El Informe 0346/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda varias cuestiones relacionadas con la necesidad de formalizar contratos con empresas encargadas de prestar servicios de prevención de riesgos laborales, en cumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su reglamento de desarrollo.
En primer lugar, se analiza si es necesario formalizar un contrato de cesión de datos con el coordinador de seguridad para garantizar la privacidad y confidencialidad de los datos. La AEPD indica que el deber de secreto y confidencialidad está contemplado en el artículo 10 de la Ley Orgánica 15/1999, por lo que los coordinadores de seguridad deben mantener la confidencialidad y seguridad de los datos sin necesidad de un contrato específico de cesión.
En cuanto a la cesión de datos, la Ley define esta como la revelación de datos a una persona distinta del interesado. Según el artículo 11.1 de la Ley, los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo en los casos excepcionales previstos en el artículo 11.2, como cuando la cesión está autorizada por una ley o cuando se trata de datos recogidos de fuentes accesibles al público.
La segunda y tercera cuestión se refieren a la necesidad de formalizar un contrato de cesión de datos con la empresa encargada del servicio de prevención ajeno. La AEPD señala que la actuación de la empresa encargada puede considerarse como la de un responsable del fichero o un encargado del tratamiento. En este sentido, la empresa externa que presta el servicio de prevención será responsable del tratamiento de los datos proporcionados por los trabajadores, y solo podrá informar a la empresa cliente sobre la aptitud del trabajador para el desempeño del puesto de trabajo, lo cual constituye una cesión de datos autorizada por la ley.
Además, se menciona la obligación de informar a los clientes sobre los extremos previstos en el artículo 5.1 de la Ley Orgánica 15/1999, que incluye la existencia del fichero, la finalidad de la recogida de datos, los destinatarios de la información, la posibilidad de ejercer derechos de acceso, rectificación, cancelación y oposición, y el carácter obligatorio o facultativo de la respuesta a las preguntas planteadas.
Por último, se aborda la cuestión de las medidas de seguridad que deben adoptarse en los ficheros de recursos humanos. El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, regula las medidas de seguridad en el Título VIII, y el artículo 81 establece la aplicación de distintos niveles de seguridad según los tipos de datos contenidos en los ficheros. La AEPD recomienda consultar su página web para obtener información específica sobre las medidas de seguridad a adoptar según los datos que se traten.
En resumen, el informe subraya la importancia de cumplir con la normativa de protección de datos en la gestión de servicios de prevención de riesgos laborales, destacando la obligación de confidencialidad y la necesidad de obtener el consentimiento de los interesados para la cesión de datos, salvo en los casos excepcionales previstos por la ley.