Conforme lo dispuesto en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales el empresario está obligado a constituir un servicio de prevención con el fin de garantizar y proteger la salud e integridad de sus trabajadores. Para la realización de dicha actividad deberá contar bien con un servicio de prevención propio o contratar a un servicio de prevención ajeno debidamente acreditado y que periódicamente realice las revisiones del estado de salud de los empleados.
Puesto que los resultados de los exámenes médicos formarán parte de un historial clínico laboral del trabajador, su historia clínica será sometida también a la Ley 41/2002 de 14 de noviembre, de Autonomía del Paciente que impone la llevanza de la misma por los centros sanitarios o profesionales que realicen las actuaciones sanitarias en relación con el paciente.
Conforme el criterio de la Agencia Española de Protección de Datos, el hecho de que servicios de prevención ajenos accedan a los datos de salud de los trabajadores que figuran en las historias clínicas siempre se considerará una cesión de datos realizada por el empresario a estas entidades, manteniendo el mismo criterio incluso refiriéndose del personal médico propio pero que no desempeñe funciones de vigilancia de salud en el marco de los servicios de prevención propio.
Teniendo en cuanta que estamos ante datos de salud, la Ley Orgánica 15/1999, de 13 de diciembre (LOPD) en su artículo 7.3 exige que éstos sean recabados, tratados y cedidos cuando por razones de interés general así lo disponga una Ley o cuando el afectado lo consienta expresamente. Tratándose de prevención de riesgos laborales, es la Ley 31/1995 que no solo autoriza sino obliga al empresario a constituir servicios de prevención y si éstos fueran ajenos a comunicar datos de sus trabajadores a estas entidades.
Conforme la legislación vigente en la materia, el servicio de vigilancia del estado de salud puede ser voluntario u obligatorio. En la práctica, en la mayoría de los casos este servicio tiene carácter voluntario y sólo podrá llevarse a cabo cuando el trabajador preste su consentimiento. No obstante, el trabajador tendrá que someterse obligatoriamente a los controles de vigilancia de salud, cuando la realización de los reconocimientos sea imprescindible para evaluar los efectos de las condiciones de trabajo sobre su salud o para verificar si el estado de su salud puede constituir un peligro para el mismo, los demás trabajadores o cuando así esté establecido en una disposición legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad,.
Las medidas de vigilancia y control de la salud de los trabajadores tienen que garantizar en todo momento la confidencialidad de toda la información relacionada con su estado de salud respetando especialmente el derecho a la intimidad y a la dignidad de los trabajadores. En este sentido el artículo 22.4 de la Ley 31/1995 dispone que el acceso a la información médica del trabajador tiene que ser restringido al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador. Así, los resultados de las revisiones médicas tendrán que ser comunicados exclusivamente a los trabajadores afectados y el empresario o las personas u órganos con responsabilidades en materia de prevención serán informados sólo de la aptitud del trabajador para el desempeño del puesto de trabajo o en su caso de la necesidad de introducir o mejorar las medidas de protección y prevención.
En consecuencia, se prohíbe la transmisión de la información médica obtenida al amparo de lo dispuesto en la Ley de Prevención de Riesgos Laborales a cualquier tercero distinto del personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, incluido el personal médico de la empresa en que los trabajadores prestan su actividad cuando no corran a su cargo las acciones de vigilancia de la salud de los trabajadores, con la única excepción de las conclusiones derivadas de dicho seguimiento en cuanto a la aptitud de los trabajadores.
En todo caso, si el personal sanitario desempeñara diferentes funciones en la empresa, entre otras también las relativas al propio servicio de prevención, debería cumplir con el deber de secreto y confidencialidad específico respecto de los datos de salud de los trabajadores a los que tuviera acceso, obligación que subsistiría aún después de finalizar la relación con la empresa responsable de tratamiento.
Departamento Legal
Audea Seguridad de la Información