En el funcionamiento de cualquier empresa existen determinados imperativos legales de obligado cumplimiento, entre otros la Ley Orgánica de Protección de Datos de Carácter Personal y la Prevención de riesgos laborales, pero ¿cómo aplicar la LOPD sin romper con la confidencialidad que supone la implantación de las medidas de seguridad y vigilancia de la salud de los trabajadores en una empresa determinada?
Comencemos por el principio. Una empresa puede encontrarse en dos situaciones diferentes respecto a la aplicación de las medidas mencionadas:
- Prestación del servicio por parte de una empresa externa, un tercero.
- Prestación del servicio de prevención de riesgos laborales por parte de personal interno y dependiente de la propia empresa.
Pudiera parecer que en el segundo caso el tema queda simplificado, dado que el personal responsable de la vigilancia de la salud es personal contratado por la misma empresa en la que presta el servicio, sin embargo, nada más lejos de la realidad.
¿Cuál es la relación existente entre PRL y LOPD en los supuestos mencionados?
Esta relación se basa en el pilar fundamental de que, tanto la empresa contratante del servicio, como la empresa prestadora del mismo, son frente a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, responsables de fichero; cada una en el segmento o ámbito que le afecta, y en cuanto a la generación de datos que cada una recoge, pero ¿Qué es lo que esto quiere decir?
Bien, la empresa contratante del servicio será responsable de, entre otros, los ficheros correspondientes a trabajadores, nóminas, empleados y similares, recogiendo en tales ficheros datos básicos de contacto, categoría, funciones, nº de la seguridad social, antigüedad, salario….Siendo la empresa prestadora del servicios de PRL la responsable de fichero en cuento a los datos que ésta genera como son, las historias médicas de todos y cada uno de los trabajadores de la empresa en al que presta el servicio.
¿Podrían compartir fichero y, por tanto, responsabilidad en cuanto a los datos de salud de los trabajadores con los que se trabaja?
Si bien ambos son responsables de fichero, lo son cada uno en su ámbito, habiendo una línea muy fina que vincula ambos ficheros, y a ambas empresas; esto es, la condición de APTO o NO APTO del trabajador. Ésta será la única información que la empresa contratante estará legitimada a visionar del trabajador.
En congruencia con lo expuesto, es la empresa de PRL la responsable del fichero de historias clínicas de los trabajadores, y la responsable de adaptar y aplicar todas las medidas de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal que la desarrolla en la información concerniente a la salud de los trabajadores de la primera.
¿Cuándo podrá acceder la primera a la información más allá de la condición de apto o no apto del trabajador?
Cuando medie requerimiento judicial al respecto, cuando las autoridades competentes en la materia, tipo Inspección de salud laboral, en base a un fundamento jurídico legítimo, los soliciten.
Requisitos básico para ambas empresas será la suscripción de un contrato de prestación de servicios en el que quede incardinada la regulación pertinente de protección de datos , y en el que quede claro qué figura ocupa cada empresa, situándose en las posiciones de responsable de fichero y encargado de tratamiento de forma cruzada; esto es, la empresa contratante con respecto a los datos como trabajador de sus trabajadores será responsable, siendo la empresa de PRL encargada en cuanto al acceso a los datos básicos de aquellos, pero responsable de fichero de los trabajadores en su calidad de pacientes, y figurando la empresa contratante como encargado de tratamiento con respecto a la calidad de apto o no apto de sus trabajadores.
Con la finalidad de justificar, o cuanto menos esclarecer lo dicho a lo largo del presente, recomendamos la lectura de algunos de los informes de la Agencia Española de Protección de Datos (Informe 189/2008, Informe 0299/2009), así como recomendaciones de la misma al respecto de esta situación, que si bien no es tanto problemática la situación a la que nos enfrentamos en estos supuestos, como sí curiosa y compleja, en ocasiones.
Foto de Steve Davidson bajo Licencia Creative Commons 2.0
