El Informe 0065/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de la comunicación de datos personales por los Servicios de Prevención de Riesgos Laborales al registro de notificación de accidentes de trabajo con riesgo biológico (NOTAB), integrado en el Sistema de Información de Salud Pública y Alimentación de la Comunidad de Madrid (SISPAL).
La transmisión de datos planteada se considera una cesión de datos de carácter personal, definida como la revelación de datos a una persona distinta del interesado. Dado que se trata de datos de salud, el artículo 7.3 de la LOPD establece que estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o el afectado consienta expresamente. Sin embargo, el artículo 11.2 f) de la misma ley exime del consentimiento cuando la cesión es necesaria para solucionar una urgencia o realizar estudios epidemiológicos.
El artículo 16.3 de la Ley 41/2002 y el artículo 8.1 de la Ley 14/86, General de Sanidad, subrayan la importancia de los estudios epidemiológicos para la prevención de riesgos y la planificación sanitaria. Además, el artículo 55.5 de la Ley 12/2001 de Ordenación Sanitaria de la Comunidad de Madrid permite la cesión de datos personales a la Administración Sanitaria para garantizar la vigilancia epidemiológica y la prevención de enfermedades.
El informe concluye que los Servicios de Prevención de Riesgos Laborales están habilitados para comunicar los datos de accidentes laborales con riesgo biológico al SISPAL sin necesidad de consentimiento de los afectados, siempre que los datos se suministren de forma disociada, es decir, sin que puedan asociarse a una persona identificada o identificable. Si los datos no pueden disociarse, se requerirá el consentimiento expreso de los afectados.
Respecto a la comunicación de datos como el domicilio, número de teléfono y D.N.I., el informe subraya el principio de calidad de los datos, según el cual solo se pueden recoger y tratar datos que sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas y legítimas para las que se hayan recogido. Por lo tanto, estos datos deben ser necesarios para la finalidad del fichero al que se incorporen.
En resumen, la comunicación de datos personales por los Servicios de Prevención de Riesgos Laborales al SISPAL es conforme a la LOPD y su Reglamento de desarrollo, siempre que se cumplan las condiciones de disociación de datos y necesidad de los mismos para la finalidad del fichero.