Tratamiento de datos de salud de los trabajadores: posición jurídica de las mutuas y sociedades de prevención con respecto al empresario

[El pasado 31 de diciembre se consumó la desparición de la Agencia de Protección de Datos de la Comunidad de Madrid. Uno de sus muchos proyectos dignos de elogio fue la revista datospersonales.org, cuyo contenido ha dejado de estar disponible recientemente. Por tanto recupero aquí el artículo que, junto a María Luisa González Tapia, publiqué en la desaparecida revista en febrero de 2012].
Tratamiento de datos de salud de los trabajadores: posición jurídica de las mutuas y sociedades de prevención con respecto al empresario.
La información relativa a bajas de los trabajadores por motivo de enfermedad laboral o común, o accidente de trabajo, así como la derivada de reconocimientos médicos de salud,  constituye uno de los tratamientos más conflictivos que lleva a cabo el empresario.
Esta situación se debe, por una parte, a la percepción de que los datos objetos de dicho tratamiento afectan a la esfera íntima del trabajador de forma más intensa que otros que puedan figurar en los ficheros de una empresa, aunque no en todos los supuestos tengan la consideración de datos especialmente protegidos[1]
Por otro lado, debemos tener presente que la gestión de las bajas del trabajador, o de las funciones que puede realizar dependiendo de su estado de salud, tiene consecuencias directas en las condiciones laborales del empleado, terreno en el que siempre existen suspicacias de que se pretendan limitar derechos por parte del empresario.
Si a esto sumamos el hecho de que los tratamientos descritos implican, como norma general, la participación de
terceras entidades (Mutuas y Sociedades de Prevención), que disponen de historiales clínicos o resultados de pruebas médicas de los trabajadores, y con las cuales existe un flujo de intercambio de información, los problemas están
servidos.

El objeto de este artículo es presentar un análisis, desde el punto de vista de la normativa de protección de datos, de la posición que ocupan Mutuas y Sociedades de Prevención en el tratamiento de datos de los trabajadores.
Las relaciones entre las empresas y sus Mutuas y Servicios de Prevención han ocasionado no pocas discusiones en materia de protección de datos, y no es raro encontrarse con documentos, contratos e incluso informes que no recogen correctamente el régimen de tratamiento de datos que realizan en relación con las empresas.
La mayoría de problemas se dan en el ámbito de las Sociedades de Prevención, pero en ocasiones tampoco está del todo claro en el caso de las Mutuas.
De acuerdo con el artículo 68 del Real Decreto Legislativo 1/1994, de 20 de junio, que aprueba el texto refundido de la Ley General de la Seguridad Social (TRLGSS), y el artículo 2 del Real Decreto 1993/1995, de 7 de diciembre, por el que se aprueba el Reglamento sobre colaboración de las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, las Mutuas son asociaciones privadas de empresarios autorizadas por el Ministerio de Trabajo y Asuntos Sociales (ahora Ministerio de Empleo y Seguridad Social), sin ánimo de lucro, cuyo principal objeto es colaborar en la gestión de la Seguridad Social, asumiendo los empresarios a estos efectos una responsabilidad mancomunada.
Según dispone el art. 99.1 del TRLGSS:
1. Los empresarios, como requisito previo e indispensable a la iniciación de sus actividades, solicitarán su inscripción en el Régimen General de la Seguridad Social, haciendo constar la entidad gestora o, en su caso, la Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social que haya de asumir la protección por estas contingencias del personal a su servicio, de acuerdo con lo dispuesto en el artículo 70.”
Por tanto, el empresario puede optar cubrir las contingencias profesionales con una entidad gestora, como el Instituto Nacional de la Seguridad Social[2], o con una Mutua (entidad colaboradora). Las Mutuas, por su parte, están obligadas aceptar toda
petición de asociación que reciban. Éstas deben formalizarse por escrito a través del “documento de asociación”, que consiste en un concierto entre Mutua y empresario por el que la primera asume la protección de las contingencias profesionales recibiendo la cotización correspondiente en función del número de trabajadores protegidos. También es posible, si el empresario así lo solicita, que la Mutua cubra la cobertura de la incapacidad temporal derivada de contingencias
comunes.
En el desarrollo de su actividad, las Mutuas actúan con total autonomía y sin recibir órdenes de la empresa asociadas: son entidades colaboradoras de la Seguridad Social, como se ha dicho, y están sujetas exclusivamente a su reglamento. Por ello, las Mutuas, en relación con el fichero de datos de los trabajadores de las empresas asociadas, serán siempre responsables del mismo, no pudiendo considerarse en ningún caso encargadas del tratamiento. Como conclusión de lo anterior, no proceden dos prácticas que nos podemos encontrar con cierta frecuencia:
–   Solicitar cambios en el documento de asociación para incluir las previsiones del art. 12 de la LOPD (que por otra parte, no podrían llevarse a efecto, ya que se precisarían de autorización del Ministerio de Empleo y Seguridad Social).
–   Enviar contratos de encargado del tratamiento a las Mutuas solicitando que se devuelvan firmados.

Cuando la empresa entrega información de sus trabajadores a la Mutua, se produce una comunicación de datos, respecto a la cual no es necesario el consentimiento de los interesados, de acuerdo con lo establecido en el artículo 11.2.a y 7.3 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) en relación con los artículos 79 y 99 del TRLGSS. Así lo establece, entre otros, el Informe 0299/2009[3] de la Agencia Española de Protección de Datos (AEPD), en el que se afirma que esos “preceptos legales deriva la obligación legal, de comunicar por parte de los empresarios los datos de sus trabajadores a las indicadas Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, cuando se haya optado por estas como medio de protección de tales
contingencias”.

 Más complejo es el supuesto caso de las Sociedades de Prevención. Como vamos a ver, las Sociedades de Prevención
serán responsables del fichero en algunos casos, y encargados del tratamiento en otros.
Tal y como señala la AEPD en su Guía de Relaciones Laborales[4], “la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales y sus normas de desarrollo imponen a la empresa la realización de un conjunto de actividades cuyo fin último es evitar o disminuir los riesgos derivados del trabajo. Para esta tarea resulta necesario tratar datos personales de los
trabajadores”
. Las actividades de prevención pueden ser asumidas directamente por el empresario, a través de servicios de prevención propios o mancomunados, o derivadas a una sociedad de prevención. En estos casos, hablamos de servicios de prevención ajenos.[5]
Las Sociedades de Prevención son entidades especializadas, que han de ser objeto de una acreditación por la autoridad
laboral y que tienen como objeto la realización de las actividades de prevención de riesgos laborales a que obliga la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales (LPRL), según el artículo 31 de esta norma.
Dentro de estas actividades, y según el artículo 18.2.a del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, cabe distinguir cuatro especialidades o disciplinas preventivas: medicina del trabajo, seguridad en el trabajo, higiene industrial, y ergonomía y psicosociología aplicada.
En función de los servicios prestados por la Sociedad de Prevención, concluiremos que éstas son responsables del fichero o encargadas del tratamiento de los datos de los trabajadores de las empresas que las han contratado, ya que como veíamos en el caso de las Mutuas, no se trata de prestadores de servicios al uso.
Analizaremos en primer lugar el caso de las empresas que no constituyen servicio de prevención propio, y conciertan
estos servicios con una Sociedad de Prevención. Cuando esto ocurre, todas las actividades se realizan por parte de dicha sociedad, incluyendo las relacionadas con la vigilancia de la salud, dentro de la especialidad de
medicina del trabajo.
En un primer momento, podría pensarse que las Sociedades de Prevención son encargados del tratamiento que prestan un servicio al empresario, que dentro de su libertad organizativa opta por externalizar las tareas de prevención. Sin embargo, el fichero generado como consecuencia de los reconocimientos de vigilancia de la salud de los trabajadores presenta importantes peculiaridades.
De acuerdo con lo establecido en el artículo 22 de la LPRL, cuando la Sociedad de Prevención realice funciones de vigilancia de la salud manejará un fichero de reconocimientos médicos de esos trabajadores, sin que pueda facilitarle al empresa más información sobre ellos que la relacionada con “la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva”. Sobre este fichero el servicio de prevención opera, por tanto, con total autonomía, con lo que ni recibirá instrucciones del empresario, ni devolverá ningún dato a este a la finalización de la prestación. Teniendo en cuenta esto, debemos concluir que la sociedad de prevención será, en relación con este fichero, responsable del mismo, y nunca encargado del tratamiento.
La comunicación de datos que realice para esta finalidad el empresario a su servicio de prevención está justificada, al igual que en el caso de las cesiones a las Mutuas, por los artículos 11.2.a y 7.3 de la LOPD, en este caso, en relación con los artículos 22  31 de la LPRL.
Sin embargo, como hemos visto, las empresas también pueden disponer de un servicio de prevención propio o mancomunado, en el que el personal médico especializado contratado por el empresario asume la totalidad o parte las funciones de vigilancia de la salud de los trabajadores.
Cuando, existiendo servicio de prevención propio o mancomunado, no se contrata ninguna sociedad de prevención parece claro que la responsabilidad del fichero recae sobre el empresario, entre otras cuestiones, porque el servicio de prevención es un área dentro de la organización sin personalidad jurídica propia. Esto no significa que el empresario pueda tener acceso a los reconocimientos de vigilancia de la salud de los trabajadores. Por supuesto, en cumplimiento del art. 22 de la LPRL, aquéllos sólo podrán ser tratados por el personal competente.
Las dudas surgen cuando, existiendo servicio de prevención propio o mancomunado, se decide contratar parte de los reconocimientos de vigilancia de la salud con una sociedad de prevención. Esta posibilidad está expresamente prevista en el Real Decreto 843/2011, de 17 de junio, por el que se establecen los criterios básicos sobre la organización de recursos para desarrollar la actividad sanitaria de los servicios de prevención, que, en su artículo 9 permite que “cuando un servicio de prevención propio tenga asumida la especialidad de medicina del trabajo, se podrán subcontratar actividades sanitarias específicas que requieran conocimientos especiales o instalaciones de gran complejidad”.
También, en su apartado 2, se permite que “cuando por motivos de dispersión geográfica o lejanía de alguno de los centros de
trabajo de la empresa resulte necesario se podrán subcontratar con un servicio de prevención acreditado otras actividades del servicio sanitario del servicio de prevención”.
De acuerdo a lo anterior, el servicio médico de la empresa puede encargar a la Sociedad de Prevención, por ejemplo, la realización de los reconocimientos médicos de los trabajadores de un determinado centro de trabajo, entregando el resultado de esos reconocimientos médicos al servicio de prevención propio para que este evalúe la salud de los trabajadores.
¿Debe en estos supuestos asumirla responsabilidad del fichero en el que se incluyan los datos de salud de los trabajadores examinados?
En nuestra opinión, la Sociedad de Prevención no será más que un mero prestador de servicios. La responsabilidad del fichero continúa correspondiendo a la empresa cuyo servicio de prevención dirige las actividades relacionadas con la vigilancia de la salud.  Es decir, aquí la Sociedad de Prevención actuará bajo las instrucciones del responsable y en nombre y por cuenta de él, por lo que será un mero encargado del tratamiento y tendrá que cumplir con las obligaciones que establece a este respecto el artículo 12 de la LOPD.
Esta misma interpretación es la que se deduce de la ya citada Guía de Relaciones Laborales de la Agencia Española de Protección de Datos, donde se señala:
“El desarrollo de tareas de prevención de riesgos supone la presencia de áreas de actuación especializadas, -seguridad, ergonomía y psicosociología, higiene industrial, medicina y enfermería del trabajo-, y de profesionales con perfiles y exigencias organizativas diversas. Hay que disponer de medios y recursos adecuados que no siempre se encuentran a disposición de todas las a empresas.
Ello ha determinado en la práctica que la legislación contemple la existencia de servicios de prevención propios y ajenos. Y que el desempeño profesional de la prevención de riesgos se asigne a diversos perfiles profesionales. Ello se proyecta sobre la protección de datos de dos modos. La condición de responsable del fichero o del tratamiento varía según se trate de un servicio de prevención propio, ajeno o mancomunado. Si se trata de un servicio propio la empresa será responsable del fichero que se genere para la gestión de la prevención.
No hay que olvidar que si el servicio de prevención es propio existirán en el seno de la empresa distintos perfiles y facultades de acceso a datos de salud. Serán plenos para el personal sanitario y son limitadísimos para la gerencia hasta el punto de abarcar únicamente conceptos del tipo apto/no apto.”
Por otro lado, para la realización de las distintas disciplinas preventivas que no implican realización de reconocimientos de vigilancia de la salud, las Sociedades de Prevención realizan una serie de actividades, como por ejemplo, cursos formativos, estudios de riesgos asociados a puestos de trabajo, informes de prevención en cumplimiento de la normativa vigente o investigaciones de accidentes laborales. En estos últimos, se pueden realizar incluso entrevistas a los compañeros del
accidentado, superiores, testigos, etc., con lo que contendrán un buen número de datos de carácter personal que no sólo los debe conocer el empresario, sino en muchos casos incluso los comités de seguridad y salud, los representantes sindicales o los delegados internos de prevención. En estos casos, la Sociedad de Prevención será también un encargado del tratamiento, puesto que tratará los datos por cuenta del empresario y de acuerdo a sus instrucciones y deberá cumplir también, como en el caso anterior, con lo dispuesto en el artículo 12.
Teniendo en cuenta lo expuesto anteriormente, el contrato que el empresario firme con la Sociedad de Prevención ha de ser un contrato complejo. En él, deberá establecerse que la Sociedad de Prevención actuará como encargada del tratamiento respecto a los tratamientos realizados para la realización de las actividades que asuma de las distintas disciplinas de prevención, excluyendo la vigilancia de la salud. La Sociedad de Prevención será responsable del fichero por los datos que maneje como consecuencia de la vigilancia de la salud, y aquellos datos que entregue el empresario a la sociedad de prevención supondrán una cesión de datos. Esta cesión de datos no exigirá el consentimiento de los afectados.
La Agencia Española de Protección de Datos, en su informe 0299/2009, antes citado, recoge textualmente: “Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas”.
Exactamente a la misma conclusión llegaba el Informe 189/2008[6], pero precisamente en ese informe se dice que “existirán supuestos en que es posible considerar que ese servicio de prevención ajeno accede a los datos en calidad de encargado del tratamiento (artículo 12 de la Ley 15/1999) y otros serán considerados como cesiones de datos (artículos 30.3 y 23.1 de la Ley 31/1995). En este último supuesto no cabe duda que el servicio de prevención será considerado responsable del tratamiento”. Es decir, parece que la Agencia comparte nuestra opinión en algún momento, pero no aclara suficientemente en
qué supuesto sucede esto.
En conclusión, creemos necesario que se aclaren estos problemas, y entendemos que la situación, sin negar que tiene su problemática, es bastante clara en función del tipo de servicios prestados por las sociedades de prevención: en ocasiones actuarán como responsables del fichero, pero en otras serán encargados del tratamiento.

[1]

Entre las preguntas más frecuentes sobre datos especialmente protegidos que facilita la Agencia Española de Protección de Datos en su página web nos encontramos con la siguiente:
“¿Es dato de salud la calificación de apto o no apto derivada de un Informe Medico? Entendemos que la calificación de aptitud o no viene derivada de los reconocimientos médicos resultado de la aplicación de la Ley 31/1995, de 8 de noviembre, de Prevención de riesgos laborales.
En estos supuestos, el hecho de que el empresario y las personas u órganos con responsabilidades en materia de prevención sean informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo, no será considerado un dato de salud.
No obstante si “los datos de apto o no apto” no aparecen aislados sino asociados a otros que motiven su calificación, como por ejemplo, una situación de minusvalía o enfermedad crónica que motiven una adaptación del puesto de trabajo, sin lugar
a dudas, será considerado un dato de salud. 
¿Han de ser considerados datos de salud los relativos a la enfermedad común y accidente profesional?
Es criterio reiterado de esta Agencia que en cuanto el fichero pueda contener datos relativos a las fechas de baja o alta de trabajadores, asociadas a un códigoque permita la identificación de la causa de la baja como motivada por enfermedad común, profesional o maternidad, estaremos en presencia de un dato de salud que implicará la necesidad de aplicar a dicho fichero medidas de seguridad de nivel alto
No sería así, por ejemplo, si figuran únicamente las fechas y la indicación de “baja” u otros supuestos análogos de los que no pueda fácilmente deducirse que la baja se debe a algún tipo de enfermedad.”
 [2]  Según la definición que facilita el Ministerio de Empleo en su página web, el INSS “es una Entidad Gestora adscrita al Ministerio de Empleo y Seguridad Social, con personalidad jurídica propia, que tiene encomendada la gestión y administración de las prestaciones económicas del sistema público de Seguridad Social y el reconocimiento del derecho a la asistencia sanitaria, con independencia de que la legislación aplicable tenga naturaleza nacional o internacional.” Disponible
[5] Para ser exactos, el art. 11 del Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los Servicios de Prevención, dispone lo siguiente en cuanto a modalidades de éstos: “1. La organización de los recursos necesarios para el desarrollo de las actividades preventivas se realizará por el empresario con arreglo a alguna de las modalidades siguientes:
a. Asumiendo personalmente tal actividad.
b. Designando a uno o varios trabajadores para llevarla a cabo.
c.  Constituyendo un servicio de prevención propio.
d. Recurriendo a un servicio deprevención ajeno.
2. En los términos previstos en el capítulo IV de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, se entenderá por servicio de prevención propio el conjunto de medios humanos y materiales de la empresa necesarios para la realización de las actividades de prevención, y por servicio de prevención ajeno el prestado por una entidad especializada que concierte con la empresa la realización de actividades de prevención, el asesoramiento y apoyo que precise en función de los tipos de riesgos o ambas actuaciones conjuntamente.
3. Los servicios de prevención tendrán carácter interdisciplinario, entendiendo como tal la conjunción coordinada de dos o más disciplinas técnicas o científicas en materia de prevención de riesgos laborales.”

Comparte esta entrada: Twitter Facebook Google+ LinkedIn

No hay comentarios aún.

Deja una respuesta