El informe 391/2006 de la Agencia Española de Protección de Datos (AEPD) aborda las dudas sobre el tratamiento y comunicación de datos entre entidades que desarrollan actividades de prevención de riesgos laborales cuando se produce un cambio en el servicio de prevención. También se analiza la responsabilidad del fichero que contiene los datos relativos a la vigilancia de la salud de los trabajadores.
La Ley 31/1995 de Prevención de Riesgos Laborales establece que las empresas deben constituir un servicio de prevención para garantizar la salud de los trabajadores. Este servicio puede ser propio o contratado con una entidad externa acreditada. En el caso de servicios externos, la AEPD distingue entre supuestos en los que el servicio actúa como encargado del tratamiento y aquellos en los que es responsable del tratamiento.
La vigilancia de la salud de los trabajadores debe ser realizada por personal sanitario con la competencia técnica adecuada. La empresa externa que presta el servicio de prevención es considerada responsable del tratamiento de los datos de salud de los trabajadores, ya que no actúa únicamente en nombre y por cuenta del responsable del fichero.
Cuando se produce un cambio en la empresa que presta el servicio de prevención, la comunicación de los datos relativos a la vigilancia de la salud de los trabajadores a la nueva entidad se considera una cesión de datos. Esta cesión está habilitada por la Ley 31/1995 y no requiere el consentimiento de los trabajadores, ya que está autorizada por ley.
La AEPD subraya que la información médica obtenida solo puede ser transmitida al personal médico y a las autoridades sanitarias encargadas de la vigilancia de la salud de los trabajadores. Los datos incluidos en la historia clínico-laboral solo pueden ser entregados al personal sanitario o centro médico encargado de los servicios de prevención.
En cuanto a la conservación de los datos, la Ley Orgánica 15/1999 establece que los datos deben ser conservados durante los plazos previstos en las disposiciones aplicables o en las relaciones contractuales. La Ley 41/2002, básica reguladora de la autonomía del paciente, establece que los expedientes médicos deben conservarse durante al menos cinco años contados desde la fecha del alta de cada proceso asistencial.
En resumen, el informe 391/2006 de la AEPD aclara que, en caso de cambio en el servicio de prevención de riesgos laborales, la cesión de datos de salud a la nueva entidad está permitida por ley y no requiere el consentimiento de los trabajadores. La empresa externa que presta el servicio es responsable del tratamiento de los datos y debe conservarlos durante el tiempo establecido por la normativa vigente.