Planteamiento
Una Corporación recibe de una empresa el servicio de revisiones médicas anuales. A efectos de preparar la nueva licitación necesitaríamos saber, ¿cuál es el tratamiento que debe aplicarse en relación a la protección de datos médicos de los empleados?
- ¿Debe tener acceso la Corporación a estos datos como responsable del tratamiento?
- En caso contrario, ¿cómo debe formularse el Pliego Administrativo para trasladar estos datos de una empresa a otra?
- ¿Debe la empresa anterior eliminar los datos una vez formalizado el contrato con la nueva empresa?
Respuesta
En primer lugar, los datos médicos de los empleados tienen la consideración de datos personales siguiendo el art.4.15) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) –RGPD-:
- “15) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.
Además, el art.5.1.a) del RGPD establece que todo tratamiento de datos personales se someterá a los principios de licitud, lealtad y transparencia.
Por tanto, para efectuar el tratamiento de estos datos deberán darse alguna de las circunstancias previstas en el art.6.1 RGPD:
- “1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
- f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
- Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”.
Asimismo, de acuerdo con el art.9 RGPD:
- “1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. 2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes: h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3”.
En cuanto a la legitimación para el tratamiento de datos de revisiones médicas anuales, el art. 22 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales -LPRL- dispone que:
- “1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.
- Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. De este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
- En todo caso se deberá optar por la realización de aquellos reconocimientos o pruebas que causen las menores molestias al trabajador y que sean proporcionales al riesgo.
- 2. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
- 3. Los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados.
- 4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.
- El acceso a la información médica de carácter personal se limitará al personal médico y a las Autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.
- No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.
- 5. En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deberá ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.
- 6. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por personal sanitario con competencia técnica, formación y capacidad acreditada”.
De lo dispuesto en el precepto se desprende que será preciso el consentimiento del trabajador, como regla general, para la realización de las acciones de vigilancia de la salud y los resultados de la vigilancia a que se refiere el apartado anterior serán comunicados a los trabajadores afectados. No obstante, lo anterior, el ayuntamiento será informado de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención.
Así, siguiendo Informe 0206/2010 de la Agencia Española de Protección de Datos -AEPD-:
- “Las consecuencias de este precepto afectan, obviamente al alcance de la información a la que podrá tener acceso cada uno de los agentes involucrados en las acciones de vigilancia de la salud, pero al mismo tiempo delimita los supuestos en los que la Ley legitima el tratamiento de estos datos de salud sin contar con el consentimiento del interesado; es decir, los supuestos en los que el mencionado consentimiento quedará exceptuado por así preverlo una norma con rango suficiente. Así, una vez efectuadas las acciones de vigilancia de la salud, el acceso y tratamiento de los datos de carácter personal relacionados con la práctica de los reconocimientos podrá realizarse sin consentimiento del interesado por el personal médico que realiza aquéllos, pudiendo además ser objeto de comunicación a las autoridades sanitarias. En los restantes supuestos, la cesión de los datos quedará vedada salvo que el trabajador así lo consienta expresamente”.
En consecuencia, la corporación no debe tener acceso a estos datos.
Por tanto, el Pliego Administrativo deberá formularse de tal forma que contenga el objeto del contrato del servicio de revisiones médicas anuales, advirtiendo de que en todo caso se respetará el principio de confidencialidad previsto en la normativa respetando, a su vez, la LO 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPD- y el RGPD.
Igualmente, los datos que se le comunican al ayuntamiento por parte de la empresa del servicio de revisiones médicas, suelen efectuarse en términos de aptitud o no aptitud, siguiendo lo dispuesto en la LPRL.
Por último, respecto a si la empresa anterior debe eliminar los datos una vez formalizado el contrato con la nueva empresa, el art. 23 LPRL:
- “1. El empresario deberá elaborar y conservar a disposición de la autoridad laboral la siguiente documentación relativa a las obligaciones establecidas en los artículos anteriores:
- a) Plan de prevención de riesgos laborales, conforme a lo previsto en el apartado 1 del artículo 16 de esta ley.
- b) Evaluación de los riesgos para la seguridad y la salud en el trabajo, incluido el resultado de los controles periódicos de las condiciones de trabajo y de la actividad de los trabajadores, de acuerdo con lo dispuesto en el párrafo a) del apartado 2 del artículo 16 de esta ley.
- c) Planificación de la actividad preventiva, incluidas las medidas de protección y de prevención a adoptar y, en su caso, material de protección que deba utilizarse, de conformidad con el párrafo b) del apartado 2 del artículo 16 de esta ley.
- d) Práctica de los controles del estado de salud de los trabajadores previstos en el artículo 22 de esta Ley y conclusiones obtenidas de los mismos en los términos recogidos en el último párrafo del apartado 4 del citado artículo.
- e) Relación de accidentes de trabajo y enfermedades profesionales que hayan causado al trabajador una incapacidad laboral superior a un día de trabajo. En estos casos el empresario realizará, además, la notificación a que se refiere el apartado 3 del presente artículo.
- 2. En el momento de cesación de su actividad, las empresas deberán remitir a la autoridad laboral la documentación señalada en el apartado anterior”.
En relación con el art.30.3 LPRL:
- “3. Para la realización de la actividad de prevención, el empresario deberá facilitar a los trabajadores designados el acceso a la información y documentación a que se refieren los artículos 18 y 23 de la presente Ley”.
Por tanto, al producirse un cambio de empresa para la prestación del servicio de revisiones médicas anuales, podría comunicarse los datos a la nueva empresa y no necesariamente ser eliminados, teniendo en cuenta el principio de minimización de datos y limitación de la finalidad reconocidos en el art. 5 RGPD, es decir, únicamente serán tratados los datos precisos para cada uno de los fines del tratamiento y que dichos datos no serán tratados ulteriormente de manera incompatible con sus fines.
Conclusiones
1ª. Los datos médicos tienen la consideración de datos personales según el RGPD.
2ª. La corporación no debe tener acceso a estos datos siguiendo la LPRL, sí lo tendrá el personal médico.
3ª. Para trasladar los datos de una empresa a otra, el Pliego Administrativo deberá advertir de la sujeción al principio de confidencialidad previsto en la normativa respetando, a su vez, la LOPD y el RGPD.
4ª. Una vez finalice el contrato, sería conveniente que la empresa anterior comunicara los datos a la nueva empresa teniendo en cuenta el principio de minimización de datos y limitación de la finalidad, sin que sea necesaria su eliminación.