El Informe 0608/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una entidad que presta servicios de prevención de riesgos laborales puede negarse a comunicar datos de salud de sus clientes, en este caso, trabajadores afectados por la gripe A, conforme a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El informe comienza señalando que, aunque no se especifica claramente la relación entre la entidad consultante y su cliente, se deduce que se trata de una empresa de prevención de riesgos laborales. La AEPD analiza la condición de responsable del tratamiento de datos que tienen estas empresas, basándose en la Ley 31/1995 de Prevención de Riesgos Laborales. Esta ley establece que las empresas deben constituir un servicio de prevención para proteger la salud de los trabajadores, ya sea propio o contratado con una entidad externa.
El informe destaca que, en el contexto de la vigilancia de la salud de los trabajadores, las empresas de prevención de riesgos laborales pueden ser consideradas responsables del tratamiento de datos, especialmente cuando se trata de datos de salud. Esto se debe a que la Ley 31/1995 limita el acceso a la información médica a personal médico y autoridades sanitarias, y no permite la cesión de esta información al empresario o a terceros sin el consentimiento expreso del trabajador.
En cuanto a la cesión de datos de salud, el artículo 7.3 de la Ley Orgánica 15/1999 establece que estos datos solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado. Por lo tanto, para comunicar información sobre trabajadores afectados por la gripe A, la entidad debe obtener el consentimiento expreso de los trabajadores o verificar si la Ley de Prevención de Riesgos Laborales permite dicha cesión.
El artículo 22.4 de la Ley de Prevención de Riesgos Laborales refuerza esta restricción, indicando que el acceso a la información médica se limita al personal médico y a las autoridades sanitarias, y no puede ser facilitada al empresario o a otras personas sin el consentimiento del trabajador. En consecuencia, la entidad no puede comunicar un listado de trabajadores afectados por la gripe A sin el consentimiento expreso de los mismos. La única información que puede ser proporcionada son las conclusiones derivadas de los reconocimientos médicos en relación con la aptitud del trabajador para desempeñar su puesto de trabajo.
En resumen, el informe concluye que la negativa de la entidad a comunicar datos de salud de sus clientes es conforme con la Ley Orgánica 15/1999, ya que la cesión de estos datos requiere el consentimiento expreso de los trabajadores o una disposición legal específica que lo permita.