Legalmente, existe determinada información sobre el tratamiento de datos de salud de los trabajadores que debe proporcionarse.

Indicábamos en nuestra entrada «Legitimación del tratamiento de datos de salud de los trabajadores» que, aunque la base que legitima el tratamiento de datos de salud de los trabajadores como consecuencia de la pandemia Covid-19, no sea el consentimiento sino el cumplimiento con las obligaciones y el ejercicio de derechos específicos del en el ámbito del Derecho laboral, se deben cumplir el resto de obligaciones impuestas a los responsables (art. 5 RGPD), de entre las que cabe destacar el deber de información sobre el tratamiento de datos de salud de los trabajadores.

Información sobre el tratamiento de datos de salud de trabajadores

Información sobre el tratamiento de datos de salud de trabajadores

Es decir, que aunque no sea necesario recabar el consentimiento del trabajador, ello no exime de que se le deba informar, de manera leal y transparente, del tratamiento que se va a llevar a cabo de sus datos de salud.

Para conocer con exactitud qué información clara y concisa debemos aportar al trabajador, resultará muy útil disponer de la información recogida en el Registro de Actividades del Tratamiento (RAT), ya que si éste está bien configurado, nos aportará exactamente la información que debemos aportar.

La información mínima que se debe facilitar al trabajador en el momento en que se obtengan sus datos es la siguiente:

  • Responsable y datos de contacto:

Los datos de identificación y contacto de la empresa u organización.

  • Datos de contacto del Delegado de Protección de Datos (DPO):

En el caso de que la empresa tenga designado un DPO, ya sea por obligación o voluntariamente, deberá indicar con claridad al forma que tienen los trabajadores de contactar con dicho DPO.

Si la empresa no está obligada a nombrar DPO o no lo ha designado voluntariamente, es recomendable facilitar al menos el contacto del departamento o persona que tenga atribuidas las tareas relacionadas con la protección de datos.

  • Finalidad del tratamiento:

Deberá indicarse con exactitud y claridad, la o las finalidades del tratamiento de sus datos de salud de forma específica.

Tal como ya indicamos en la entrada Registro de Actividades del Tratamiento (RAT)  en las actuales circunstancias, la finalidad puede ser la salvaguarda de los intereses vitales/esenciales de las personas físicas, en particular el garantizar la salud y seguridad de los trabajadores evitando el contagio o la contención de la pandemia.

  • Cesiones y destinatarios de los datos:

Es obligatorio informar si se produce cesión o comunicación de sus datos a terceros, identificando en tal caso los destinatarios de los datos.

  • Transferencias internacionales:

Debe indicarse si en el tratamiento de los datos se produce algún tipo de transferencia internacional a otras empresas radicadas en países fuera de la UE.

  • Plazo de conservación:

    Debe quedar muy clara la duración limitada en el tiempo del tratamiento de datos de salud y, si como decíamos en Registro de Actividades del Tratamiento (RAT), en la actualidad no pudiera establecerse con exactitud un plazo de conservación de los datos de salud, al menos dejarlo definido, en virtud de la duración de las medidas de prevención de contagios, a la duración de la crisis sanitaria y sus consecuencias como criterio para su determinación.

  • Ejercicio de derechos:

Los trabajadores deben conocer sus derechos en cuanto al tratamiento de sus datos en general. Y, en concreto, conocer también que existen determinados tratamientos de datos legitimados en virtud de la relación laboral, sin el que la misma carecería de sentido.

Es por esta razón por la que es posible que, debido a la legitimación del tratamiento e incluso, en el caso del tratamiento de datos de salud derivado de la prevención del contagio del #Covid-19, haya determinados derechos cuyo ejercicio no sea 100% posible, sino limitado al cumplimiento de determinados requisitos, como es el caso del derecho a la supresión de los datos.

En todo caso, es vital aportar la información sobre cómo puede el trabajador ejercer dichos derechos y cuál va a ser el procedimiento de atención al ejercicio de los mismos.

  • Retirada de consentimiento:

La mención a que en cualquier momento puede retirarse el consentimiento es obligatoria y mínima; excepto cuando la legitimación del tratamiento no es el consentimiento; en cuyo caso, obviamente, no cabe su retirada.

  • Derecho a presentar una reclamación ante la AEPD.

Por último, en virtud del principio de responsabilidad proactiva (accountability) (art. 5.2 RGPD), la empresa responsable del tratamiento de los datos de salud de los trabajadores está obligada, no sólo a cumplir con las disposiciones dude la normativa de protección de datos nacional y europea, sino también a ser capaz de poder demostrar dicho cumplimiento.

Es por ello que es recomendable tener y mantener la evidencia de haber proporcionado la información sobre el tratamiento de datos de salud de los trabajadores, mediante el oportuno registro que acredite que ha recibido la información.

Si desea continuar revisando las tareas inherentes al tratamiento de datos de salud, le indicamos a continuación las siguientes entradas relacionadas:

Si precisa adecuar su empresa al tratamiento de datos personales de salud de sus trabajadores, no dude en contactar con nosotros, estaremos encantados de ayudarle.

Jorge Martín Simó.