Al igual que al resto de empresas o profesionales que tratan datos personales en el ejercicio de su actividad, la nueva normativa de Protección de Datos afecta a las empresas de prevención de riesgos laborales.

Este tipo de empresas almacenan muchos datos de los trabajadores, incluso datos sensibles, y existen riesgos que pueden afectar a la intimidad de esos trabajadores.

Por ello aquí te voy a explicar las obligación de las empresas de prevención de riesgos laborales respecto al cumplimiento del RGPD y la LOPDGDD.

Responsabilidad de la empresa de PRL

Sobre la calificación de la empresa de prevención se establece que:

(…) la empresa externa que presta el servicio de prevención será responsable del tratamiento de todos aquellos datos que el trabajador le proporcione en desarrollo de la actividad de prevención de riesgos laborales llevada a cabo por un servicio médico, destinado la vigilancia de la salud de los trabajadores de las empresas que son sus clientes, que deberán ser informadas de las conclusiones que se deriven de los reconocimientos efectuados sólo en relación con la aptitud del trabajador para el desempeño del puesto de trabajo.

Ademas se recuerda que el artículo 22.4 de la Ley de Prevención de Riesgos Laborales señala que:

El acceso a la información Médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

Por lo tanto, en virtud de lo dispuesto en la citada Ley y la LOPD, salvo que se obtenga el consentimiento expreso de los trabajadores, la única información que deben de otorgar serán las relativas a las conclusiones que se deriven de los reconocimientos efectuados sólo en relación con la aptitud del trabajador para el desempeño del puesto de trabajo.

Las empresas de prevención de riesgos laborales limitarán la información a otorgar a sus clientes.

Obligaciones exigidas por el RGPD

Para cumplir el RGPD, la empresas de prevención de riesgos laborales deben llevar a cabo las siguientes actuaciones:

Analizar los datos que manejan

En primer lugar, estas empresas deben analizar qué tipo de datos personales aparecen en sus documentos y a los que los técnicos de prevención tienen acceso. Estos documentos son:

  • Aptos de vigilancia de la Salud y expedientes médicos (si incluyen la Vigilancia de la salud).
  • Historia clínica del trabajador (cuando lleven también la especialidad de Medicina en el Trabajo).
  • Títulos de formación.
  • Investigación de accidentes.
  • Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
  • Registros de entrega de EPIs.
  • Documentación de Coordinación de Actividad Empresarial de diferentes empresas (títulos de formación, aptos, e incluso TCs).
  • Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud, y de formación).

Y los datos que se contienen en ellos van desde el nombre, teléfono y dirección del trabajador, hasta datos de salud o bancarios.

Aplicar medidas de seguridad

Aunque ahora ya no se clasifican los ficheros de datos según su nivel de seguridad en básicos, medios o altos, sí se establece la obligación de que el responsable del tratamiento adopte las medidas de seguridad adecuadas para impedir o tratar de reducir los riesgos que puedan surgir del tratamiento de esos datos.

Analizar los riesgos

Para poder adoptar las medidas de seguridad adecuadas es necesario realizar antes un análisis de riesgos que determine los riesgos asociados a cada tratamiento. Y se analizarán también las medidas de seguridad que estábamos aplicando para determinar si son correctas o debemos modificarlas.

En el análisis de riesgos debemos responder a preguntas como:

  • ¿Comunicamos a terceros los datos que manejamos?
  • ¿Utilizamos tecnología invasiva para la privacidad en el tratamiento?
  • ¿Almacenamos datos considerados especialmente protegidos?
  • ¿Vamos a usar los datos recabados para realizar actividades de marketing?

A la hora de realizar ese análisis de riesgos debe tenerse en cuenta también el tipo de datos almacenados, el número de afectados o la variedad de tratamientos que la empresa vaya a realizar.

Realizar una Evaluación de impacto

Como indicaba anteriormente, las empresas de prevención de riesgos laborales que realicen también una vigilancia de la salud de los trabajadores, disponen de datos médicos de esos empleados. Al ser datos especialmente protegidos, es necesario que se realice una Evaluación de impacto que, según el RGPD, consiste en valorar los riesgos que el tratamiento a realizar pueden suponer para la protección de esos datos. Y, según los riesgos detectados, se aplicarán las medidas de seguridad que los reduzcan o eviten.

No se considera dato de salud la información facilitada a la empresa sobre la aptitud o no de ese trabajador para desempeñar las tareas asignadas. Pero si ese dato va asociado a otros como, por ejemplo, una minusvalía o enfermedad crónica que necesite una adaptación del puesto de trabajo, sí se considerará como dato de salud.

Solicitar el consentimiento para el tratamiento

En el ámbito del consentimiento existe una novedad importante respecto a la anterior normativa. Y es que, tanto el RGPD como la LOPDGDD que lo desarrolla en nuestro país, exigen un consentimiento expreso de los afectados para poder tratar sus datos personales. Es decir, el consentimiento tácito ya no es válido.

El trabajador debe manifestar expresa y claramente su voluntad de que acepta que dicha empresa almacene y trate sus datos personales.

Informar a los afectados

Para solicitar su consentimiento expreso, la empresa de PRL debe informar claramente a los trabajadores sobre el tipo de datos que van a guardarse, la finalidad del tratamiento, si van a cederse a terceros o transferirse a otros países y cómo pueden ejercer sus derechos de acceso, rectificación, cancelación, oposición, limitación o portabilidad.

La ley de Prevención de riesgos laborales permite la comunicación de los datos de los trabajadores a los delegados de prevención, a la inspección de trabajo, a la autoridad sanitaria y a la autoridad laboral. Según esta ley, los delegados de prevención deben ser informados sobre los daños producidos en la salud de los trabajadores pudiendo conocer las circunstancias que los produjeron.

Estos, al ser cesionarios de esos datos personales, tienen la obligación de cumplir también lo exigido por la normativa de Protección de Datos. Principalmente deben cumplir el deber de secreto.

Procedimiento para notificar las brechas de seguridad

Siguiendo las obligaciones impuestas por el RGPD, la empresa de PRL debe establecer un procedimiento para notificar cualquier incidente de seguridad sufrido que afecte a la información almacenada. Se exige esta notificación tanto a los afectados como a la AEPD en un plazo de 72 horas.

Nombrar un Delegado de Protección de Datos

Al disponer de datos sensibles, puede ser necesario que estas empresas de PRL necesiten un Delegado de Protección de Datos, según el volumen de datos que manejen. No obstante, tienes más información sobre los casos en los que debe nombrarse un DPO en este post redactado hace unos meses.

Régimen sancionador

Otra de las principales novedades establecidas en el RGPD y adaptada a nuestro país con la LOPDGDD se refiere al régimen de sanciones a imponer en casos de incumplimiento.

Con la anterior normativa, el importe máximo de las sanciones era de 600.000 euros pero ahora pasa a ser de 20 millones de euros o el 4% del volumen de facturación anual total de la empresa.

Una locura, ¿verdad?

Por eso es muy importante que empieces cuanto antes a adaptarte a esta normativa, ¡no lo dejes más!

Vota este artículo

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.