Prevención de riesgos laborales y protección de datos en la empresa

prl_lopd

Por Lorea Roncal Gainza

Toda empresa está obligada a garantizar, por si misma o mediando terceros prestadores de servicios, la seguridad y vigilancia de la salud de los trabajadores que forman parte de aquella.

En calidad de tercero prestador de servicios, nos referimos a las empresas de prevención de riesgos laborales, si bien, ¿Qué responsabilidad tienen estas empresas respecto a los datos a los que acceden? ¿Y respecto a aquellos datos generados a partir de ese acceso?

Son múltiples y variados los informes (Informe 189/2008, Informe 0299/2009), y recomendaciones que la Agencia Española de Protección de Datos ha hecho al respecto, consciente de la, si no problemática, sí curiosa y compleja situación a la que nos enfrentamos en estos supuestos.

Analizando la casuística paso a paso podemos decir que;

1º.- La empresa a la que se presta el servicio de prevención de riesgos laborales es titular de una serie de ficheros, entre otros, aquel correspondiente a datos de sus empleados (nominas, recursos humanos y prevención de riesgos laborales).

2º.- Es necesario que la prestadora de servicios de prevención de riesgos laborales acceda a, y consecuentemente se le faciliten, los datos de los trabajadores correspondientes a: nombre completo, DNI, puesto de trabajo y número de la seguridad social. Si bien estos datos requieren unas medidas de seguridad básicas, el tema, y su complejidad comienzan con la información generada a partir de estos datos y sobre quien recae la responsabilidad de custodia de aquella.

3º.- A partir de aquí, la empresa prestadora de servicios de prevención de riesgos laborales generará una serie de datos de salud recopilados en historias clínico laborales originados como consecuencia de reconocimientos médicos y pruebas realizadas a los trabajadores. Por definición, estas historias, estos datos de salud, requieren de las medidas de seguridad de nivel alto, tal y como quedan definidas en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal.

Tras el supuesto de hecho expuesto, retomamos las cuestiones formuladas al comienzo ¿Quién es responsable de las historias clínico laborales generadas? ¿Y a qué accede la empresa a la que pertenecen estos trabajadores de cuya vigilancia de la salud nos encargamos?

Pues bien, la empresa prestadora de los servicios de prevención de riesgos laborales será la responsable de dichas historias; Por tanto, la obligatoriedad de guarda y custodia, e implantación de las medidas legalmente estipuladas, independientemente del soporte utilizado (Automatizado o soporte papel), recaerán cobre ella, siendo así que la empresa a la que pertenezcan los trabajadores únicamente podrá tener acceso al resultado de los reconocimientos efectuados, limitándose a si el trabajador es APTO o NO APTO para el puesto y funciones a desempeñar, y no a datos relacionados con su historial clínico laboral.

Estará en manos de la empresa prestadora de los servicios de prevención de riesgos laborales la metodología a utilizar en la implantación de las medidas de seguridad que la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal y su Reglamento de desarrollo requieren. Es decir, en cuanto a las medidas de seguridad informática estas historias podrán, o bien ser archivadas en una unidad facilitada por la empresa principal con acceso limitado y restringido de forma exclusiva al personal sanitario que presta los servicios de prevención de riesgos laborales, o bien estar centralizadas en servidores propios de la empresa de prevención de riesgos laborales, trabajando con conexiones seguras mediante soportes/unidades portátiles desde cada empresa donde se prestan dichos servicios de prevención de riesgos laborales; hablamos en este segundo supuesto de una centralización de datos. Objetivamente, esta segunda opción es más segura, no solo en la limitación de accesos sino también en la elaboración de copias de seguridad, elaboración de perfiles e identificación de usuarios, y demás medidas de seguridad informática exigidas.

En cuanto a los soportes no automatizados, las historias clínico laborales en papel, será del mismo modo responsable empresa prestadora de los servicios de prevención de riesgos laborales de la custodia y seguridad de aquellas ubicaciones (Sean habitaciones/almacenes establecidos al efecto, sean armarios) donde sean almacenadas, siendo recomendación del Departamento de salud laboral, que estas historias, por seguridad, estén los locales de la empresta prestadora de los servicios de prevención de riesgos laborales y no en las empresas (a excepción de los servicios de prevención propios)

En congruencia con todo lo anteriormente expuesto, y tratando de aclarar quién ocupa qué figura en el tratamiento de datos referido, será la empresa prestadora del servicios de prevención de riesgos laborales la Responsable de fichero, en lo referente a las historias clínico laborales de los trabajadores, en cuanto que el tratamiento de datos lo realiza ésta directamente cumpliendo por partes iguales con la normativa de prevención de riesgos laborales y protección de datos.

El Observatorio

El Observatorio Iberoamericano de Protección de Datos, nace como una iniciativa personal, sin ánimo de lucro, de Daniel A. López Carballo, como foro de encuentro, donde poder compartir comentarios, ideas y conocimientos, en el ámbito de la privacidad, protección de datos y habeas data, sobre los diferentes países iberoamericanos.