El Informe 0350/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una Mutua de Accidentes de Trabajo y Enfermedades Profesionales actúa como responsable o encargado del tratamiento de los datos de los trabajadores de sus empresas clientes. Este informe se basa en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007, de 21 de diciembre.
La consulta se refiere a un informe anterior, el 189/2008, emitido el 8 de mayo de 2008, que ya había establecido que tanto las Mutuas como las empresas de Prevención de Riesgos Laborales tratan los datos de los trabajadores en calidad de responsables. Esta calificación se fundamenta en que el acceso a los datos de los trabajadores se produce por imperativo legal, ya sea en su condición de entidades colaboradoras de la gestión de la Seguridad Social (artículo 68 de la Ley General de la Seguridad Social, LGSS) o como prestadoras del servicio de prevención de riesgos laborales (artículo 30.1 de la Ley 15/1995, de Prevención de Riesgos Laborales).
El informe reitera que las Mutuas y las empresas de prevención de riesgos laborales no necesitan suscribir un contrato de encargado de tratamiento de datos personales por cuenta de terceros, como establece el artículo 12 de la LOPD. Esto se debe a que, en virtud de la normativa vigente, estas entidades tienen la obligación legal de tratar los datos de los trabajadores para cumplir con sus funciones específicas.
En resumen, el Informe 0350/2009 confirma que las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales, así como las empresas de Prevención de Riesgos Laborales, actúan como responsables del tratamiento de los datos de los trabajadores de sus empresas clientes. Esta calificación se basa en la obligación legal que tienen estas entidades de acceder y tratar los datos de los trabajadores para cumplir con sus funciones en la gestión de la Seguridad Social y la prevención de riesgos laborales. Por lo tanto, no es necesario que suscriban un contrato de encargado de tratamiento de datos personales por cuenta de terceros.