El informe jurídico 0241/2010 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la posible cesión de datos de salud de los empleados de una empresa española a su matriz con sede en Londres, Inglaterra. La consulta se enmarca en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.
La empresa consultante forma parte de un grupo empresarial que pretende implementar una aplicación informática para registrar datos de salud de todos los empleados, los cuales serían almacenados en servidores de la matriz y gestionados por una tercera empresa. La AEPD debe determinar si esta transmisión de datos está sujeta a la normativa de protección de datos española y si se considera una transferencia internacional de datos.
Primero, se establece que la transmisión de datos entre la empresa consultante y la matriz, ambas dentro del Espacio Económico Europeo, no constituye una transferencia internacional de datos. Sin embargo, la comunicación de datos de salud entre empresas distintas, aunque pertenezcan al mismo grupo, requiere un tratamiento específico debido a la naturaleza sensible de estos datos.
La AEPD subraya que cada empresa del grupo es responsable de los datos de sus empleados y que la comunicación de datos de salud solo puede realizarse con el consentimiento expreso de los afectados o cuando esté prevista por una norma específica y por razones de interés público. La LOPD establece que los datos de salud solo pueden ser recabados, tratados y cedidos cuando el afectado consienta expresamente o cuando lo disponga una ley por razones de interés general.
En este caso, la empresa consultante no está legitimada para recabar, tratar y ceder datos de salud de sus empleados, ya que dicho tratamiento no es necesario para el correcto desenvolvimiento de la relación laboral. La empresa debe informar debidamente a los empleados sobre la existencia del fichero, la finalidad de la recogida de datos, el carácter obligatorio o facultativo de su respuesta, las consecuencias de la obtención de los datos y la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
En conclusión, la cesión de datos de salud de los empleados a la empresa matriz requiere el consentimiento expreso e informado de los afectados, conforme a lo establecido en el artículo 5.1 de la LOPD. La empresa debe asegurarse de que los empleados estén debidamente informados y consientan la incorporación de sus datos de salud a la base de datos de la matriz.