Comunicaciones de datos de salud en el entorno laboral Pamplona, 16 de marzo de 2011

1. SEMINARIO SOBRE PROTECCIÓN DE DATOS EN SALUD LABORAL Comunicaciones de datos de salud en el entorno laboral Pamplona, 16 de marzo de 2011 María José Blanco Antón Subdirectora General del Registro General de Protección de Datos

2. Marco normativo de protección de datos • Directiva de Protección de Datos (Directiva 95/46/CE) • Ley Orgánica 15/1999, de Protección de Datos de carácter personal (LOPD) • Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007 (RLOPD) • Instrucciones, Resoluciones e Informes Jurídicos de la Agencia Española de Protección de Datos www.agpd.es

3. Marco normativo sectorial • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales • Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente • Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores • Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención

4. Artículo 5.1.f) RLOPD • Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Artículo 5.1.g) RLOPD • Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

5. Datos especialmente protegidos: (art. 7 LOPD) Ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual. • Consentimiento • Expreso y por escrito – datos de afiliación sindical, religión y creencias • Expreso o disposición legal – origen racial, salud o vida sexual • No es posible la existencia de ficheros • Que contengan datos de ideología, afiliación sindical, religión, origen racial, salud o vida sexual • Con la única finalidad de su almacenamiento

6. Obligaciones del responsable de ficheros o tratamientos de datos de carácter personal • Proceder a la creación de los ficheros y notificarlos al Registro General de Protección de Datos: • Disposición general publicada en el diario oficial correspondiente (art. 20 LOPD y 54 RLOPD) • NOTA • Cumplir los principios de protección de datos: • Adecuación y pertinencia • Finalidad de la recogida de los datos • Exactitud de los datos • Comunicación de datos

7. Obligaciones del responsable de ficheros o tratamientos de datos de carácter personal • Informar a los titulares en la recogida de éstos • Obtener el consentimiento • Facilitar y garantizar el ejercicio de los derechos ARCO • Prestaciones de servicios: encargado del tratamiento • Garantizar la seguridad: • Medidas de seguridad • Deber de secreto • Conservación de los datos

8. Ámbito laboral, comunicaciones de datos de salud del trabajador • Legitimación para el tratamiento • Consentimiento del trabajador • Ley, incluyendo las obligaciones legales previstas en el derecho laboral • No será suficiente la mera existencia de una relación contractual entre el trabajador y la empresa • Datos de salud: Posibles supuestos • Tratamiento de datos referidos a consumos de alcohol y estupefacientes • Tratamientos para el control de la “salud laboral” y prevención de riesgos laborales • Tratamientos para el pago de salarios o indemnizaciones en caso de accidente laboral o enfermedad profesional • Tratamiento para control del absentismo

9. Ámbito laboral, comunicaciones de datos de salud del trabajador • Ley 31/1995, de Prevención de Riesgos Laborales • Obliga a que las empresas cuenten con un servicio de prevención (“salud laboral”) • Establece determinadas reglas referidas al seguimiento de la salud de los trabajadores (Acciones de vigilancia de la salud) • Obligación para el empresario • Obligación para el trabajador de someterse a los controles en determinados casos • Delimita el acceso por el empresario a datos de salud de los trabajadores • Especifica una serie de deberes de conservación y comunicación de los datos de salud (“historia clínica laboral”)

10. Ámbito laboral, comunicaciones de datos de salud del trabajador • Principio general (art. 14 LP) • Los trabajadores tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo. • El citado derecho supone la existencia de un correlativo deber del empresario de protección de los trabajadores frente a los riesgos laborales. • El empresario deberá garantizar la seguridad y la salud de los trabajadores a su servicio en todos los aspectos relacionados con el trabajo. • Obligación de constitución de un servicio de prevención (art. 30). • Modalidades: servicios de prevención propios (“servicios sanitarios en la empresa” , ajenos o mancomunados • Implica una legitimación para el acceso a los datos identificativos de los trabajadores para garantizar la “salud laboral”.

11. Ámbito laboral, comunicaciones de datos de salud del trabajador • Acciones de vigilancia de la salud (art. 22 LP, desarrollo art. 37 RSP) • Regla general: carácter voluntario. Legitimación basada en el consentimiento del trabajador • “Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento” • Supuestos especiales, basados en la naturaleza de la actividad. Carácter Obligatorio. Legitimación basada en la Ley • Enumeración • Necesidad de evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores • Verificación de si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa • Previsión legal expresa • Cuestiones relevantes • Decisión empresarial • Debe ser informada por los representantes de los trabajadores

12. Ámbito laboral, comunicaciones de datos de salud del trabajador • Acceso a los datos de salud por el personal no sanitario de la empresa • Resultados: El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador • Conclusiones: El empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo • Doctrina AN (SAN 31/1/2008): “(...) no puede, desde luego, identificarse con la remisión integra del informe, pues la propia Ley se encarga de definir, en los términos expuestos, lo que ha de entenderse por conclusiones en el sentido de incluir todo lo que resulte relevante para la aptitud del trabajador para el desempeño de su puesto de trabajo, o para la adopción de medidas de prevención.”

13. Ámbito laboral, comunicaciones de datos de salud del trabajador • Acceso a los datos de salud por el personal sanitario de la empresa • Debe conocer las enfermedades que se produzcan entre los trabajadores y las ausencias del trabajo por motivos de salud • Identificar cualquier relación entre la causa de la enfermedad y los riesgos del lugar de trabajo

14. Ámbito laboral, comunicaciones de datos de salud del trabajador • Otros posibles accesos a los datos de salud: • Autoridad laboral • Alcance • Resultados de vigilancia de la salud • Conclusiones de vigilancia de la salud • Accidentes y enfermedades que impliquen una IL superior a un día • Proporcionalidad y seguridad • En caso de servicio propio la comunicación desde los servicios sanitarios, nunca a través de otras dependencias del empresario • Delegados de prevención • Función de vigilancia y control • Acceso a la información a disposición de la autoridad laboral (art 36.2 d) LPRL) • Aplicación del principio de proporcionalidad (datos relacionados con la gravedad y naturaleza de los daños de salud producidos en el entorno laboral) • Deber de secreto