Descargar vídeo José Ramón Hernando

En este sentido, el secretario de la Junta Directiva de FREMAP, Ángel Vallejo, indicó que “llevamos ya más de una década desde que se promulgó la ley de protección de datos, y gran parte de las empresas no están al día en esta materia. Algo que puede acarrear graves consecuencias”. Vallejo hizo un análisis de la normativa relativa a la protección de datos, determinada por la Ley Orgánica 15/1999, de protección de datos, así como el Real Decreto 1720/2007, la Ley 41/2002 o, en Navarra, también por la Ley Foral 17/2010. Según la ley, “un dato personal es todo aquel que pueda ayudar a identificar a una persona”. Además, determinados datos personales, como aquellos relativos a la salud, son especialmente sensibles.

De esta forma, los datos relativos a la salud gozan de la consideración de “datos especialmente protegidos” y sólo podrán ser recabados, tratados y cedidos cuando así lo disponga una Ley o el afectado consienta expresamente, tal y como explicó Vallejo. Sin embargo, y aunque ésta es la norma general, el experto aseguró que se exime del consentimiento expreso en supuestos de acciones de vigilancia de carácter obligatorio.

Por ejemplo, tal y como subrayó el coordinador de Prevención de FREMAP, José Ramón Hernando,  existen algunos colectivos que pueden estar expuestos a trabajos especialmente peligrosos y que obligatoriamente han de someterse a una vigilancia de la salud, conforme a unos protocolos marcados por la ley. En este sentido, prima la obligación de la prevención sobre la protección de datos.

La cesión de datos a terceros, “especialmente castigada por la ley”

También se requiere de un consentimiento expreso del afectado en el supuesto de una cesión de datos. Es decir, que la entidad responsable del fichero que recoge los datos (por ejemplo, una mutua que disponga de una analítica de su paciente) se lo ceda a un tercero (como pueda ser un laboratorio). “Esa cesión hay que plasmarla jurídicamente, porque la revelación de datos es un supuesto especialmente castigado por la ley”.

Sin embargo, y aunque contar con el consentimiento del interesado, es “la vía más sencilla”, Vallejo recomendó la suscripción de contratos entre los diferentes centros sanitarios para la prestación de servicios, determinando bien las obligaciones recíprocas de ambas partes.

De esta forma, siempre que sea necesario para la prestación de un servicio al responsable, “no se considerará comunicación de datos el mero acceso de un tercero”. Añadido a esto, el secretario de la Junta de FREMAP también indicó la prevalencia del “principio de especialidad”, por el que el acceso de cada profesional será a los datos relacionados sólo con sus propias funciones.

Por otra parte, en la jornada también se explicó que la cesión de datos a terceros también puede estar autorizada en una ley, como puede ser la comunicación de los datos de una póliza a la Dirección General de Seguros o, en el caso de un servicio de vigilancia de la salud, la comunicación a la empresa de la aptitud o no aptitud de un trabajador. Sin embargo, tal y como reconoció Vallejo, el problema viene con qué ocurre con los “aptos con limitaciones”.

En estos supuestos, “la empresa ha de conocer cuáles son esas limitaciones para tomar medidas”, algo que también es función del servicio de prevención, tal y como aseguró Hernando. Por su parte, Vallejo añadió que “los datos habrán de ser los adecuados, necesarios y proporcionados”. Es decir, la información estrictamente necesaria para que la empresa adapte el puesto o tome las medidas preventivas pertinentes.ç

  Descargar vídeo Ángel Vallejo

Hernando también se refirió a los problemas que puede plantear una cesión de datos en el marco de una subcontrata. Por ejemplo, en la comprobación que tiene que hacer el empresario del cumplimiento de las obligaciones de alta en Seguridad Social de trabajadores en los supuestos de subcontratación. En estos casos, el coordinador de Prevención de FREMAP recomendó atenerse sólo a los datos que se pidan, “siendo lo más asépticos posibles”.

Por ejemplo, no sería pertinente remitir la nómina de un trabajador, en la que podría venir información adicional como su afiliación sindical. En conclusión, “cuando una norma habilita para una cesión de datos, tenemos que hacer la interpretación más restrictiva posible, que es, por cierto, la que va a hacer la Agencia de Protección de Datos”, recomendó por su parte Vallejo. Éste también recomendó que, antes de enfrentarse a una sanción, es recomendable consultar las dudas a la propia agencia, “que suele contestar”.

Sanción de hasta 600.000 euros por incumplir la finalidad del tratamiento de datos

En la recogida de datos de carácter personal, al afectado también han de recalcarle la finalidad a la que se van a destinar esos datos. En tal caso, “esa compañía no podrá utilizar mis datos de manera distinta”, como puede ser un fin comercial. De hecho, éste es uno de los temas que acarrea mayores multas, con una sanción máxima de hasta 600.000 euros, tal y como advirtió Vallejo.

Asimismo, “es importante que se identifique quién es el responsable del tratamiento del fichero y la ubicación del mismo”, para que el particular sepa a quién tiene que dirigirse en el supuesto de que quiera acceder a los datos o incluso cancelarlos. Además, también hay que tener en cuenta que “los datos habrán de ser pertinentes para la finalidad con la que se recogen”.

En cuanto al derecho de acceso, según explicó Vallejo, supone que “el titular puede pedir que se le entregue una copia de, por ejemplo, sus evaluaciones médicas”. Por otra parte, el afectado también tiene derecho de cancelación, por el que puede pedir que se anule su historial. Sin embargo, el ponente recordó que la Ley 41/2002 dictó que los centros asistenciales, como puede ser un centro médico de empresa, tienen la obligación de custodiar los historiales durante un periodo mínimo de cinco años, por lo que pueden oponerse a una cancelación.