miércoles, 5 de febrero de 2014

NIVEL DE SEGURIDAD ¿ALTO, MEDIO O BÁSICO? PARA DATOS DE PREVENCIÓN DE RIESGOS LABORALES (2)

En mi artículo anterior sobre la Ley Orgánica de Protección de Datos de Carácter Personal (en lo sucesivo LOPD) 15/1991 expuse  que tener datos de afiliación sindical (siempre que sean para el descuento en la nómina de la cuota de afiliación) o datos de salud (referentes al grado de minusvalía de un trabajador para su contratación o cálculo del IRPF) en nuestra empresa NO NOS ENCUADRA EN EL NIVEL DE SEGURIDAD ALTO.  Estos dos datos son una excepción que el propio Reglamento de desarrollo de la Ley contempla (Real Decreto 1720/2007) en sus artículos 81.5.a y 81.6. Podemos encontrar ejemplos muy ilustrativos en la Guía de Seguridad publicada en el año 2010 por la Agencia Española de Protección de Datos. (Para más información ver  mi artículo anterior sobre la materia).

Si lo dejáramos aquí, las visión sería parcial, ya que en un departamento de Recursos Humanos hay por lo menos dos  temas más relacionados con los datos personales que con toda seguridad tendremos, "LOS DATOS RELATIVOS A LA   PREVENCIÓN DE RIESGOS LABORALES" y los datos relativos a los procesos de selección de personal. Éste último lo trataremos en el próximo artículo.

Cuando hablo de prevención de riesgos laborales no me refiero a la evaluación en sí de los riesgos que hay en las instalaciones, si no a:


a) Datos para  la protección de las personas especialmente sensibles a determinados riesgos artículo 25 Ley de Prevención de Riesgos Laborales 31/1995 de 8 de noviembre.


<<Artículo 25.1. El empresario garantizará de manera específica la protección de los trabajadores que, por sus propias características personales o estado biológico conocido, incluidos aquellos que tengan reconocida la situación de discapacidad física, psíquica o sensorial, sean especialmente sensibles a los riesgos derivados del trabajo. A tal fin, deberá tener en cuenta dichos aspectos en las evaluaciones de los riesgos y, en función de éstas, adoptará las medidas preventivas y de protección necesarias.>>


b) Datos para realizar  la investigación de los accidentes de trabajo.


c) Vigilancia de la salud, artículo 22 de la Ley de Prevención de Riesgos Laborales de 31/1995 de 8 de noviembre. Es un artículo muy largo así que voy a reproducir solo parte de.


<<22.1. El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo. Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. De este carácter voluntario sólo se exceptuarán, previo informe de los representantes de los trabajadores, los supuestos en los que la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud de los trabajadores o para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
2. Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud.
4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.>>

Trabajadores especialmente sensibles a los riesgos derivados del trabajo:

Evidentemente a nuestro servicio de prevención deberemos entregar ese dato, un listado de trabajadores con su grado de minusvalía para que nos puedan evaluar los distintos puestos de trabajo de nuestras instalaciones en función de grado y tipo de minusvalía que tengan y de aquellos que << por sus propias características personales o estado biológico conocido>> puedan ser especialmente sensibles a determinados riesgos. Doy por supuesto que ciertos datos serán manejados por el servicio médico que será el que dirá según la evaluación de riesgos y el tipo de discapacidad o estado biológico en que puestos puede estar el trabajador o que medidas para prevenir accidentes se deben aplicar ahí. Nosotros entregamos esa información al servicio de prevención por una imposición legal. Será el médico de vigilancia de la salud el que pedirá al trabajador los datos que precise sobre su situación. Sin embargo al no aparecer esta excepción directamente mencionada en el Reglamento, ni como ejemplo en la Guía, me inclino a pensar que el fichero que contenga datos de prevención de riesgos laborales con información sobre trabajadores especialmente sensibles a determinados riesgos lo encuadra en el nivel alto de seguridad al serle de aplicación el artículo 81.3.a. del Reglamento de Desarrollo.

Quiero hacer un precisión: "Es perfectamente defendible que al ser la introducción del grado de minusvalía incidental, como ocurre en el caso del IRPF, con ese dato solo,  no estamos  encuadrados  en  el nivel alto de seguridad, si no que estamos en el nivel  básico."

Investigación de accidentes de trabajo:


Como todos sabemos cuando en una empresa se produce un accidente de trabajo tenemos que tramitar el parte de accidente a través del sistema Delta, además de la investigación interna que realicemos del accidente (ver ORDEN TAS/29262002, modelo de parte accidente Delta). Tanto en uno como en otro tenemos que meter la parte del cuerpo lesionada y la descripción de la lesión. Ya podemos estar entrando en un diagnóstico médico. Evidentemente es la Ley la que nos obliga a tratar esos datos y podríamos defender que el nivel de seguridad es el básico. Pero, al no haber una referencia expresa a este supuesto en el Reglamento me inclino a encuadrar en el nivel alto de protección a los ficheros que contengan datos sobre investigación de accidentes.



Vigilancia de la salud:


Estos datos no admiten ninguna discusión, NIVEL DE PROTECCIÓN ALTO. Ya tenga los datos la empresa, por tener un servicio de prevención propio donde incluya vigilancia de la salud (solo los médicos del servicio de prevención pueden manejar estos datos) o lo tenga externalizado con un servicio de prevención ajeno. Lo único que el empresario o personal de la empresa puedo saber es si el trabajador es APTO o NO APTO, para el desempeño de su trabajo. Lo demás es estrictamente confidencial.



Quiero hacer una precisión, cuando contratamos la prevención con un servicio de prevención ajeno, nosotros tenemos que proporcionarle una sería de datos de carácter personal de nuestros trabajadores, según mi parecer deberíamos firmar con el servicio de prevención ajeno un contrato donde figure que ellos serán los encargados del tratamiento de los datos que les proporcionamos o por lo menos debería aparecer entre las cláusulas del contrato de prestación de servicios. Otra cosa es qué consideración tienen los datos que el servicio de prevención ajeno pueda obtener de realizar la vigilancia de la salud. En este caso son los responsables del tratamiento.


<<En relación con el acceso a determinados datos de carácter
personal de los trabajadores de aquellas empresas que tengan
contratado con otra empresa el Servicio de Prevención de Riesgos
laborales, de cara a la aplicación de la normativa sobre protección de
datos de carácter personal, existirán supuestos en que es posible
considerar que ese servicio de prevención ajeno accede a los datos en
calidad de encargado del tratamiento (artículo 12 de la Ley 15/1999) y
otros serán considerados como cesiones de datos (artículos 30.3 y 23.1
de la Ley 31/1995). En este último supuesto no cabe duda que el

servicio de prevención será considerado responsable del tratamiento.>> 

Contestación de la Agencia 0608/2009.

Recapitulemos lo visto a lo largo de estos dos artículos:


1) Nivel de seguridad BÁSICO para los ficheros que contengan datos sobre nómina. Incluso cuando:


a) Aparezca datos de afiliación sindical (a los solos efectos de realizar el descuento de la cuota sindical en la nómina y la posible transferencia bancaria) .


b) Datos de salud (grado de minusvalía a los efectos de contratación y IRPF).


2) Nivel de seguridad ALTO a los ficheros que contengan datos sobre prevención de riesgos laborales (personas especialmente sensible a determinados riesgos, investigación de accidentes y  datos sobre vigilancia de la salud).





Así que al transmitir a la Agencia Española de Protección de Datos nuestros ficheros notificaremos que tenemos dos ficheros distintos con dos niveles de seguridad diferentes.




Un saludo.

JR

3 comentarios:

  1. Aportación de María sobre la posición de los servicios de prevención ajenos:

    1) En caso de contratación de las especialidades técnicas, son encargados del tratamiento.

    2) En caso de contratación de la especialidad de vigilancia de la salud, son responsables del tratamiento.

    Mi agradecimiento a María por su aportación.

    Un saludo.

    JR

    ResponderEliminar
  2. Contestación de la Agencia a mi consulta, hoy 14/02/2014 me ha llegado:

    Atendiendo a lo que acabamos de indicar, la empresa que presta el servicio de
    prevención será responsable del tratamiento de todos aquellos datos que el
    trabajador le proporcione en desarrollo de la actividad de prevención de riesgos
    laborales llevada a cabo por un servicio médico, destinado la vigilancia de la salud
    de los trabajadores de las empresas que son sus clientes, que deberán ser
    informadas de las conclusiones que se deriven de los reconocimientos efectuados
    sólo en relación con la aptitud del trabajador para el desempeño del puesto de
    trabajo.

    ResponderEliminar
  3. La Agencia dice que el servicio de prevención es RESPONSABLE DEL TRATAMIENTO de los datos que EL PROPIO TRABAJADOR LE PROPORCIONA. Eso nos puede dar pie a pensar, que respecto a los datos que la empresa le proporcione son encargados del tratamiento. Aunque estemos hablando de vigilancia de la salud. Ahora ese extremo no me lo aclaran en la consulta. Así que esperaremos a ver si alguien nos puede aportar más luz sobre el tema. Un saludo.

    ResponderEliminar