Conócenos

PROTECCIÓN DE DATOS

La gestión de datos personales en la PRL y la aplicación de la LOPD

Por Pedro Valentín Quintana González

  • Imprimir

Pedro Quintana

La Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) en su articulado señala cuales son las obligaciones del empresario para garantizar la seguridad y salud de los trabajadores a su cargo, y dentro de estas obligaciones esta la documentación que debe elaborar y conservar el empresario. Una relación de la documentación obligatoria que cualquier empresa debe disponer en materia de PRL es la siguiente:

  • Plan de prevención de riesgos laborales.
  • Informes de evaluación de los riesgos para la seguridad y la salud en el trabajo.
  • Registros de los controles periódicos de las condiciones de trabajo y de la actividad de los trabajadores.
  • Registros de la planificación de la actividad preventiva.
  • Registros de la práctica de los controles del estado de salud de los trabajadores y de las conclusiones obtenidas de los mismos (Vigilancia de la Salud).
  • Registros con la relación de daños a la salud ocasionados a los trabajadores (accidentes de trabajo y enfermedades profesionales), y la investigación de sus causas.
  • Registros de la Información y formación proporcionada sobre PRL a los trabajadores.
  • Registros de las actividades de coordinación de actividades empresariales. 

Esta documentación contiene a menudo datos de carácter personal, como son:

  • La identificación de los puesto de trabajos existentes o de las actividades realizadas en el mismo y de los trabajadores que los ocupan o las realizan.
  • Antigüedad en el puesto de trabajo.
  • La formación en PRL impartida a los trabajadores con identificación de los mismos.
  • Datos personales relativos al estado de salud del trabajador de carácter muy sensible. 

La estructura organizativa de la empresa encargada de la PRL es la encargada de recabar los datos y de elaborar la documentación arriba indicada. Dicha estructura está formadas por muy diversas modalidades organizativas. La propia LPRL recoge en su articulado las siguientes modalidades preventivas:

  • La asunción personal por el empresario.
  • Los trabajadores designados por el empresario para desarrollar la actividad preventiva.
  • Los Servicios de Prevención Propios y Mancomunados.
  • Los Servicios de Prevención Ajenos. 

Estas diferentes modalidades de organización preventivas en la empresa pueden ser de un solo tipo o pueden convivir más de un tipo al mismo tiempo, y dependerá que sea una, otra o más de una a la vez tanto de la actividad de la empresa, de su tamaño, y de los requisitos que debe cumplir de acuerdo con lo indicado en la LPRL. A su vez, de esta organización preventiva forman parte diversos perfiles de los profesionales, como son el personal administrativo, los directivos, los técnicos de PRL, el personal sanitario, etc... 

La condición de responsable del fichero o del tratamiento varía según la modalidad organizativa adoptada. Así, un empresario que recurra a las modalidades de asunción personal por el empresario, trabajadores designados o servicio de prevención propio, será la propia empresa la responsable del fichero que se genere para la gestión de la prevención. 

Los servicios de prevención ajenos, en cambio, tienen la consideración de responsables del tratamiento de los datos obtenidos, pero solo al objeto de la prestación de sus servicios profesionales a las empresas que han recurrido a sus servicios, no pudiendo ceder estos datos a terceros salvo con la autorización de estas o bajo ciertos supuestos legales de cesión no consentida. 

Con carácter general respecto a los datos personales necesarios para la gestión de la PRL, la LOPD señala con respecto a los datos de carácter personal que han sido facilitados por los trabajadores con este fin a la empresa o a los servicios de prevención ajenos, su cesión o comunicación a un tercero solo podrá hacerse para el cumplimiento de fines directamente relacionados con las funciones legítimas del que la cede y del que la recibe con el previo consentimiento del interesado en dichos datos personales. Este consentimiento no será necesario en los supuestos contemplados de la posible cesión no consentida de los datos cuando una norma con rango de Ley así lo disponga, como son los datos necesarios para elaborar la documentación que expresamente están recogidos en la LPRL y que anteriormente hemos citado. 

En el caso particular de los datos relativos al estado de salud del trabajador, tienen un régimen jurídico de protección alta en la LOPD y por ello solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga la LPRL o el afectado consienta expresamente y únicamente para su uso pleno por personal sanitario expresamente autorizado. 

A destacar que el hecho de que la cesión de los datos personales cuando es el empresario responsable de los mismos, aún en los casos que legalmente no requieran necesariamente el consentimiento de los trabajadores, no le exime de la obligación de informar al trabajador de los destinatarios de las cesiones de sus datos, así como del tratamiento realizado por el receptor de los mismos según indica la LOPD. 

Si el tratamiento de estos datos personales no se hace de forma correcta de acuerdo a la LOPD el empresario puede recibir las siguientes sanciones:

  • Infracción leve ( 601,01 € y 60.101,21 €): el recopilar datos personales sin informar previamente.
  • Infracciones graves (60.101,21 € y 300.506,25 €): no tener el consentimiento del interesado para recabar sus datos personales y tratar datos especialmente protegidos sin la autorización del afectado.
  • Infracción muy grave (300.506,25 € y 601.012,1 €): la comunicación o cesión de datos cuando esta no esté permitida. 

Los destinatarios de la cesión consentida de los datos personales contenidos en la documentación necesaria para la gestión de la PRL pueden ser:

  • Personal de las administraciones y autoridades públicas con atribuciones en PRL, que necesitan acceso a la misma cuando lo requiera para comprobar el cumplimiento de las obligaciones legales en PRL.
  • Las autoridades sanitarias respecto a la documentación relativa a la vigilancia de la salud.
  • Los representantes de los trabajadores con atribuciones en PRL.
  • Personal de los servicios de prevención (externos o internos) e integrantes de la empresa con responsabilidades preventivas en razón de su trabajo o de sus atribuciones en PRL.
  • Las mutuas de accidentes de trabajo y enfermedad profesional (MATEPS).
  • Miembros de las organizaciones preventivas de otras empresas como consecuencia de la concurrencia de trabajadores y actividades realizadas en un mismo lugar de trabajo y la necesidad de cumplir con las obligaciones legales de comunicación en coordinación de actividades empresariales. 

Todos ellos en razón de su cargo y responsabilidad atribuida en materia de PRL necesitan acceder y consultar la documentación de PRL mencionada al principio de este artículo, y por tanto acceder a los datos personales contenidos en la misma. 

Respecto a los datos relativos al estado de salud de los trabajadores, esta habilitación legal plena de acceso a los mismos está restringida a las autoridades sanitarias y personal sanitario de los servicios médicos de empresa, de los servicios de prevención y de las MATEPS, y solo en razón de su trabajo o responsabilidad atribuida. 

El empresario, los miembros de la empresa con responsabilidades en materia de prevención, los técnicos no sanitarios de servicios de prevención y los representantes de los trabajadores con atribuciones en PRL solo serán informados de las conclusiones que se deriven de los reconocimientos médicos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva. Pero como hemos dicho, en cualquier caso siempre existe la obligación de informar al trabajador afectado de que sus datos son cedidos a un tercero. 

A su vez, todos estos destinatarios de la documentación necesaria para la gestión de la PRL que contienen datos personales, están sometidos a la obligación del sigilo profesional acerca de los mismos. Solo los pueden utilizar para los fines previstos y autorizados legalmente en función de sus diferentes responsabilidades y atribuciones en PRL, no pudiendo divulgarlos ni difundirlos con otros fines distintos sin autorización expresa de los interesados.  

Un caso especial en la cesión de datos relacionados con la gestión de la PRL lo tenemos en la obligación legal de coordinación de actividades empresariales. En este caso y como indica la LPRL, todos los empresarios concurrentes con trabajadores presentes en un mismo centro de trabajo deben intercambiar entre si la información necesaria para evitar que los riesgos que generan las actividades de cada una de las empresas no afecten a los trabajadores de las otras. 

De entre las empresas concurrentes es especialmente el llamado empresario o contratista principal quien debe gestionar una gran cantidad de registros ajenos a su organización que contienen datos personales, por su deber de vigilancia como contratista del cumplimiento por sus subcontratistas de las obligaciones sujetas a responsabilidad civil subsidiaria. Y es por ello quien debe ser especialmente escrupuloso en dicha gestión en cumplimiento de la LOPD. 

Estas cesiones de datos en este caso están amparadas tanto por el Estatuto de los Trabajadores como la LPRL. Esto es así al tratarse tanto de registros documentales relativos al cumplimiento de los subcontratistas con respecto a sus trabajadores respecto a sus deberes en PRL (evaluación de riesgos, medidas preventivas aplicadas, formación e información en PRL y vigilancia de la salud de los trabajadores) como de otros registros que no tienen que ver con la LPRL pero si con otras obligaciones sociales y tributarias de los subcontratistas con respecto a sus trabajadores. Obligaciones, como hemos dicho, sujetas todas ellas a responsabilidad civil subsidiaria por parte del contratista principal. 

En cualquier caso, los datos cedidos por los empresarios concurrentes serán los estrictamente necesarios para comprobar el cumplimiento de las obligaciones antes citadas, evitando la difusión de datos tan personales como los datos sobre su estado de salud (salvo el apto o no apto al puesto de trabajo) o datos relativos al nivel y volumen de ingresos percibidos por los trabajadores que no son necesarios para verificar el cumplimiento de las obligaciones derivadas antes mencionadas. 

Para quien quiera profundizar más en este tema relativo al cumplimiento de la LOPD en la gestión de la PRL, lo puede hacer consultando la Guía sobre la protección de datos en las relaciones laborales editada y publicada en su web por la Agencia de Protección de Datos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Nace Alastria, la primera red nacional de blockchain del mundo con presencia del sector jurídico

Cerca de 70 instituciones y empresas de sectores como la banca, la energía y las telecomunicaciones, entre otros, han constituido el consorcio sin ánimo de lucro Alastria, la primera red nacional regulada basada en blockchain del mundo, que tiene como objetivo el desarrollo del ecosistema de esta tecnología en España.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17