¿En que casos es legal la cesion de datos de salud?

La Ley Orgánica 15/1999 regula la cesion de datos, con caracter genral, en su articulo 11. Este principio genral queda matizado, para datos de salud, en su artículo 8 , indicando que “Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica”

Igualmente, debe considerarse aplicable lo establecido en el artículo 7.6 de la Ley citada, que establece que los datos de carácter personal relativos a la salud podrán ser objeto de tratamiento cuando el mismo “resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médico o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra personal sujeta asimismo a una obligación equivalente de secreto”.

Fuera de lo anterior, los datos de salud no pueden cederse a personas que no sean profesionales médicos o sanitarios sujetos al deber de secreto profesional.

¿Debo entregar informacion de mis trabajadores a los representantes sindicales?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal regula dentro de su artículo 11.1 la comunicación de datos, estableciendo con carácter general que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

En el apartado 2 de dicho artículo 11 se prevén las excepciones a la necesidad del consentimiento para que la cesión de datos pueda ser efectiva y así se establece que nos será necesario dicho consentimiento:

a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos

En la materia que nos ocupa, la única cesión prevista de los datos referentes a los trabajadores sería la derivada de las facultades atribuidas a los representantes de los trabajadores es decir, al Comité de Empresa, a los Delegados de Personal o a la Junta de personal, según proceda.

En cuanto a la posibilidad de cesión de datos de los trabajadores a los representantes sindicales, y como consecuencia de la excepción de prestación del consentimiento en los supuestos en que una Ley así lo permita (artículo 11.2.a), debe ponderarse con el legítimo ejercicio de las funciones de control que se atribuyen por la Ley a los órganos de representación colectiva de los trabajadores en la empresa, conforme a las cuales el Estatuto de los Trabajadores dispone que dichos órganos tendrán derecho a acceder a cierta documentación de la empresa.

En el caso de cesión de los datos de los trabajadores, la misma únicamente podría entenderse amparada en caso de que se produjera en el ámbito de las funciones desarrolladas por los Delegados de Personal o el Comité de Empresa (según sea uno u otro al órgano de representación de los trabajadores), al encontrarse reconocido por el Estatuto de los Trabajadores el derecho de los representantes de los trabajadores (Delegados de Personal o Comité de Empresa) a acceder a determinados datos de los trabajadores en el ámbito de sus competencias, en caso contrario será necesario el consentimiento del interesado para proceder a la comunicación de sus datos. Por otra parte, además, la utilización de los datos por parte de los representantes de los trabajadores debería limitarse a la finalidad de control que al mismo atribuye el propio Estatuto.

Concretamente, el articulo 64.1, del Estatuto de los Trabajadores, de 24 de marzo de 1995, recoge las competencias del Comité de Empresa dispone que: “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del articulo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”.

Debe, por otra parte recordarse que el Comité de Empresa o en su caso, los Delegados de Personal, en virtud de lo establecido en el artículo 4.2 de la Ley Orgánica 15/1999, no podrá utilizar los datos cedidos para finalidades distintas de las que motivaron su recogida. en este caso, el correcto desenvolvimiento de la relación laboral y por tanto, deberá limitarse a la finalidad de control que el propio Estatuto atribuye al Comité de Empresa.

La Mutua de accidentes solicita a la empresa copia de los TC2 de los trabajadores ¿Se le pueden entregar?

En primer lugar, las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social son, según resulta del artículo 68 de la Ley General de la Seguridad Social, aprobada por Real Decreto Legislativo 1/1994, de 20 de junio, asociaciones debidamente autorizadas por el Ministerio de Trabajo y Asuntos Sociales, cuyo objeto principal es colaborar en la gestión de la Seguridad Social.

Los empresarios que formalicen la protección del personal a su servicio frente a las contingencias de accidente de trabajo y enfermedad profesional, pueden optar entre hacerlo en la entidad gestora correspondiente de la Seguridad Social o asociándose a una Mutua de Accidentes de Trabajo y Enfermedades de la Seguridad Social,

Por otro lado, la mencionada Ley General de la Seguridad Social regula la obligatoria afiliación a la misma de los “Trabajadores por cuenta ajena que presten sus servicios en las condiciones establecidas en el artículo 1.1 del Estatuto de los Trabajadores en las distintas ramas de actividad económica o asimilados a ellos, bien sean eventuales, de temporada o fijos, aun de trabajadores a domicilio, y con independencia, en todos los casos, de la categoría profesional del trabajador, de la forma y cuantía de la remuneración que perciba y de la naturaleza especial o común de su relación laboral” (artículo 7. 1. a.).

El artículo 99 de dicha norma establece la obligación de los empresarios de afiliación de sus trabajadores y establecer bien la protección de los mismos a través de una entidad gestora o de una Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, como establece el apartado primero de dicha norma al indicar: “Los empresarios, como requisito previo e indispensable a la iniciación de sus actividades, solicitarán su inscripción en el Régimen General de la Seguridad Social , haciendo constar la entidad gestora o, en su caso, la Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social que haya de asumir la protección por estas contingencias del personal a su servicio, de acuerdo con lo dispuesto en el artículo 70”

De dichos preceptos legales deriva la obligación legal de comunicar por parte de los empresarios los datos de sus trabajadores a las indicadas Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, cuando se haya optado por estas como medio de protección de tales contingencias.

Hemos creado una Base de Datos comun para diversas empresas del mismo grupo ¿podemos utilizar todas las empresas del grupo la misma Base de Datos sin problemas?

La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado primero que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Las únicas excepciones a la norma general anterior vienen reguladas en el apartado 2 del propio artículo 11 y en el se prevé que no será necesario el consentimiento para la cesión:

a) Cuando la cesión está autorizada en una Ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Fuera de estos supuestos, es preciso el consentimiento de los afectados.

En el caso planteado (creación de una base de datos común entre dos empresas), cuando una empresa accede a la base de datos de otra que tiene su propia personalidad jurídica se está produciendo una cesión de datos.

Cada empresa debe inscribir su propio fichero con datos personales y debe obtener el consentimiento de los titulares de los datos para que se produzca la cesión entre ambas.

He encontrado informacion sobre mi vida laboral y mi renta personal en un juicio ¿Puedo denunciarlo?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) establece, en su artículo 10, el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Basándose en dicho deber, cualquier entidad que maneje información personal, estará obligada a mantener la confidencialidad de la misma y a no ceder dicha información a nadie sin el consentimiento del titular de los datos personales, salvo que se diera alguna de las excepciones reguladas en el artículo 11 de dicha Ley.

Aquél que desee recabar información disponible por un tercero para aportar en juicio deberá solicitar que el juez la recabe. Las cesiones a jueces y tribunales están permitidas por la propia LOPD (articul 11)

Si sería legítimo y admisible al no suponer cesión, la presentación por el responsable de datos de los que dispone legalmente.

Por tanto, como medio de prueba la empresa puede aportar la vida laboral o la declaración de la renta en un juicio de un trabajador sin su consentimiento.

Si Vd. dispone de pruebas o indicios que acrediten el incumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, puede ponerlo en conocimiento de esta Agencia. Para ello deberá presentar una escrito de denuncia – en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común – y enviarlo por correo (incluido el electrónico)

Dicho escrito deberá contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.

c) Lugar y fecha.

d) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.

e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.

El banco ha dado a un tercero informacion sobre mis cuentas corrientes ¿Qué puedo hacer?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece en su artículo 10 el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Basándose en dicho deber, cualquier entidad que maneje información personal, estará obligada a mantener la confidencialidad de la misma y a no ceder dicha información a nadie sin el consentimiento del titular de los datos personales, salvo que se diera alguna de las excepciones reguladas en el articulo 11 de dicha Ley.

La vulneración del deber de secreto puede constituir falta leve. Si la información revelada se refiere a datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, Servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 29 de la Ley Orgánica 15/1999, constituye infracción grave. Finalmente, si se revela información sobre datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas constituye infracción muy grave.

Si un ciudadano dispone de pruebas o indicios que acrediten el incumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, puede ponerlo en conocimiento de esta Agencia. Para ello deberá presentar una escrito de denuncia – en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común – y enviarlo por correo (incluido el electrónico)

Dicho escrito deberá contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
c) Lugar y fecha.
d) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.

Fuente: AGPD