Descripción del proyecto

Es importante que las PYMES sepan gestionar adecuadamente la protección de datos personales en el ámbito de la prevención de riesgos laborales.

Las cuestiones relacionadas con la protección de datos de carácter personal están a la orden del día. Son frecuentes los sucesos y noticias referentes a personas y organizaciones que han sido víctimas de la ciberdelincuencia a través de hechos tales como el hackeo de cuentas de correo electrónico, aplicaciones, plataformas de comunicación y en redes sociales, acceso a usuarios y contraseñas de seguridad, acceso no autorizado a sistemas, redes y bases de datos, sustracción de información confidencial (datos, documentos,
imágenes,…), suplantación de identidades, espionaje, delitos económicos, etc.

PROTECCIÓN

Resultado del proyecto

Todo ello pone de manifiesto la importancia que tiene para las personas y las organizaciones (empresas) el diseño, la implementación y la integración suficiente y adecuada de sistemas, herramientas y procesos de seguridad de la información, que garanticen unos adecuados niveles de prevención, protección y gestión de contingencias, especialmente en todo lo referente a los datos de carácter personal asociados a sus trabajadores, clientes, proveedores y otras partes interesadas.

Señalar que estos aspectos están debidamente regulados por normativa específica, la cual dispone el marco de derechos y obligaciones para personas y organizaciones públicas y privadas. El panorama legislativo en protección de datos personales ha cambiado recientemente, puesto que el Reglamento (UE) 2016/679 de 27 de abril de 2016 (en adelante el “RGPD”) es aplicable desde el 25 de mayo de 2018. El RGPD incorpora cambios y nuevas obligaciones respecto a la legislación de protección de datos personales existente en España, siendo destacable la recién aprobada Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

La gestión de aspectos de la prevención de riesgos laborales en las empresas conlleva la identificación, generación, almacenamiento, acceso, intercambio, etc. de datos de carácter personal, información y documentos diversos. La Ley 31/1995 de prevención de riesgos laborales (en adelante “LPRL”) obliga a la empresa a realizar una serie de actividades preventivas para garantizar unas condiciones de trabajo seguras y saludables, muchas de las cuales conllevan el tratamiento de datos personales de trabajadores propios,
pertenecientes a contratistas, etc.

La LPRL, en su artículo 23, establece la documentación básica mínima que el empresario debe elaborar y conservar a disposición de la autoridad laboral y sanitaria, para poder demostrar que cumple con sus obligaciones en materia preventiva; comentar que existen otros artículos y disposiciones reglamentarias complementarias a esta ley, que deben considerarse normativa en prevención de riesgos laborales, en las cuales se identifican aspectos relacionados con actividades, información y otros documentos de interés, necesarios para garantizar el cumplimiento de obligaciones y una adecuada gestión preventiva y de
protección de datos personales. Muchos de estos documentos contienen información de carácter personal correspondiente a los trabajadores de la organización o terceras partes interesadas (clientes,
proveedores, …).

Es por este motivo que desde CROEM hemos considerado necesario e importante dar a conocer a las PYMES la regulación existente en materia de protección de datos personales, y cómo ésta afecta a los diferentes documentos utilizados en el marco de la gestión preventiva tanto por los servicios de prevención, ya sean éstos propios, ajenos o mancomunados, así como por los representantes de los trabajadores, los miembros del Comité de Seguridad y Salud, el propio empresario, el resto de trabajadores de la
organización, entidades auditoras y terceras partes interesadas.

La presente Guía está dirigida a empresarios y a técnicos de prevención de riesgos laborales, así como a cualquier otra persona de la organización que pueda tener acceso a información, datos y documentación del sistema de gestión de la prevención de riesgos laborales. Ésta versa sobre aquellas cuestiones que afectan al tratamiento de datos personales en prevención de riesgos laborales e incluye las pautas para el
cumplimiento de la legislación actual en dicho ámbito. Persigue como objetivo fundamental proporcionar una herramienta de consulta para la identificación de necesidades, obligaciones y buenas prácticas de gestión en materia de protección de datos personales contenidos en las diferentes actividades y documentos asociados a la gestión preventiva.

La Guía se estructura en una primera parte en la que se desarrollan los conceptos básicos en materia de protección de datos personales, aspectos normativos sobre protección de datos personales y prevención de riesgos laborales, referencia a los organismos de control en protección
de datos personales y descripción de las principales actividades preventivas y documentos en materia de
prevención de riesgos laborales a tener en cuenta en el marco de la nueva normativa sobre protección
de datos de carácter personal.

Una segunda parte de la guía, hace referencia y describe las principales obligaciones que impone el RGPD a la PYME en el tratamiento de datos personales para la prevención de riesgos laborales; en este ámbito se profundiza sobre la posición jurídica (responsable o encargado del tratamiento) que ocupan las PYMES, sus diferentes figuras preventivas (delegados de prevención, recursos preventivos, coordinadores,…) y las
empresas prestadoras de servicios en materia y de prevención de riesgos laborales (servicios de prevención ajenos, entidades auditoras,…); también se analiza el tratamiento en la empresa de los datos personales en materia de prevención de riesgos laborales, detectando los sujetos afectados y las tipologías de datos tratados, para después examinar el riesgo y los requisitos formales que deben cumplirse para que el tratamiento se haga conforme el RGPD. Concretamente se dan pautas para la creación del registro de actividades del tratamiento de prevención de riesgos laborales, y para la elaboración de una Evaluación de impacto (EIPD). Se analiza también la legitimación de la empresa para el tratamiento de datos personales en el ámbito de prevención de riesgos laborales.

En último bloque se identifican las principales responsabilidades y sanciones asociadas al incumplimiento normativo, referencia a fuentes de información y consulta y anexos con información complementaria.

Señalar en último lugar que los contenidos de esta Guía no son permanentes en el tiempo, en tanto que lo dispuesto puede variar como consecuencia de la evolución legislativa en materia de protección de datos personales y prevención de riesgos laborales, así como de la interpretación que las autoridades de control y órganos jurisdiccionales realicen a través de sus resoluciones sobre la reciente legislación de protección de datos personales. En todo caso considerar que la responsabilidad sobre el buen uso, adaptación y aplicación de los contenidos de esta Guía reside en los usuarios de la misma.