El informe jurídico de la AEPD (Agencia Española de Protección de Datos) con número 0411/2009 aborda la posibilidad de incorporar y alojar datos de salud de trabajadores, obtenidos por una empresa de prevención de riesgos laborales, en una aplicación informática propiedad de la empresa cliente. Este informe se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, el Real Decreto 1720/2007.
La consulta se centra en la legalidad de la cesión y comunicación de datos de salud de los trabajadores, que son considerados datos especialmente protegidos según el artículo 7.3 de la LOPD. Estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. La Ley 31/1995 de Prevención de Riesgos Laborales establece que el empresario debe garantizar la vigilancia periódica de la salud de los trabajadores, pero esta vigilancia debe ser voluntaria y respetar la intimidad y confidencialidad de los datos.
El informe destaca que la comunicación de datos de salud a la empresa cliente constituye una cesión de datos, y esta cesión solo está permitida en casos específicos, como cuando es necesaria para la prevención o diagnóstico médicos, o para la gestión de servicios sanitarios, siempre que el tratamiento de datos lo realice un profesional sanitario sujeto al secreto profesional.
La AEPD señala que la empresa cliente no puede tener acceso directo a los datos médicos de los trabajadores, salvo en lo que respecta a las conclusiones sobre la aptitud del trabajador para su puesto de trabajo o la necesidad de mejorar las medidas de protección y prevención. La empresa cliente tampoco puede almacenar estos datos en su propia base de datos sin un acuerdo claro de alojamiento de datos (hosting) que cumpla con las exigencias de la LOPD.
El informe subraya la importancia de que cualquier cesión o tratamiento de datos de salud se realice bajo un contrato que especifique claramente las responsabilidades y obligaciones de las partes involucradas, incluyendo medidas de seguridad adecuadas para proteger los datos. Además, se debe garantizar que los datos sean destruidos o devueltos una vez cumplida la prestación contractual.
En resumen, la AEPD concluye que la incorporación y alojamiento de datos de salud de trabajadores en una aplicación informática propiedad de la empresa cliente solo es posible bajo estrictas condiciones legales y de seguridad, asegurando en todo momento la confidencialidad y protección de los datos personales de los trabajadores.