluntario por parte del trabajador, pero es obligatorio por la del empresario ponerlas a su disposición. Sin embargo, hay excepciones a esta regla, es decir, no es potestad del trabajador y tiene obligación de someterse a las mismas, cuando el reconocimiento sea imprescindible para
- evaluar los efectos de las condiciones de trabajo sobre la salud
- verificar si el estado de salud del trabajador puede constituir un peligro para sí o para otros
- cuando así lo disponga la ley (en razón de riesgos específicos y actividades de especial peligrosidad).
Habrá que valorar, para determinar la obligatoriedad o no del examen médico:
- cuando las medidas preventivas de un determinado puesto son suficientes: el examen de salud no es automáticamente obligatorio
- cuando un empleado en concreto esté presentando incidencias reales relacionadas con su salud (y no con una conducta intencionada o imprudente): las medidas preventivas del puesto no son suficientes y se debe predicar la obligatoriedad del examen.
No debe olvidarse, por último, que la excepción al carácter voluntario del examen requiere de informe previo de los representantes de los trabajadores, por lo que en ningún caso la empresa deberá obviar su solicitud. En el caso de los autónomos con trabajadores a cargo será difícil que existan estas figuras por el tamaño de la empresa.
En el caso de los autónomos sin trabajadores a cargo, la obligatoriedad de realizar reconocimiento médico vendrá marcada por criterios “extralegales” y se marcarán por los requerimientos que realicen las empresas contratistas para que los trabajadores autónomos operen en sus centros de trabajo.
Normativa específica de protección de datos.
Como advertencia previa, cabe recordar que la vigencia obligatoria del Reglamento UE/679 “desplaza” según expresión de la propia AEPD, pero no deroga la actual LOPD ni su reglamento de desarrollo, por lo que está abonada la posibilidad de que, dada su eficacia de norma directamente aplicable, que no precisa de transposición y que puede ser invocada ante los tribunales por los particulares, conviva con ciertas dificultades en la práctica jurisdiccional.
En segundo lugar, el Reglamento alude expresamente a la clase de datos personales que va a tratar un SPA en su artículo 9, que lleva por título “Tratamiento de categorías especiales de datos personales”. Si en el artículo 7 de la actual LOPD se establecía un régimen restrictivo de los datos de salud en cuanto a su tratamiento y cesión el Reglamento UE/679 consagra un principio general de prohibición de diferentes tratamientos de datos personales en su número 1:
“quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, …y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física”.
En su número 2, matiza inmediatamente tan rotundo alcance excepcionando 10 circunstancias, entre las que se encuentra –letra h)- la actividad de la Vigilancia de la Salud de un SPA y la finalidad de tratamiento:
“…el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador,…”
Novedades en el deber de información.
El derecho del interesado a recibir una información transparente, regulado en el artículo 5 de la actual LOPD, se ha ampliado en el nuevo RGPD, incorporando algunos detalles adicionales, que se deducen de sus artículos 12 y 13. Así, con carácter general, para empezar, la información debe suministrarse en forma concisa, transparente, inteligible y fácilmente accesible (art.12.1).
A la información básica (existencia de fichero-finalidad-destinatarios; carácter obligatorio o voluntario de la respuesta y consecuencias; ofrecimiento de derechos ARCO; criterios de conservación; identidad y datos del Responsable) se añaden los siguientes:
- datos de contacto del Delegado de Protección de Datos, cuando aplica
- base jurídica (legitimación)
- decisiones automatizadas o elaboración de perfiles
- transferencias a terceros países
Además, en una primera aproximación, merece la pena detenerse en dos aspectos adicionales:
- Relaciones entre el responsable de fichero y encargado de tratamiento
- Registro de actividades de tratamiento
Relaciones entre el responsable de fichero y encargado de tratamiento
El artículo 4 del RGPD proporciona las definiciones de ambos conceptos: por responsable de fichero se entiende la persona, física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. Y encargado de tratamiento es aquella persona, física o jurídica, autoridad pública, servicio u otro organismo que trata los datos personales por cuenta del responsable de tratamiento. Desde el lado del interesado, ya en la LOPD la distinción era más teórica que real, puesto que en ambos roles sus derechos deben ser respetados de igual modo. El Reglamento sigue esta orientación garantista y los cambios se refieren sobre todo al encargado, para quienes establece obligaciones propias que no se circunscriben al contrato de encargo suscrito con el responsable, y que pueden ser supervisadas por la autoridad de protección de datos. Así:
- deben mantener un registro de actividades de tratamiento
- deben determinar las medidas de seguridad aplicables a los tratamientos que realizan
El Reglamento también indica, por aplicación del principio de responsabilidad activa, que la elección del encargado por parte de la empresa, o autónomo que precise de un SPA si fuera el caso, debe recaer sobre aquellos entes que ofrezcan garantías suficientes en la aplicación de medidas técnicas y organizativas apropiadas. La adhesión a códigos de conducta o la certificación conforme a un estándar puede contribuir a cumplir eficazmente con esta obligación.
La suscripción de un contrato entre el SPA y los autónomos y otras personas jurídicas con las que colabore, en este caso en materia de PRL, sigue siendo obligatoria y su contenido debe atenerse a los mínimos establecidos en el artículo 28, 3. Así, debe contener el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. La AEPD ha preparado documentos de ayuda para la confección de estos contratos.
Registro de actividades de tratamiento
El registro de ficheros en la AEPD ha sido sustituido por el registro de actividades de tratamiento (articulo 30 RGPD), dada la escasa eficacia de la medida en orden a la protección de los derechos de los interesados. Podría decirse que la medida de inscripción pública se ha sustituido por una obligación de contenido muy similar, pero sin publicidad. En efecto, de acuerdo con el RGPD, tanto responsable como encargado deben registrar “por escrito inclusive en formato electrónico” un conjunto de datos, actividades y tareas descritos en los números 1 (responsables) y 2 (encargados), y debe archivarse convenientemente actualizado para mantenerlo a disposición de la autoridad de control que lo solicite. Esta obligación de registrar, siquiera sea de forma interna, no se aplica a organizaciones de plantilla inferior a 250 empleados, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales (en referencia, entre otros, a los datos de salud).