Conclusiones: 1. El responsable del tratamiento o titular del banco de datos personales con respecto a los datos de salud que se obtienen en virtud de las normas de seguridad y salud en el trabajo, es el empleador.
2. El empleador, al ser el titular del banco de datos de sus empleadores, tiene que cumplir las obligaciones establecidas en la LPDP y su reglamento, pudiendo realizar únicamente los tratamientos autorizados por ley o con consentimiento de los trabajadores, respetando los principios establecidos den la LPDP.
3. En lo que al Seguro Complementario de Trabajo y Riesgo se refiere, la entidad que contrate el empleador para realizar las evaluaciones médicas, debe ser considerada como entidad encargada del tratamiento de los datos de salud de los trabajadores.
4. El médico de vigilancia de salud en el trabajo o, en caso de que el empleador hubiere tercerizado esta actividad, la entidad prestadora de salud (pública o privada), son quienes tratan la información contenida en las Historias Clínicas Ocupacionales o de Salud Ocupacional; con lo cual, atendiendo a la obligación de confidencialidad contenida en el artículo 102 de la Ley N° 29783, Ley de Seguridad y Salud en el Trabajo LSST, estas sólo se encuentran obligadas a informar al empleador las condiciones generales del estado de salud colectiva de los trabajadores.
5. El empleador sólo debe conocer la información mínima necesaria para mantener los Registros Obligatorios del Sistema de Gestión de Seguridad y Salud en el trabajo.
6. La entidad aseguradora contratada por el empleador entrega la información médica de los trabajadores al médico de vigilancia en salud del centro laboral o a la entidad que cumpla dicha función, no pudiendo entregarla a otro funcionario del centro laboral.
OPINIÓN CONSULTIVA N° 013-2021-JUS/DGTAIPD
ASUNTO: Opinión sobre tratamiento de datos de los trabajadores en materia de seguridad y salud en el trabajo.
REFERENCIA: Hoja de Trámite N° 14939-2020MSC.
FECHA: Miraflores, 17 de marzo de 2021
I. ANTECEDENTES
1. Mediante el documento de la referencia, la empresa Volcán Compañía Minera S.A.A.
solicita a la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, DGTAIPD) determine lo siguiente:
(i) Quién es el administrador de los bancos de datos personales referidos a la salud ocupacional y de vigilancia médica de los trabajadores.
(ii) Los derechos que ostenta el administrador del banco de datos personales de salud ocupacional de los trabajadores.
(iii) Si el sistema de vigilancia médica del empleador requiere autorización expresa para acceder a los resultados del procedimiento de evaluación y calificación de invalidez por accidente de trabajo o enfermedad profesional a cargo del asegurador en el rubro Seguro Complementario de Trabajo y Riesgo (en adelante SCTR).
(iv) Si los resultados del procedimiento de calificación de invalidez en el marco regulado por el SCTR constituyen datos que forman parte de la Historia Clínica Ocupacional o Historial Médico Ocupacional que el empleador se encuentra obligado a custodiar en sus registros.
(v) Si el asegurador se encuentra obligado a notificar el resultado final del procedimiento de evaluación de invalidez para ser incorporado a la Historia Clínica Ocupacional o Historial Médico Ocupacional del trabajador por el sistema de vigilancia médica implementado por el empleador.
II. MARCO NORMATIVO DE ACTUACIÓN
2. La DGTAIPD es la encargada de ejercer la Autoridad Nacional de Transparencia y Acceso a la Información Pública (ANTAIP) [1] y la Autoridad Nacional de Protección de Datos Personales (en adelante, la “ANPD”)[2].
3. Entre sus funciones se encuentra absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto a la aplicación de las normas de transparencia y acceso a la información pública, así como de la normativa sobre protección de datos personales.
4. En esa medida, esta Dirección General emite la presente Opinión Consultiva en el ámbito de la interpretación en abstracto de las normas y no como mandato específico de conducta para un caso en concreto.
5. En ese sentido, este Despacho absolverá la consulta formulada respecto a los datos de los trabajadores en materia de seguridad y salud en el trabajo.
III. ANÁLISIS
Sobre el Seguro Complementario de Trabajo y Riesgo
6. Mediante la Ley N° 26790, Ley de Modernización de la Seguridad Social en Salud (en adelante LMSS), se estableció un nuevo modelo de protección a la comunidad de trabajadores dependientes e independientes, activos y pensionistas que incluye, en el artículo 19, la creación del Seguro Complementario de Trabajo y Riesgo (en adelante SCTR). Dicho seguro otorga cobertura adicional por accidentes de trabajo y enfermedades profesionales a los afiliados regulares del Seguro Social de Salud que desempeñan las actividades de alto riesgo señaladas en el Anexo 5 del Reglamento de la LMSS, aprobado mediante Decreto Supremo N°. 009-97-SA.
7. En ese marco, el artículo 5 de las Normas Técnicas del Seguro Complementario de Trabajo de Riesgo, aprobadas por el Decreto Supremo N° 003-98-SA, establece que las entidades empleadoras que realizan las actividades de riesgo señaladas en el Anexo 5 del Reglamento de la LMSS, están obligadas a contratar el SCTR.
8. La LMSS dispone, en el artículo 15, que las Entidades Empleadoras que otorguen coberturas de salud a sus trabajadores en actividad pueden hacerlo a través de servicios propios o mediante planes o programas de salud contratados con Entidades Prestadoras de Salud (EPS).
9. En ese sentido, los artículos 83 y 85 del Reglamento de la LMSS precisan que la cobertura de salud por trabajo de riesgo podrá ser contratada libremente por el empleador, quien podrá optar por contratar con ESSALUD[3] o con una EPS elegida conforme al artículo 15 de la Ley N° 26790.
10. Así, en el caso de que la entidad empleadora contrate a ESSALUD o a una EPS, esta brindará a los trabajadores asegurados las prestaciones de salud que corresponden a la cobertura del seguro, entre las cuales se encuentran, por ejemplo, la atención médica, farmacológica, hospitalaria y quirúrgica, cualquiera que fuere el nivel de complejidad; hasta la recuperación total del trabajador asegurado o la declaración de una invalidez permanente total o parcial o fallecimiento, así como la rehabilitación y readaptación laboral del trabajador.
11. Visto lo anterior, es claro que la calidad de afiliado en el SCTR del trabajador deviene de la relación laboral de la que forma parte; en la cual, el empleador, al definir las características de la prestación que llevan a cabo sus trabajadores, determina también la existencia de la obligación o necesidad de que se encuentren afiliados al referido seguro.
Sobre el tratamiento de datos personales sensibles
12. La Ley N° 29733, Ley de Protección de Datos Personales (en adelante, LPDP), define a los datos personales en el artículo 2, numeral 4, como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”.
13. Asimismo, establece una categoría especial de datos personales de mayor protección, los datos sensibles, definidos en el artículo 2, numeral 5, como “aquellos datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones políticas, religiosas, filosóficas o morales, afiliación sindical; e información relacionada a la salud o a la vida sexual.”
14. De forma complementaria, el Reglamento de la LPDP, aprobado a través del Decreto Supremo N° 003-2013-JUS, define los datos relacionados con la salud, que son datos sensibles, como “aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.” Por lo tanto, los resultados de exámenes médicos realizados en el marco del seguro complementario de riesgo, que incluyen además el grado de discapacidad o invalidez, son datos personales sensibles.
15. La LPDP establece los principios para el tratamiento de datos personales, entre ellos, el principio de consentimiento[4]. Dicho consentimiento, del titular de los datos, conforme al
artículo 13, incisos 13.5 y 13.6, debe ser previo, libre, expreso e informado, y en el caso
de datos sensibles, este debe darse por escrito.
16. Sin embargo, la LPDP, en su artículo 14, establece circunstancias que constituyen excepciones a la obligación de solicitar el consentimiento, entre ellas, las siguientes:
• Cuando los datos personales sean necesarios para la preparación, celebración y ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento. (LPDP, artículo 14, numeral 5)
• Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados. (LPDP, artículo 14, numeral 6)
• Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de tratamiento de datos personales. (LPDP, artículo 14, numeral 9).
• Otros que deriven del ejercicio de competencias expresamente establecidas por Ley (LPDP, artículo 14, numeral 13).
17. Cabe mencionar que no basta con solicitar el consentimiento, sino que se deben de respetar los demás principios y disposiciones establecidos en la LPDP y su reglamento.
En todos los casos, se debe de respetar, por ejemplo, el principio de proporcionalidad, que consiste en que “todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados”[5]; así como también se debe de respetar el deber de confidencialidad de los datos personales.
18. Por lo tanto, respecto al tratamiento de datos materia de consulta, en el caso de salud ocupacional, el empleador podrá realizar tratamiento de datos sin necesidad de pedir el consentimiento del titular del dato, siempre que se recopilen únicamente los datos necesarios de acuerdo al puesto de trabajo, y se atengan a lo dispuesto en la regulación especial, es decir, a lo dispuesto en la Ley N° 29783, Ley de Seguridad y Salud en el Trabajo (en adelante LSST) y a su reglamento, aprobado por Decreto Supremo N°. 005- 2012-TR y modificado por el artículo 1 del Decreto Supremo N° 006-2014-TR, publicado el 09 de agosto de 2014, y el Decreto Supremo N° 001-2021-TR, publicado el 29 de enero de 2021, en adelante Reglamento de la LSST.
Sobre el responsable del tratamiento de datos personales de datos personales referidos a la salud ocupacional y de vigilancia médica de los trabajadores
19. La LPDP define al titular del banco de datos personales en el artículo 2, numeral 17, como la “persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad”. En ese sentido, un empleador, sea persona jurídica o entidad pública, es titular del banco de datos de sus trabajadores, y por lo tanto es quien determina qué información de los trabajadores se solicita o recopila, cómo se almacena, con quiénes se comparte.
20. Cabe precisar que el titular del banco de datos personales debe cumplir las obligaciones establecidas en la LPDP y su reglamento, con la finalidad de proteger los datos personales de los titulares de los datos sobre los que realiza tratamiento. En ese sentido, los titulares de bancos de datos personales tienen responsabilidades respecto al uso de los datos, pudiendo realizar los tratamientos autorizados por ley o con el consentimiento de sus titulares, respetando los principios establecidos en la LPDP, tales como el principio de proporcionalidad, finalidad y seguridad.
21. El titular del banco de datos puede encargar a un tercero que realice determinado tratamiento de datos personales[7]. Dicho tercero es un encargado de tratamiento que, de
acuerdo a la LPDP, artículo 2, numeral 7, es “toda persona natural, persona jurídica de
derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales”.
22. En el caso de los empleadores, deberán realizar los tratamientos de datos de sus trabajadores necesarios para el cumplimiento de la ejecución de la relación contractual, así como también deben realizar los tratamientos señalados en las normas sectoriales.
[Continúa…]
Descargue el informe aquí
<iframe style=”width: 800px; height: 1000px;” src=”https://docs.google.com/gview?url=https://img.lpderecho.pe/wp-content/uploads/2022/03/Opinion-consultiva-013-2021-JUS-DGTAIPD-LPDerecho.pdf&embedded=true” frameborder=”0″><span data-mce-type=”bookmark” style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” class=”mce_SELRES_start”></span><span style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” data-mce-type=”bookmark” class=”mce_SELRES_start”></span><span style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” data-mce-type=”bookmark” class=”mce_SELRES_start”></span><span style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” data-mce-type=”bookmark” class=”mce_SELRES_start”></span><span style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” data-mce-type=”bookmark” class=”mce_SELRES_start”></span><span style=”display: inline-block; width: 0px; overflow: hidden; line-height: 0;” data-mce-type=”bookmark” class=”mce_SELRES_start”></span></iframe>
[1] Decreto Legislativo N° 1353, que crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública, fortalece el régimen de protección de datos personales y la regulación de gestión de intereses (publicado el 07 de enero de 2017; Decreto Supremo N° 013-2017-JUS, que aprueba el Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos (publicado el 22 de junio de 2017); y Decreto Supremo N° 019-2017-JUS, que aprueba el Reglamento del Decreto Legislativo N° 1353 (publicado el
15 de setiembre de 2017).
[2] Ley N° 29733, Ley de Protección de Datos Personales, artículo 32.
[3] Al respecto téngase en cuenta la Resolución de Gerencia General Nro. 133-GG ESSALUD-2021 que aprueba el “Contrato de Afiliación al Seguro Complementario de Trabajo de Riesgo -Salud (Entidades Privadas)”, y las “Condiciones de Afiliación al Seguro Complementario de Trabajo de Riesgo – Salud (Entidades Públicas)”, a cargo de ESSALUD.
[4] LPDP, artículo 5.
[5] LPDP, artículo 7.
[6] LPDP
“Artículo 17. Confidencialidad de datos personales
El titular del banco de datos personales, el encargado y quienes intervengan en cualquier parte de su tratamiento están obligados a guardar confidencialidad respecto de los mismos y de sus antecedentes. Esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales. El obligado puede ser relevado de la obligación de confidencialidad cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales, resolución judicial consentida o ejecutoriada, o cuando medien razones fundadas relativas a la defensa nacional, seguridad pública o la sanidad
pública, sin perjuicio del derecho a guardar el secreto profesional.”
[7] La LPDP, en el artículo 2, numeral 19, define tratamiento de datos personales como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.”