El Informe Jurídico 112/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si las empresas que contratan servicios de prevención de riesgos laborales deben ser consideradas encargadas del tratamiento de datos o responsables del tratamiento, según lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
La Ley 31/1995 de Prevención de Riesgos Laborales establece que las empresas deben constituir un servicio de prevención para garantizar la salud e integridad de los trabajadores. Este servicio puede ser propio o contratado a una empresa externa acreditada. La consulta se centra en cómo se debe tratar la información personal de los trabajadores en estos casos.
El informe aclara que, dependiendo del contexto, el servicio de prevención puede actuar como encargado del tratamiento (artículo 12 de la Ley 15/1999) o como responsable del tratamiento. En particular, cuando se trata de la vigilancia de la salud de los trabajadores, el servicio de prevención externo debe ser considerado responsable del tratamiento. Esto se debe a que el acceso a la información médica está limitado al personal médico y a las autoridades sanitarias, y no puede ser facilitado al empresario sin el consentimiento del trabajador.
El artículo 22.4 de la Ley 31/1995 especifica que el acceso a la información médica debe estar restringido y que solo el personal médico y las autoridades sanitarias pueden llevar a cabo la vigilancia de la salud. Esto implica que el tratamiento de datos médicos no puede ser realizado por la empresa contratante, sino por el servicio de prevención, que actúa como responsable del tratamiento.
Además, el informe señala que la declaración de aptitud del trabajador para el desempeño de un puesto de trabajo es un supuesto de cesión de datos. Según el artículo 22.4 de la Ley 31/1995, el empresario y las personas con responsabilidades en materia de prevención pueden ser informados sobre la aptitud del trabajador y las medidas de protección necesarias. Esta cesión de datos está autorizada por ley, por lo que no requiere el consentimiento de los trabajadores.
En resumen, el informe concluye que las empresas que contratan servicios de prevención de riesgos laborales deben ser consideradas responsables del tratamiento de los datos médicos de los trabajadores, y que la cesión de datos para informar sobre la aptitud del trabajador está autorizada por ley, sin necesidad de consentimiento adicional.