El Informe 0424/2010/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si es posible comunicar los datos de salud de los trabajadores, obtenidos a través de la vigilancia periódica de su salud y su historia clínica por el servicio de prevención de riesgos laborales de una Administración Pública, a un médico y a un enfermero de la misma Administración, pero ajenos al servicio de prevención propio.
El informe comienza recordando que la comunicación de datos de salud está regulada por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo. Según el artículo 7.3 de la LOPD, los datos de salud solo pueden ser recabados, tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado.
En materia de riesgos laborales, la Ley 31/1995 de Prevención de Riesgos Laborales establece que las empresas deben garantizar la vigilancia periódica de la salud de los trabajadores, y esta vigilancia debe realizarse con el consentimiento del trabajador, salvo en casos excepcionales. Los resultados de esta vigilancia deben ser comunicados a los trabajadores afectados y el acceso a la información médica debe estar limitado al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia.
El informe subraya que la transmisión de la información médica obtenida en el marco de la vigilancia de la salud está prohibida a cualquier tercero distinto del personal médico y las autoridades sanitarias que realicen dicha vigilancia. Esto incluye a un médico de la empresa que no esté a cargo de las acciones de vigilancia de la salud de los trabajadores, salvo en lo que respecta a las conclusiones sobre la aptitud de los trabajadores para su puesto de trabajo.
En cuanto al acceso a la historia clínico-laboral por parte de un enfermero del servicio de prevención, el informe señala que, siendo personal sanitario, puede tener acceso a dicha información, siempre que cumpla con el deber de confidencialidad y secreto establecido en la LOPD. Este deber subsiste incluso después de finalizar sus relaciones con el titular del fichero o el responsable del mismo.
En resumen, el informe concluye que la comunicación de datos de salud de los trabajadores a un médico ajeno al servicio de prevención propio está prohibida, salvo en lo que respecta a las conclusiones sobre la aptitud de los trabajadores. Por otro lado, un enfermero del servicio de prevención puede acceder a dicha información, siempre que cumpla con las obligaciones de confidencialidad y secreto.