El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0230/2009 aborda la consulta sobre si una Mutua Patronal de Accidentes de Trabajo y Enfermedad Profesional puede comunicar datos de salud relativos a accidentes laborales a los servicios de prevención de riesgos laborales de las empresas clientes. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo, así como en la Ley 31/1995 de Prevención de Riesgos Laborales.
La consulta plantea si la cesión de datos de salud, considerados datos sensibles, puede realizarse sin el consentimiento expreso del afectado. Según el artículo 7.3 de la LOPD, estos datos solo pueden ser tratados y cedidos cuando lo disponga una ley o cuando el afectado consienta expresamente. La AEPD analiza si la Ley General de la Seguridad Social y la Ley de Prevención de Riesgos Laborales habilitan esta cesión.
El informe destaca que las Mutuas de Accidentes de Trabajo y Enfermedad Profesional actúan como entidades colaboradoras de la Seguridad Social, y su colaboración incluye la gestión de contingencias de accidentes laborales y enfermedades profesionales. Estas entidades están autorizadas a tratar datos de salud para la prestación de asistencia sanitaria y el abono de prestaciones económicas.
La AEPD concluye que la comunicación de datos de salud generados por la asistencia sanitaria prestada por la Mutua a los servicios de prevención de riesgos laborales de las empresas está amparada por la Ley de Prevención de Riesgos Laborales. Esta comunicación debe realizarse con la finalidad exclusiva de proteger y garantizar la salud laboral de los trabajadores, y solo puede incluir los datos estrictamente necesarios para esta finalidad.
El informe también subraya que la historia clínica del trabajador, que incluye los datos de salud derivados del accidente laboral, debe ser tratada con confidencialidad y solo puede ser accesible al personal sanitario del servicio de prevención. Además, la comunicación de estos datos debe cumplir con el principio de calidad de los datos, es decir, no pueden usarse para finalidades incompatibles con aquellas para las que fueron recogidos.
En cuanto a la equiparación del concepto de «daños de salud» con el de «diagnóstico», el informe aclara que ambos conceptos son datos personales de salud y están sometidos al mismo régimen legal de protección. Cualquier información relativa a la salud laboral de un trabajador, incluido el diagnóstico médico, debe ser tratada con las mismas garantías de confidencialidad y protección establecidas en la LOPD.
En resumen, la AEPD permite la cesión de datos de salud de trabajadores accidentados a los servicios de prevención de riesgos laborales de las empresas, siempre que se cumplan las condiciones legales y se respeten los principios de confidencialidad y protección de datos. Esta cesión debe estar orientada exclusivamente a la prevención de riesgos laborales y a la protección de la salud de los trabajadores.