El Informe 189/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si las empresas que prestan servicios de prevención de riesgos laborales y las Mutuas de Accidentes de Trabajo deben ser consideradas encargadas del tratamiento de datos o responsables del tratamiento, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
En primer lugar, el informe analiza la actividad de las empresas que prestan servicios de prevención de riesgos laborales. Según la Ley 31/1995 de Prevención de Riesgos Laborales, las empresas tienen la obligación de constituir un servicio de prevención para garantizar la salud e integridad de los trabajadores. Este servicio puede ser propio o contratado a una empresa externa acreditada. En cuanto al acceso a datos personales de los trabajadores, el informe distingue entre dos supuestos: aquellos en los que el servicio de prevención actúa como encargado del tratamiento y aquellos en los que se considera una cesión de datos, en cuyo caso el servicio de prevención será responsable del tratamiento.
El informe subraya que la vigilancia de la salud de los trabajadores debe ser realizada por personal sanitario con la debida formación y capacidad acreditada. Además, el acceso a la información médica de carácter personal está limitado al personal médico y a las autoridades sanitarias, sin que pueda facilitarse al empresario o a otras personas sin el consentimiento expreso del trabajador. Por lo tanto, la empresa externa que presta el servicio de prevención será responsable del tratamiento de los datos que el trabajador le proporcione en el desarrollo de la actividad de prevención de riesgos laborales.
En segundo lugar, el informe se centra en las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social. Estas entidades son asociaciones autorizadas por el Ministerio de Trabajo y Asuntos Sociales, cuyo objeto principal es colaborar en la gestión de la Seguridad Social. Los empresarios pueden optar por proteger a sus trabajadores a través de la entidad gestora correspondiente de la Seguridad Social o asociándose a una Mutua. La Ley General de la Seguridad Social establece la obligación de los empresarios de afiliar a sus trabajadores y elegir la entidad gestora o Mutua que asumirá la protección por contingencias de accidente de trabajo y enfermedad profesional.
El informe concluye que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tienen legalmente atribuidas. Esto se deriva de la definición de responsable del tratamiento según la Ley Orgánica 15/1999, que es la persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de datos personales.