Close

PREVENCIÓN DE RIESGOS LABORALES Y LA LEY 15/99 LOPD. POSIBLES PROBLEMAS.

Uno de los aspectos críticos que se tiene en cuenta al auditar un Sistema de Gestión en Prevención de Riesgos Laborales es la aplicación de la legislación en materia de protección de datos de carácter personal, la Ley 15/99 y posterior reglamentación.
En materia preventiva, los aspectos en los que adquiere mayor importancia son los relativos a Vigilancia de la Salud, debido a los tipos de datos con los que se opera. Es aquí, donde una Auditoría SGPRL debe hacer más énfasis, la confidencialidad de estos datos debe ser un elemento importante en la gestión del Área de Medicina del Trabajo.
Nos hacemos eco del artículo de Xavier Mesegue, Auditor LOPD de SETECAM, en el que expone los que considera los errores más frecuentes en materia de protección de datos de carácter personal en la gestión preventiva, ya correspondan a las empresas, a los servicios de prevención, técnicos de prevención o personal sanitario. Comentamos en cursiva algunos aspectos que nos parece complementa lo desarrollado por el autor citado.
  1. Envíos de los resultados médicos a la empresa: Los archivos en formato papel que contengan datos de salud, deberán enviarse en un sobre precintado que contenga la palabra “confidencial”. Aquí añadiríamos el estudio de cómo se hacen llegar, domicilio o a la empresa, así como el tipo de envío postal. En caso de ser enviados por correo electrónico, deberá estar encriptado o bien a través de una plataforma con acceso de seguridad de nivel alto, facilitando un usuario y contraseña para cada trabajador.
  2. Cesión indebida de datos en la coordinación de actividades empresariales: Previa a la cesión de datos de nuestros trabajadores a terceros, (TC1y TC2, formación, aptitud médica, etc) el trabajador deberá estar informado. Este aspecto debe estar integrado dentro de la gestión de LOPD de la empresa cedente de los datos.
  3. Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente (1*): Cuando el servicio de prevención, sea propio o ajeno, gestione plataformas de coordinación a cuenta de sus empresas clientes, el servicio de prevención deberá tener firmado el correspondiente contrato a terceros con la plataforma que manipule o almacene los datos de carácter personal de los trabajadores. Esto es un aspecto muy habitual en los documentos de contratación que ponen en circulación las plataformas de coordinación de actividades empresariales. 
  4. Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente (2*): En el mismo sentido, el servicio de prevención deberá disponer del contrato a terceros con la empresa cliente en el cual quede constancia de dicha gestión y de la cesión de datos de sus trabajadores a las plataformas.
  5. Salida de soportes (ordenadores portátiles) fuera de las dependencias: Los ordenadores que contengan datos personales de nivel medio y alto que salgan de las dependencias, instalaciones o empresa, deberán disponer de control de accesos (usuario y contraseña). Además, estos equipos deberán estar registrados en el documento de seguridad de la empresa y autorizados por el responsable de seguridad. 
  6. Acceso indebido a información confidencial en archivos informatizados: Los equipos u ordenadores que contengan datos confidenciales y de salud, deberán estar encriptados y solo podrán acceder a sus sesiones el personal médico y personal autorizado que consten en el documento de seguridad.  Autoridad Sanitaria hace mucho énfasis en los accesos informáticos que se tiene a la información de carácter sanitario y, por ello, es algo que suele comprobarse en las Auditorias SGPRL. 
  7. Acceso indebido a información confidencial en archivos físicos: Todos los archivos físicos (formato papel) que contengan datos confidenciales y de salud, deben estar cerrados con llave y con acceso restringido al personal autorizado, así como, mantener un control de accesos físico (huella dactilar, iris, papel…) riguroso y mantenerlo registrado en el documento de seguridad durante dos años. Al igual que en el caso anterior es algo muy vigilado y debe ser auditado en materia de SGPRL con precisión. El matiz en este caso se centra en el caso de los Servicios de Prevención Ajenos cuando arriendan instalaciones que, por ello, se comparten con otro tipo de actividades sanitarias y se aumenta el riesgo de falta de control. Tanto empresa concertante como, especialmente, el Servicio de Prevención Ajeno deben tener información y control acerca de cómo se archivan y se accede a dichos datos.
  8. Falta de formación e información en el uso, manipulación y almacenamiento de datos de carácter personal: Las personas y en especial, el departamento administrativo y los técnicos que manipulen datos de carácter personal, deberán estar formados e informados en materia de LOPD con la finalidad de saber cómo gestionar los datos que les proporcionen y de cómo cederlos con seguridad.
  9. Carencia de seguridad en los soportes informáticos (usuario y contraseñas): el usuario y contraseña son personales e intransferibles. En los equipos informáticos que contengan datos de carácter personal de nivel bajo, se deberán cambiar como mínimo cada 11 meses. En los soportes informáticos que contengan datos de carácter personal de nivel medio o alto, se deberán cambiar cada 3 meses
  10. Periodicidad o inexistencia de copias de seguridad: las copias de seguridad de los archivos que contengan datos de carácter personal de nivel básico, deberán realizarse como mínimo cada 30 días. Las copias de seguridad de los datos de nivel medio y alto (Salud) deberán hacerse a diario y como mínimo realizar una copia externa a las instalaciones con medidas de seguridad altas. Estas copias deberán ejecutarse siempre encriptadas y/o anonimizadas, con la finalidad de que nadie pueda reconocer al paciente.
Acompañamos el artículo íntegro del Auditor LOPD de SETEMCAT Xavier Mesegue Rius, del que es base esta información, y que ha sido publicado recientemente en www.prevencionar.com.