Enlazando con el informe de la semana pasada, (cuyo análisis puedes consultar aquí) pasamos hoy a analizar otro de los últimos informes publicados por parte de nuestra autoridad de control, dando respuesta en esta ocasión a la consulta sobre la comunicación al empresario por parte de las entidades que prestan un servicio de vigilancia de salud de aquellos servicios extra que los empleados tienen derecho a solicitar (como es el caso de determinadas vacunas o ampliación de determinados reconocimientos). Servicios que, por otro lado, los propios empresarios estarían obligados a abonar siempre y cuando en la factura se especifiquen los servicios extra que el trabajador ha solicitado y poder valorar que dicho servicio entra dentro del catálogo de servicios que tiene contratados.
TIPOLOGÍA DE DATOS
En consecuencia, la primera pregunta que debemos hacernos es si los datos objeto de consulta tienen la condición de datos de salud. En este sentido debemos acudir al considerando 35 del Reglamento general de protección de datos (en adelante RGPD), que nos aclara lo que debe entenderse incluido dentro del concepto “datos relativos a la salud”.
“Entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro. Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.”
Por tanto, en base a lo expuesto, los datos a que la consulta se refiere tendrán la condición de datos relativos a la salud.
LEGITIMACIÓN
Una vez dado respuesta a esta primera cuestión, lo siguiente que debemos analizar es si el empresario cuenta con una legitimación clara para que dicho tratamiento de datos personales pueda considerarse lícito. A estos efectos y partiendo de que la regla general es que quedan prohibidos los tratamientos de datos relativos de salud (artículo 9.1. RGPD), si acudimos a su apartado segundo donde contempla las excepciones a dicha prohibición, podemos decir que en relación al supuesto concreto que analizamos hoy, el mismo tendría encaje en la letra b) de dicho precepto:
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión o de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”.
De tal forma que dicho tratamiento de datos resulta preciso para el cumplimiento de las obligaciones que la legislación española impone a los empresarios en relación con los trabajadores y del que ya hemos tenido ocasión de hablar en anteriores entradas de nuestro Blog concretamente al analizar la guía sobre protección de datos y relaciones laborales publicada por la AEPD. (ver aquí y ver aquí).
En este sentido, el marco legal (que constituye la base de legitimación en virtud del artículo 6 del RGPD), viene constituido por la actual Ley 31/1995, de 8 de noviembre de Prevención de Riesgos Laborales y las disposiciones de desarrollo de dicha norma.
Dicha norma en su artículo 14 reconoce a los trabajadores el derecho a una protección eficaz en materia de seguridad y salud en el trabajo. Para su cumplimiento, establece la Ley como obligación de la empresa, la de constituir un servicio de prevención que se responsabilice de las actividades de prevención y protección de riesgos laborales. Para la realización de dicha actividad deberá contar bien con un servicio de prevención propio o contratar con un servicio de prevención ajeno debidamente acreditado.
El artículo 22 de dicha norma por su parte, regula las garantías para los intereses y derechos fundamentales de los trabajadores en la realización de tal actividad de vigilancia de la salud disponiendo entre otros extremos que el acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
No obstante, lo anterior, y es en este punto donde está el matiz, “el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.” (artículo 22.4 LPRL).
CONCLUSIONES
PRIMERA. -El artículo 22 de la Ley 31/1995, antes examinado establece el principio de “confidencialidad de toda la información relacionada con la salud”, limitando el acceso a la información médica al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud. No obstante, en su número segundo señala que el empresario será informado de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño de su puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención.
SEGUNDA. -A mayor abundamiento, el artículo 23.1 d) de la Ley 31/1995 establece que el empresario está obligado a “elaborar y conservar a disposición de la autoridad laboral” la documentación relativa a la práctica de los controles del estado de salud de los trabajadores previstos en el artículo 22 de esta Ley y a las conclusiones obtenidas de los mismos en los términos recogidos en el último párrafo del apartado 4 del citado artículo”.
Por consiguiente, el hecho de que se comunique al empresario cuales son los empleados que han efectuado los reconocimientos médicos que el empresario debe facilitar, a los efectos de abono por parte de aquél de las facturas a entidad prestadora de los servicios de prevención que ha realizado materialmente la actividad médica podría resultar legitimado en lo previsto en el artículo 9.b) del Reglamento (UE) 2016/679, siempre que resulte enmarcado en los límites fijados por lo previsto en la normativa de prevención de riesgos laborales.
No obstante, y para finalizar, debe tenerse en cuenta que todo tratamiento de datos personales debe respetar los principios recogidos en el artículo 5 del RGPD y más concretamente en dos de ellos:
1.- Principio de licitud, lealtad, y transparencia: que exige que los datos personales sean“tratados de manera lícita, leal y transparente en relación con el interesado”.(art. 5 a) RGPD)
En consecuencia, y en cumplimiento del artículo 13 del Reglamento, el tratamiento leal de los datos por parte de la empresa prestadora del servicio de prevención determina que ésta, al recabar los datos de los empleados que participan en las actividades de vigilancia de la salud, deberá informarles conforme a lo previsto en dicho precepto, lo que implica que tengan conocimiento de la comunicación de datos que vaya a efectuarse al empresario (como destinatario de los datos) y la finalidad para la que se le comunican (efectuar el pago de las facturas de los servicios extra de salud solicitados por los empleados), lo que debe expresarse en un lenguaje claro y fácilmente comprensible.
2.-Principio de minimización: que determina que los datos a tratar sean “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (art. 5. c) RGPD)
Por consiguiente, y en el caso concreto que estamos hoy analizando para los servicios extra de salud solamente en aquéllos supuestos en que sea estrictamente necesaria la comunicación de los datos relativos a qué trabajadores y a qué actividad de vigilancia se han sometido será posible efectuar aquélla, lo que deberá determinarse y ponderarse en cada caso concreto.
