PRL y protección de datos

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos, RGPD (o GDPR, por sus siglas en inglés). Este reglamento es el nuevo texto de referencia europeo en materia de protección de datos y reemplaza a la actual Directiva 95/46/EC sobre la protección de datos personales.

Cambios clave:

  • La gran novedad es que desaparece la tipificación actual de niveles de datos (bajo, medio y alto) y las medidas de seguridad específicas a aplicar para cada nivel. Los responsables y encargados deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello se tendrán en cuenta medidas técnicas y organizativas.
  • El campo de aplicación de la ley incluye a aquellas empresas no europeas, cuando trabajen con información personal de residentes europeos.
  • Introduce la figura del delegado de protección de datos (DPD), que será el encargado de velar por que se cumpla el RGPD.
  • Establece el derecho de acceso y derecho a la portabilidad de los datos, así como los derechos al olvido, de corrección y de oposición.
  • También introduce dos principios nuevos: la protección de datos desde el diseño y la protección de datos por defecto.

Y en la documentación de PRL ¿cómo afectan todos estos cambios?

El primer paso es analizar qué tipo de datos de carácter personal forman parte de la documentación que los técnicos de prevención, ya sea de servicios propios o ajenos, manejan a diario:

  • Aptos de vigilancia de la salud y expedientes médicos (en caso de asumir la VS).
  • Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
  • Títulos de formación.
  • Investigación de accidentes.
  • Evaluaciones de riesgos, trabajadores sensibles, embarazadas.
  • Registros de entrega de EPIs.
  • Documentación de Coordinación de Actividades Empresariales de diferentes empresas (títulos de formación, aptos, e incluso el RNT).
  • Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud y de formación).

¿Qué documentos son los susceptibles de contener datos personales?

  • El nombre.
  • La dirección y el número de teléfono.
  • Los registros sanitarios.
  • Los ingresos y la información bancaria, etc.

¿A quién afecta?

Para las organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, documentada mínimamente, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

En cambio, para grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.

Una buena herramienta para determinar si es necesario realizar un análisis de riesgo es Facilita RGPD, diseñada por la Agencia Española de Protección de Datos, destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como, por ejemplo, tratamientos de datos de contacto o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

El tipo de análisis variará en función de:

  • Los tipos de tratamiento.
  • La naturaleza de los datos que se traten.
  • El número de interesados afectados.
  • La cantidad y variedad de tratamientos que una misma organización lleve a cabo.

A tener en cuenta:

El 6 de diciembre de 2018 ha entrado en vigor la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que adapta la legislación española al Reglamento General de Protección de Datos de la Unión Europea.

La sanción máxima por incumplimiento del RGPD puede ser de hasta 20 millones de euros o el 4% de los beneficios anuales, cualquiera que sea la mayor de las dos, así que es importante evaluar el cumplimiento para evitar males mayores.