El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de la comunicación de servicios extra de vigilancia de la salud de empleados a sus empresarios, según la normativa de protección de datos vigente a partir del 25 de mayo de 2018, específicamente el Reglamento General de Protección de Datos (RGPD).
El RGPD define los datos relativos a la salud como aquellos que revelan información sobre el estado físico o mental de una persona, incluyendo la prestación de servicios de atención sanitaria. La comunicación de estos datos al empresario por parte de las entidades que prestan servicios de vigilancia de la salud constituye un tratamiento de datos, que debe ser lícito y respetar los principios de licitud, lealtad y transparencia.
El artículo 9 del RGPD prohíbe el tratamiento de datos personales que revelen el origen étnico, opiniones políticas, convicciones religiosas, datos genéticos, biométricos, relativos a la salud o a la vida sexual, salvo en determinadas excepciones. Una de estas excepciones es cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
En España, la Ley 31/1995 de Prevención de Riesgos Laborales establece que los empresarios deben garantizar la vigilancia periódica de la salud de los trabajadores en función de los riesgos inherentes al trabajo. Esta vigilancia debe respetar la intimidad y la dignidad del trabajador, y la confidencialidad de toda la información relacionada con su estado de salud. Los resultados de la vigilancia deben ser comunicados a los trabajadores afectados y no pueden ser usados con fines discriminatorios.
El informe concluye que el empresario puede conocer cuáles de sus empleados han solicitado servicios extra de vigilancia de la salud, siempre que se respeten los límites fijados por la normativa de prevención de riesgos laborales y los principios del RGPD. La comunicación de estos datos debe ser lícita, leal y transparente, y los datos tratados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
Además, la entidad prestadora del servicio de prevención debe informar a los empleados sobre la comunicación de sus datos al empresario y la finalidad de dicha comunicación, utilizando un lenguaje claro y fácilmente comprensible. La comunicación de datos solo será posible en aquellos supuestos en que sea estrictamente necesaria para el cumplimiento de las obligaciones del empresario en materia de prevención de riesgos laborales.