¿Es posible tratar el dato de vacunación en una empresa?

En los últimos meses, algunas organizaciones se plantean la posibilidad de preguntar al personal trabajador si han sido vacunados o no a fin de adoptar decisiones en materia de gestión y organización del trabajo.

¿Resulta posible desde la perspectiva de protección de datos llevar a cabo dicha recogida de información? ¿Cuál sería la licitud y encaje de dicho tratamiento?

‘CC BY-3.0-ES 2012/EJ-GV/Irekia-Gobierno Vasco/Mikel Arrazola’

1       Naturaleza de los datos de salud

Previamente al análisis del marco jurídico aplicable al tratamiento de datos de salud en el ámbito de las relaciones laborales conviene atender a las definiciones de la normativa sobre los conceptos de dato personal y de datos relacionados con la salud a fin de establecer una base de conocimiento que sirva de ayuda a la interpretación del resto de consideraciones jurídicas.

El Reglamento (EU) 679/2016 General de Protección de Datos (en adelante, RGPD) define datos de carácter personal y datos relativos a la salud con el siguiente tenor:

“Datos de carácter personal: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

«datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

Además, se define el concepto tratamiento de datos del siguiente modo:

Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

Atendiendo a los conceptos y definiciones transcritas no cabe ninguna duda de que, en el supuesto analizado, cualquier acceso, mera visualización o registro será considerado un tratamiento de datos personales y si es posible, vincular la información obtenida con la salud de una persona física identificada o identificable, entonces, nos encontraremos sin ningún atisbo de duda ante un tratamiento de datos personales relacionados con la salud de las personas físicas.

2       Licitud del tratamiento de datos relacionados con la salud

La recogida y tratamiento de datos personales, requiere con carácter general, amparar la licitud en alguna o varias de las bases jurídicas ofrecidas por la legislación. Concretamente, el artículo 6 del Reglamento General de Protección de Datos (EU) 679/2016) o RGPD dispone:

Artículo 6 Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Fundamentalmente, las relaciones jurídicas de índole laboral se sustentan en el marco del desarrollo de una relación contractual por lo que se considera aplicable como base jurídica habilitante para el tratamiento de datos de personas trabajadoras lo previsto en el artículo 6.1.b) del RGPD.

Sin embargo, tal y como se ha expuesto en el apartado anterior, los datos relacionados con la salud de las personas son considerados de categoría especial por lo que igualmente resulta aplicable el artículo 9.1 del RGPD que establece la necesidad de amparar el tratamiento de datos de salud en alguna base jurídica adicional a las ya previstas en el artículo 6 que levante la prohibición general de tratar datos de categoría especial.

En concreto, el mencionado artículo 9 dispone:

Artículo 9. Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial; g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En atención a lo dispuesto en el apartado h), cabe la posibilidad de tratar datos de salud de personas trabajadoras con fines de medicina preventiva o laboral pero siempre y cuando se cumplan las garantías previstas en el apartado 3 del mismo artículo:

3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

De este modo, en el ámbito laboral y con fines de medicina preventiva o laboral, la licitud del tratamiento de datos de salud se encuentra amparada en esa base jurídica o licitud prevista en artículo 9.2.h) si bien queda reservada a los profesionales sanitarios sujetos al código deontológico de su profesión que obliga a observar el deber de secreto sobre los datos relacionado con la salud de las personas trabajadoras cuando se utilizan y recaban con fines de medicina preventiva o laboral.

3. El tratamiento de datos en el marco de la vigilancia de la salud laboral

Visto lo anterior, el marco de relaciones laborales y el tratamiento de datos de salud con fines de medicina preventiva o laboral encuentran su desarrollo en otras disposiciones y normas aplicables al desarrollo de las relaciones jurídicas de índole laboral. En concreto, la normativa de Prevención de Riesgos Laborales, regula el ámbito y alcance de la prevención, aptitud laboral y especialmente si se dispone de un servicio de vigilancia de la salud laboral interno en la organización.

A partir de este punto, a tenor de dicho marco normativo, las facultades de acceso a la información por parte de la empresa son muy limitadas y en la práctica se refieren a conocer las condiciones de aptitud o no aptitud de la persona trabajadora. El tratamiento por parte de los servicios de prevención de riesgos laborales del historial médico, consecuencia de los reconocimientos médicos realizados a las personas trabajadoras, debe limitarse a las previsiones del artículo 22.4 de la LPRL.

4. Los datos relativos a la vigilancia de la salud de los trabajadores no podrán ser usados con fines discriminatorios ni en perjuicio del trabajador.

El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador.

No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención serán informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.

Por tanto, ese precepto impide el acceso a la información médica obtenida al amparo de lo dispuesto en la LPRL por parte del empleador o de cualquier tercero, incluidas las personas u órganos con responsabilidades en materia de prevención, distintos del «personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores», con la única excepción de las conclusiones derivadas de dicho seguimiento en cuanto a la aptitud de las personas trabajadoras para el desempeño del puesto de trabajo.

Es decir, es posible que el empleador deba acceder de modo específico a datos personales de la persona trabajadora necesarios para el cumplimiento de sus obligaciones que desborden la calificación de apto o no apto. En tales casos, la legitimación para el tratamiento deriva de la propia regulación, pero se limitará a los datos estrictamente necesarios.

Por ejemplo, es evidente que si debe adaptarse una pantalla de ordenador con un determinado tamaño de letra existirán problemas visuales, si se debe cambiar un avisador acústico por uno visual existen problemas de audición y que, si el uniforme de trabajo debe ser de un determinado tejido, puede existir una alergia. En todos estos casos puede deducirse la presencia de una discapacidad o enfermedad.

4. Posición de la Doctrina y conclusiones

La Agencia Española de Protección de Datos, en la Guía de relaciones laborales establece con respecto al tratamiento de datos de salud en el ámbito laboral su posición doctrinal indicando que con carácter general, el consentimiento no es una base jurídica que justifique la cesión de datos médicos, pues la persona trabajadora no tiene completa libertad para prestar ese consentimiento. Y, desde luego, tampoco es base jurídica el convenio colectivo tal y como se expone en la sentencia STS 6234/2010, de 27 de octubre, Sala de los Social.

“Las previsiones del Convenio en esta materia, si se entienden referidas al contenido de los reconocimientos, no se ajustan a las exigencias derivadas del respeto a la intimidad y esta invasión de la intimidad no puede justificarse en el presente caso en función del consentimiento del trabajador. En primer lugar, porque no hay ningún interés general que justifique el que se recaben estos reconocimientos médicos confidenciales, se hagan constar en una tarjeta profesional y se remitan a un organismo paritario -la Fundación Laboral Construcción- que no tiene una configuración técnico-sanitaria. La remisión de estos datos carece de interés en términos tanto sanitarios, como de prevención, pues lo importante es que los reconocimientos se realicen y que sus conclusiones se tengan en cuentan por el empresario y los órganos competentes en materia de prevención para adoptar las medidas de protección oportunas, lo que ninguna relación tiene con la remisión de esos reconocimientos a un organismo paritario sin ninguna finalidad específica en orden a la adopción de medidas preventivas en atención al contenido de los reconocimientos y muchos menos con la mera circulación de esa información en una tarjeta profesional. La única función a la que parece apuntar esa ruptura de la confidencialidad a través de la circulación de los reconocimientos sería el objetivo de evitar la repetición de los informes en caso de rotación [artículo 130 d) del Convenio], lo que es contrario a la doctrina de la STC 70/2009. En segundo lugar, porque el consentimiento del trabajador a la hora de proporcionar esta información puede verse perturbado por las consecuencias que la negativa a aportar los informes pueda tener sobre sus posibilidades de ser contratado a partir de la posible clasificación de los trabajadores distinguiendo entre quienes aportan los reconocimientos y los que no lo hacen”

En definitiva, la información resultante de las acciones de vigilancia de la salud del art. 22 de la LPRL sólo autoriza al empleador, y en su caso a terceros ajenos a los profesionales médico-sanitarios que practicaron las pruebas de reconocimiento, a conocer el dato de apto o no apto para el desempeño del puesto de trabajo que ocupa la persona trabajadora o el que pretenda asignársele.

En definitiva, con carácter general, no parece plausible recabar datos sobre vacunación de personal trabajador con fines de gestión y organización del trabajo en base al desarrollo de la relación contractual de índole laboral dado que no parece tener encaje en el ámbito de la protección de salud colectiva de los trabajadores. Quizá resultaría tener su habilitación en el ámbito de los reconocimientos médicos obligatorios para desempeñar algunas profesiones, si bien debería existir alguna previsión normativa al efecto y aún así, la información de salud únicamente debería ser objeto de tratamiento por profesionales sanitarios.

Asimismo, se considera que recurrir a otra licitud como el consentimiento para amparar el tratamiento del dato de salud no parece adecuado en tanto en cuanto no resultaría libremente otorgado en función del fin perseguido.

Acerca de Gonzalo Álvarez Hazas

es.linkedin.com/pub/gonzalo-álvarez-hazas/31/4b7/b3 Ver todas las entradas de Gonzalo Álvarez Hazas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: