El informe jurídico 0285/2009 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la posibilidad de ceder datos de salud relacionados con procesos de incapacidad temporal (IT) de los trabajadores de la Comunidad Autónoma de Extremadura al Servicio de Prevención de Riesgos Laborales. La cesión de estos datos se plantea con el objetivo de realizar estudios sobre el posible origen profesional de las enfermedades y la necesidad de introducir nuevas medidas de prevención, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.
El informe comienza definiendo la cesión de datos como la revelación de información personal a una persona distinta del interesado. Dado que los datos en cuestión están relacionados con la salud, se debe considerar el artículo 7.3 de la LOPD, que establece que estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado.
En cuanto al tratamiento de datos de salud por los servicios de prevención en el ámbito laboral, el artículo 22.1 de la Ley 31/1995 de Prevención de Riesgos Laborales establece que el empresario debe garantizar la vigilancia periódica del estado de salud de los trabajadores en función de los riesgos inherentes al trabajo. Esta vigilancia es voluntaria para el trabajador, salvo en casos excepcionales donde sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre la salud o cuando así lo establezca una disposición legal.
El informe destaca que el acceso a la información médica de carácter personal se limita al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores. No se puede facilitar esta información al empresario o a otras personas sin el consentimiento expreso del trabajador. Sin embargo, el empresario y las personas con responsabilidades en materia de prevención pueden ser informados de las conclusiones derivadas de los reconocimientos realizados, siempre que se refieran a la aptitud del trabajador para el desempeño del puesto de trabajo o a la necesidad de introducir o mejorar las medidas de protección y prevención.
El artículo 37.3 del Reglamento de los Servicios de Prevención establece que las funciones de vigilancia y control de la salud de los trabajadores deben ser desempeñadas por personal sanitario con competencia técnica y formación acreditada. Este personal debe conocer las enfermedades y ausencias del trabajo por motivos de salud para identificar cualquier relación entre la causa de la enfermedad o ausencia y los riesgos para la salud en los lugares de trabajo.
El informe concluye que el tratamiento de los datos relacionados con la salud de los trabajadores no requiere el consentimiento de los mismos en aquellos supuestos en que el sometimiento a las actuaciones de vigilancia de la salud resulte impuesto directamente por la Ley de Prevención de Riesgos Laborales. Sin embargo, la cesión de datos de salud al servicio de prevención no está amparada por la Ley 31/1995, y el conocimiento de la posible relación entre los procesos de IT y los riesgos inherentes al puesto de trabajo debe obtenerse mediante evaluaciones y pruebas clínicas realizadas por el servicio de prevención.
Finalmente, el informe señala que la Dirección General consultante no puede utilizar los datos de IT para realizar estudios con el fin de introducir medidas preventivas y mejorar las condiciones de trabajo, ya que esto sería incompatible con la finalidad para la que los datos fueron recogidos. Por lo tanto, el estudio con estos fines no encuentra cobertura en ninguna disposición con rango de ley.