Seleccionar página

PRL Y PROTECCIÓN DE DATOS

por | Nov 7, 2019 | Análisis de Riesgos RGPD, blog, Datos de salud- RGPD | 0 Comentarios

PRL Y PROTECCIÓN DE DATOS

La privacidad y la protección de datos también pueden abordarse desde la prevención de riesgos laborales.

La protección de datos es algo trasversal, que exige una perspectiva holística y que involucra a todo y a todos en una organización.

Documentación de PRL

El primer paso es analizar qué tipo de datos de carácter personal forman parte de la documentación que los técnicos de prevención, ya sea de servicios propios o ajenos, manejan a diario:

  • Aptos de vigilancia de la salud y expedientes médicos (en caso de asumir la Vigilancia de la Salud).
  • Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
  • Títulos de formación.
  • Investigación de accidentes.
  • Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
  • Registros de entrega de EPIs.
  • Documentación de Coordinación de Actividades Empresariales de diferentes empresas (títulos de formación, aptos, e incluso el RNT ó relación nominal de trabajadores).
  • Documentos de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud y de formación).

¿Qué documentos son los susceptibles de contener datos personales?

  • Nombre.
  • Dirección y el número de teléfono.
  • Registros sanitarios.
  • Ingresos y la información bancaria, etc.

¿A quién afecta?

Para las organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, documentada mínimamente, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

En cambio, para grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.

Todos los responsables de PRL deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

El tipo de análisis variará en función de:

  • -Los tipos de tratamiento.
  • -La naturaleza de los datos que se traten.
  • -El número de interesados afectados.
  • -La cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Errores más frecuentes

La ley de Protección de DatosEnlace añadido por la extensión vLex, nos exige que todos estos datos de carácter personal, estén a buen recaudo, y que su uso sea pertinente, adecuado y proporcional, que se informe a la persona o interesado de su uso, manipulación y cesión.

Los errores más frecuentes que se cometen tanto por parte de las empresas, de los Servicios de Prevención (PRL),  como de los técnicos y personal sanitario son:

Envíos de los resultados médicos a la empresa: 

Los archivos en formato papel que contengan datos de salud, deberán enviarse en un sobre precintado que contenga la palabra “confidencial”.

En caso de ser enviados por correo electrónico, deberá estar encriptado o bien a través de una plataforma con acceso de seguridad, facilitando un usuario y contraseña para cada trabajador.

Cesión indebida de datos en la coordinación de actividades empresariales:

Previa a la cesión de datos de nuestros trabajadores a terceros, (TC1y TC2, formación, aptitud médica, etc) el trabajador deberá estar informado.

Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente: 

Cuando el servicio de prevención (PRL) gestione plataformas de coordinación a cuenta de sus empresas clientes, el servicio de prevención deberá tener firmado el correspondiente contrato a terceros con la plataforma que manipule o almacene los datos de carácter personal de los trabajadores.

En el mismo sentido, el servicio de prevención (PRL) deberá disponer del contrato a terceros con la empresa cliente, en el cual quede constancia de dicha gestión y de la cesión de datos de sus trabajadores a las plataformas.

-Salida de soportes (ordenadores portátiles) fuera de las dependencias: 

Los ordenadores que contengan datos personales que salgan de las dependencias, instalaciones o empresa, deberán disponer de control de accesos (usuario y contraseña).

Además, estos equipos deberán estar registrados en el documento de seguridad de la empresa y autorizados por el responsable de seguridad.

-Acceso indebido a información confidencial en archivos informatizados: 

Los equipos u ordenadores que contengan datos confidenciales y de salud, deberán estar encriptados y solo podrán acceder a sus sesiones el personal médico y personal autorizado que consten en el documento de seguridad.

-Acceso indebido a información confidencial en archivos físicos: 

Todos los archivos físicos (formato papel) que contengan datos confidenciales y de salud, deben estar cerrados con llave y con acceso restringido al personal autorizado, así como, mantener un control de accesos físico (huella dactilar, iris, papel…) riguroso y mantenerlo registrado en el documento de seguridad.

-Falta de formación e información en el uso, manipulación y almacenamiento de datos de carácter personal: 

Las personas y en especial, el departamento administrativo y los técnicos que manipulen datos de carácter personal, deberán estar formados e informados en materia de protección de datos,  con la finalidad de saber cómo gestionar los datos que les proporcionen y de cómo cederlos con seguridad.

-Carencia de seguridad en los soportes informáticos (usuario y contraseñas): 

El usuario y contraseña son personales e intransferibles.

En los equipos informáticos que contengan datos de carácter personal, las contraseñas se deberán cambiar de forma frecuente.

-Periodicidad o inexistencia de copias de seguridad: 

Las copias de seguridad de los archivos que contengan datos de carácter personal de nivel básico, deberán realizarse como mínimo cada 30 días.

Las copias de seguridad de los datos de salud deberán hacerse a diario y como mínimo realizar una copia externa a las instalaciones con medidas de seguridad altas.

Estas copias deberán ejecutarse siempre encriptadas y/o anonimizadas, con la finalidad de que nadie pueda reconocer al paciente.

Es importante recordar

La ley 31/1995, en particular en su art 22 sobre Vigilancia de la Salud:

-en su apdo 2 dice “Las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo respetando siempre el derecho a la intimidad y a la dignidad de la persona del trabajador y la confidencialidad de toda la información relacionada con su estado de salud”, y

-en su apdo 4 que “El acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”.

Así pues, ante peticiones que supongan el ceder esa información de datos de salud, y salvo la comunicación a la propia persona titular de esos datos, los mismos sólo podrían ser comunicados a otros facultativos médicos si el propio usuario solicitara la transmisión de su historia a su nuevo médico, sin perjuicio del deber de conservación del anterior. En ese caso, ese nuevo médico se encontraría vinculado por los mismos deberes legales.

Para finalizar, recordar que a ninguna persona, con las salvedades de a la autoridad sanitaria y a la autoridad judicial (si al respecto hay una orden requisitoria fundamentada), se le puede facilitar ninguno de esos datos especialmente protegidos por la vigente legislación.

Logo Gestiona Abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *