Roberto L. Ferrer Serrano, Colegiado 2870 REICAZ, asociado de ENATIC
El tema de la privacidad en los reconocimientos médicos a los trabajadores se ha venido abordando bien desde la perspectiva de la prevención de riesgos laborales o bien desde la perspectiva de la protección de datos por lo que parece útil buscar un enfoque común que permita un tratamiento unitario de los conflictos que a menudo se plantean.
Los empresarios no solamente pueden tener un interés empresarial en acceder a la información médica de sus trabajadores sino que surgen para ellos obligaciones dimanantes de la propia normativa que generan a veces situaciones que los colocan en disyuntivas de compleja resolución ya que estos quedan obligado a evaluar los riesgos concretos del puesto en función de una situación médica que no conocen con exactitud, pero al mismo tiempo si no se actúa debidamente puede incurrirse en responsabilidad derivada de incumplir sus obligaciones en materia de salud laboral, atentando además contra el derecho a la integridad psicofísica del trabajador, a la cual vienen obligados ex art. 15 CE.
Para analizar las premisas fundamentales de esta situación debemos señalar que la misma viene regulada por dos normativas diferentes:
- La Ley de Prevención de Riesgos Laborales (Ley 31/1995, de 8 de noviembre) Artículo 22.1:
“El empresario garantizará a los trabajadores a su servicio la vigilancia periódica de su estado de salud en función de los riesgos inherentes al trabajo.
Esta vigilancia sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento.” Vemos pues que la norma da prevalencia al consentimiento del trabajador pero esta voluntariedad está condicionada ya que hay supuestos en los que la realización de los reconocimientos es obligatoria, por ejemplo para verificar si el estado de salud del trabajador puede constituir un peligro para el mismo, para los demás trabajadores o para otras personas relacionadas con la empresa o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
- Por otro lado es también de aplicación la Ley Orgánica de Protección de Datos de carácter personal (L.O. 15/99 de 13 de Diciembre) que regula el consentimiento para el tratamiento de datos médicos en el art 7,3 de dicha norma estableciendo:
“Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente”. Esta regla únicamente es matizada por la Ley Orgánica en su artículo 7.6 a estos efectos en la siguiente forma: “cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto…”
El nuevo Reglamento Europeo 2016/679 no ha modificado sustancialmente esta cuestión planteando en su Artículo 88 una regulación específica de los tratamientos de datos en el ámbito laboral mediante la remisión a los Estados miembros la posibilidad de establecer normas más específicas en materia de salud y seguridad en el trabajo y reforzando la obligación de transparencia del tratamiento.
De ello se desprende que la referencia al consentimiento en la Ley 3/95 de Prevención de Riesgos Laborales ha de interpretarse de forma coherente con lo dispuesto en el artículo 7 de la Ley Orgánica de Protección de Datos de carácter personal (L.O. 15/99 de 13 de Diciembre).
Esta cuestión ha sido estudiada en el Informe 648/2008 de la Agencia Española de Protección de Datos que en función de cuanto antecede, desde la perspectiva de la privacidad laboral y de las consideraciones que obran en el mismo concluye que «el único consentimiento que la Ley 31/1995 impone es que el trabajador habrá de prestar para someterse a las acciones de vigilancia de la salud, cuando éstas tengan un carácter voluntario. Sin embargo, una vez aceptado el sometimiento al reconocimiento, no será preciso que el trabajador preste un consentimiento adicional para el tratamiento.»
Creemos que el informe de la Agencia Española de Protección de Datos ha de matizarse en el sentido de añadir que el consentimiento ha de ser específico y no solamente genérico en cuanto a la amplitud del reconocimiento, tal y como afirma el art 22 de la Ley 3/95 y el art 37,3c) del Reglamento Servicios de Prevención, así como la norma técnica NTP 471 del Instituto
Nacional de Seguridad e Higiene en el Trabajo sobre “La vigilancia de la salud en la normativa de prevención de riesgos laborales” en el que se indica que «el consentimiento del trabajador no deberá ser a una vigilancia genérica sino que se basará en el conocimiento por parte del mismo del contenido y alcance de la vigilancia de la salud».
Por tanto, debemos concluir que no basta con el trabajador consienta en que se realice el reconocimiento sino que además debe conectarse ese consentimiento a que existan 3 condiciones:
- El trabajador ha debido ser informado del ámbito y alcance de las pruebas a realizar y del uso que se dará a las mismas.
- El estudio se limitará exclusivamente a los riesgos específicos derivados de su puesto de trabajo.
- El consentimiento obtenido ha tenido que ser libre en los términos especificados por el documento WP48 del Grupo de Trabajo del artículo 29 de la Directiva Europea de Protección de Datos.
Además una vez recogidos, los datos no podrán usarse para finalidades distintas para las que hubieran sido recogidos, lo que además resulta plenamente coherente con la regulación del artículo 22.4 Ley de Prevención de Riesgos Laborales que indica que:
“Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.”