Sumario: 1. Introducción, 2. Antecedentes de la infracción sancionada por SUNAFIL, 3. Análisis del incumplimiento del deber de confidencialidad realizado por SUNAFIL, 4. Deber de confidencialidad, 5. Antecedentes de la denuncia presentada ante la Autoridad Nacional de Protección de Datos Personales, 6. Sobre el tratamiento de datos personales sensibles, 7. Análisis de los actos contrarios a la Ley de Protección de Datos Personales, 8. Conclusiones.
Introducción
En el presente artículo la autora comenta sobre el deber de todo empleador de garantizar la confidencialidad de los exámenes médicos ocupacionales y la verificación de su cumplimiento por la Superintendencia Nacional de Fiscalización Laboral en el Expediente N° 341-2020- SUNAFIL/ILM/SIRE4, además de su calidad de dato personal sensible de los trabajadores y su revisión por parte de la Autoridad Nacional de Protección de Datos Personales en el Expediente N° 176-2020-JUS/DGTAIPD-PAS, confirmando la necesidad de que el Sistema de Gestión de Seguridad y Salud en el Trabajo sea compatible con los otros sistemas de gestión de la organización, como el de Protección de Datos Personales.
Antecedentes de la infracción sancionada por SUNAFIL
Mediante la Orden de Inspección N° 202-2018-SUNAFIL/INSSI, la inspectora de SUNAFIL requirió a la empresa inspeccionada, la exhibición del registro de enfermedades ocupacionales y el registro de exámenes médicos ocupacionales, en la comparecencia del 13/08/2018.
En cumplimiento del requerimiento, la empresa procedió a presentar la siguiente información:
- Anexo N° 7 C – examen médico ocupacional (preocupacional), del 08/08/2015, y fecha de caducidad 07/08/2016, con resultado de evaluación “apto” y también se exhibe el Anexo N° 7 D – evaluación médica para grandes altitudes (mayor a 2.500 m.s.n.m.), del 08/08/2015, para efectuar labores de “Supervisor de Mina” con resultado de evaluación “apto”.
- Anexo N° 7 C – examen médico ocupacional (anual), del 05/08/2016 y fecha de caducidad 05/08/2017, con resultado de evaluación “apto”.
- Anexo N° 16 – examen médico ocupacional (anual), del 01/08/2017 y fecha de caducidad 01/08/2018, con resultado de evaluación “apto para trabajar”.
- Anexo N° 16 – examen médico ocupacional (anual), del 01/04/2018 y fecha de caducidad 01/04/2019, sin señalar resultados de la evaluación, con el rubro de observaciones donde se señalan descripciones, recomendaciones y restricciones.
El 13 de febrero de 2020, la autoridad instructora notificó al sujeto inspeccionado la Imputación de Cargos N° 195-2020-SUNAFIL/ILM/AI2 y el acta de infracción, dando inicio al procedimiento sancionador y otorgando un plazo de cinco (05) días hábiles para la presentación de sus descargos; cumpliendo la empresa fiscalizada con presentarlos el 20 de febrero de 2020, mediante escrito con registro N° 128547.
Posteriormente, de conformidad con lo previsto en el literal g) numeral 53.2 del artículo 53 del RLGIT, la autoridad instructora emitió el Informe Final de Instrucción N° 299-2020- SUNAFIL/ILM/AI2 y el 26 de agosto de 2020, se notificó el informe final al sujeto inspeccionado, otorgándole un plazo de cinco (05) días hábiles para formular sus descargos; habiendo presentado el escrito con registro N° 128547 de fecha 02 de setiembre de 2020.
Recibidos los descargos, la Sub Intendencia de Resolución 4 de la Intendencia de Lima Metropolitana, emitió la Resolución de Sub Intendencia N° 444-2020-SUNAFIL/ILM/SIRE4, resolvió sancionar a la empresa del sector minero por cometer entre otras infracciones de seguridad y salud en el trabajo, la infracción regulada en el artículo 28.4 del artículo 28 del Reglamento de la Ley General de Inspección de Trabajo, sobre no cumplir con el deber de confidencialidad, en afectación a un extrabajador; imponiéndole una multa, ascendiente a 2.25 UIT (S/. 9,450.00).
Sanción confirmada, en la Resolución de Intendencia N° 942-2020-SUNAFIL/ILM de fecha 15 de diciembre de 2020, emitida por la Intendencia de Lima Metropolitana.
Análisis del incumplimiento del deber de confidencialidad realizado por SUNAFIL
La Sub Intendencia de Resolución 4 de la Intendencia de Lima Metropolitana, señaló: “la empresa inspeccionada no respetó el deber de confidencialidad, máxime tratándose sobre el estado de salud de una persona, vulnerando así la intimidad del extrabajador afectado, siendo este un derecho protegido por la Constitución. Pues, debió exhibir la documentación no confidencial, y de considerar necesario presentarla, pudo a bien requerir la autorización para su exhibición”.
Además, la autoridad instructora estableció que, si bien el sujeto inspeccionado presentó los documentos denominados: 1) Consentimiento informado de examen médico (08/08/2015); 2) Consentimiento informado de examen médico (01/08/2017); 3) Consentimiento informado de examen médico (21/04/2018): y 4) Consentimiento de la administración de la información de salud (21/04/2018), debidamente suscritos por el ex trabajador afectado y con huella digital, del contenido de dichos documentos no se advierte la autorización expresa a la empresa para exhibir, difundir, y/o compartir los exámenes médicos realizados, sino para proceder a efectuarle los exámenes médicos obligatorios en relación a los riesgos laborales propios del puesto de trabajo desempeñados en la empresa y autorizó la utilización de los resultados conforme al artículo 102 del Reglamento de la Ley de Seguridad y Salud en el Trabajo.
En cuanto al Consentimiento de la administración de la información de salud (21/04/2018), se desprende la autorización a la Dra. y a la Clínica para proporcionar información con respecto a su estado de salud, resultado de exámenes auxiliares, resultados de evaluaciones médicas ocupacionales contenidas en su Historia Clínica y a enviar dichos resultados al Servicio de salud ocupacional de la empresa inspeccionada para su evaluación.
Así también autorizó al responsable del Servicio de Salud Ocupacional y a sus Asesores en Salud Ocupacional o al responsable de Recursos Humanos para la administración y archivo de esta, dentro de los parámetros establecidos en la Norma Técnica de Historia Clínica para los establecimientos de salud tanto privados como públicos del sector salud.
Deber de confidencialidad de los exámenes médicos ocupacionales
Según la Ley 29783, Ley de Seguridad y Salud en el Trabajo, artículo 71, el empleador debe informar al trabajador, a título personal, sobre los resultados de los informes médicos previos a la asignación de un puesto de trabajo y los relativos a la evaluación de su salud. Los resultados de los exámenes médicos, al ser confidenciales, no pueden ser utilizados para ejercer discriminación alguna contra los trabajadores en ninguna circunstancia o momento.
Aunado a ello, los artículos 101 y 102 del Reglamento de la Ley de Seguridad y Salud en el Trabajo, aprobado por Decreto Supremo N° 005-2012-TR, los cuales indican lo siguiente:
Artículo 101.- El empleador debe realizar los exámenes médicos comprendidos en el inciso d) del artículo 49 de la Ley, acorde a las labores desempeñadas por el trabajador en su récord histórico en la organización, dándole énfasis a los riesgos a los que estuvo expuesto a lo largo de desempeño laboral. Los exámenes médicos deben ser realizados respetando lo dispuesto en los Documentos Técnicos de la Vigilancia de la Salud de los Trabajadores expedidos por el Ministerio de Salud (…)
Artículo 102.- De acuerdo a lo previsto en el artículo 71 de la Ley, los resultados de los exámenes médicos son informados al/a la trabajador/a únicamente por el/la médico de la vigilancia de la salud, quien hace entrega del informe escrito debidamente firmado, que contiene lo siguiente:
a) Los resultados del examen médico ocupacional completo, de acuerdo al protocolo de exámenes médicos establecidos por el/la médico de la vigilancia de la salud de los/las trabajadores/as a cargo del/de la empleador/a.
b) El certificado de aptitud médico ocupacional de la evaluación física y psíquica del/de la trabajador/a para el puesto de trabajo, en los casos de evaluación médica pre ocupacional y periódica, o el informe médico ocupacional, en el caso de evaluación médica de retiro.
Por la confidencialidad de la información contenida en los resultados de los exámenes, el/la médico de la vigilancia de la salud, informa al/a la empleador/a únicamente las condiciones generales del estado de salud colectiva de los/las trabajadores/as, con la finalidad de diseñar medidas de prevención y de mejora continua, eficaces para la reducción de enfermedades profesionales y/o accidentes laborales.
Es decir, el médico de vigilancia de la salud del centro laboral debe respetar el deber de confidencialidad, por ello, podrá informar únicamente al empleador, las condiciones generales de la salud colectiva de los trabajadores, sustentando las medidas de prevención y de mejora continua, eficaces para la reducción de enfermedades profesionales y/o accidentes laborales.
A mayor abundamiento, el artículo 25 de la Ley General de Salud, señala: “toda información relativa al acto médico que se realiza. Tiene carácter reservado (…)”.
Antecedentes de la denuncia presentada ante la Autoridad Nacional de Protección de Datos Personales
El extrabajador afectado por la entrega de su información confidencial presenta su denuncia ante la Autoridad Nacional de Protección de Datos Personales, el 27 de abril de 2020, por actos contrarios a la Ley 29733, Ley de Protección de Datos Personales (en adelante LPDP) y su reglamento, por parte de su ex empleador.
Mediante el Oficio N° 445-2020-JUS/DGTAIPD-DFI3 del 03 de julio de 2020, se requirió información a la administrada (empresa denunciada), la cual presentó su escrito y anexos el 21 de julio de 2020.
Según Informe de Fiscalización N° 208-2020-JUS/DGTAIPD-DFI-EHCC del 19 de octubre de 2020, se remitió a la directora de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante DFI) el resultado de la fiscalización realizada, y con Resolución Directoral N° 194-2020-JUS/DGTAIPD-DFI de 22 de diciembre de 2020, la DFI resolvió iniciar procedimiento administrativo sancionador a la empresa denunciada por, presuntamente:
i) Haber realizado tratamiento de los datos personales sensibles del denunciante al haber recopilado y posteriormente suministrado estos datos a SUNAFIL, durante las actuaciones de fiscalización realizadas en sus instalaciones. Infringiendo así las obligaciones establecidas en los artículos 7 y 8 de la LPDP.
ii) Haber realizado tratamiento de los datos personales del denunciante, sin informarle lo requerido por el artículo 18 de la LPDP.
En primera instancia, con Informe N° 013-2021-JUS/DGTAIPD-DFI del 12 de febrero de 2021, se recomienda:
– Imponer sanción administrativa de multa ascendente a doce coma treinta y ocho (12.38) U.I.T. a la administrada, por infracción leve tipificada en el literal d, numeral 2, del artículo 132 del Reglamento de la LPDP: «Recopilar datos personales sensibles que no sean necesarios, pertinentes, ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para las que requieren ser obtenidos».
– Se recomienda imponer sanción administrativa de multa ascendente a diez coma cincuenta (10.50) U.I.T. a la administrada, por infracción leve tipificada en el literal a, numeral 2, del artículo 132 del Reglamento de la LPDP: «No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el título 111 de la Ley No 29733 y su Reglamento».
Y finalmente, con la Resolución Directoral No 429-2021-JUS/DGTAIPD-DPDP de fecha 12 de marzo de 2021, se resuelve:
Artículo 1.- Declarar infundada la imputación por haber realizado tratamiento de los datos personales sensibles del denunciante al haber recopilado y posteriormente suministrado estos datos a SUNAFIL, durante las actuaciones de fiscalización realizadas en sus instalaciones. Infringiendo así las obligaciones establecidas en los artículos 7 y 8 de la LPDP, infracción grave tipificada en el literal d, numeral 2, del artículo 132 del Reglamento de la LPDP: «Recopilar datos personales sensibles que no sean necesarios, pertinentes, ni adecuados con relación a las finalidades determinadas, explícitas y lícitas para /as que requieren ser obtenidos».
Artículo 2.- Declarar la responsabilidad por haber realizado tratamiento de los datos personales del denunciante, sin informarle lo requerido por el artículo 18 de la LPDP, infracción grave contemplada en el literal a) del inciso 2 del artículo 132 del Reglamento de la LPDP: «No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales de acuerdo a lo establecido en el Título 111 de la Ley N° 29733 y su Reglamento».
Sobre el tratamiento de datos personales sensibles
La Ley N° 29733, define a los datos personales en el artículo 2, numeral 4, como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”.
Aunado a ello, establece una categoría especial de datos personales de mayor protección, los datos sensibles, definidos en el artículo 2, numeral 5, como “aquellos datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones políticas, religiosas, filosóficas o morales, afiliación sindical; e información relacionada a la salud o a la vida sexual”; y el Reglamento de dicha ley, define los datos relacionados con la salud (datos sensibles), como “aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.”
Considerando lo ante indicado, los resultados de exámenes médicos realizados en el marco de la Ley de Seguridad y Salud en el Trabajo son datos personales sensibles y por lo tanto su tratamiento debe cumplir entre otros, los siguientes principios:
Principio de consentimiento
Para el tratamiento de los datos personales debe mediar el consentimiento de su titular, el cual deberá ser otorgado de manera previa, informada, expresa e inequívoca, en otras palabras, deber ser libre, previo, informado, expreso e inequívoco.
Ahora bien, existen excepciones a la obligación de solicitar el consentimiento, como, por ejemplo: la salud ocupacional, el empleador podrá realizar tratamiento de datos sin necesidad de pedir el consentimiento del titular del dato, siempre que se recopilen únicamente los datos necesarios conforme al puesto de trabajo, y se atengan a lo dispuesto en la regulación especial, es decir, a lo dispuesto en la Ley de Seguridad y Salud en el Trabajo y a su reglamento.
Principio de finalidad
Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad. No establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad indicada al momento de su recopilación.
De acuerdo con dichos principios (b y c), el tratamiento de datos personales debe obedecer a finalidades determinadas, explícitas y lícitas; asimismo, las modalidades de tratamiento de los datos deben guardar proporcionalidad respecto de cada finalidad, evitando el tratamiento innecesario de datos personales, vale decir, el exceso de estos o tratamientos no relacionados con la finalidad.
Por lo tanto, es el médico de vigilancia de la salud o médico ocupacional, quien debe recibir la información sobre los exámenes completos de vigilancia en salud del centro laboral, conforme las normas de seguridad y salud en trabajo, quien debe guardar la confidencialidad, e informar al empleador solo de forma general sobre los resultados; sin embargo, el tratamiento de estos datos dentro de la empresa debe ser proporcional, por lo que el médico ocupacional solo informa a los representantes de la empresa de forma general.
Análisis de los actos contrarios a la Ley de Protección de Datos Personales
Recopilar datos personales sensibles que no sean necesarios, pertinentes, ni adecuados con relación con relación a las finalidades determinadas, explícitas y lícitas
Los datos personales para tratarse deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse, garantizando su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento; así lo establece el artículo 8 de la LPDP, al regular el principio de calidad.
Es decir, existe la obligación de revisar la exactitud y vigencia de la información recopilada, debiendo comprobar en ocasiones posteriores a la recopilación, si subsiste la utilidad de los datos personales para alcanzar la finalidad determinada, y conservar tal utilidad a través de acciones de actualización, rectificación o cese de tratamiento, en el caso de que ya haya cumplido tal finalidad.
Así pues, el empleador debe realizar el tratamiento de los datos personales de salud de sus trabajadores, atendiendo a la normativa de seguridad y salud en el trabajo, se determina entonces el origen lícito de la realización de estos, de lo contrario, el empleador estaría incurriendo en una infracción laboral.
En ese sentido, se consideró infundado el extremo de la imputación respecto a la recopilación de los datos.
No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales
El artículo 18° de la LPDP establece el derecho de los titulares de los datos personales deben ser informados sobre el tratamiento que se realizará con aquellos, disponiendo los siguiente:
Artículo 18°. Derecho de información del titular de datos personales
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello. Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.
Así, de la norma acotada se desprende el derecho a ser informado sobre el tratamiento de su información personal, del ex trabajador, debiéndole brindarle la información sobre la identidad y domicilio del titular del banco de datos, la finalidad de la recopilación, los datos personales de obligatoria entrega para efectuar el tratamiento, las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo, la transferencia y destinatarios de los datos personales, el banco de datos en donde se almacenarán los datos personales (y en lo posible el código de inscripción en el Registro Nacional de Protección de Datos Personales), el tiempo de conservación de los datos personales y el procedimiento para el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Conforme se verificó en el procedimiento administrativo, la empresa no cumplió con el deber de informar, previsto en el artículo 18 de la LPDP. Además, aceptó la comisión de la infracción imputada, por lo cual se procedió a sancionarla.
A mayor abundamiento, consideramos pertinente, detallar la enmienda implementada por la empresa, a fin de informar lo normativamente establecido a sus trabajadores, mediante la «Cartilla Informativa del Tratamiento de los Datos Personales Contenidos en los Exámenes Médicos Ocupacionales»:
Cartilla informativa que cumple con el contenido mínimo establecido por Dirección de Protección de Datos Personales en su Opinión Consultiva N° 35 -2019-JUS/DGTAIPD y deberá comunicarse a todos los trabajadores.
Conclusiones
- El empleador no necesita el consentimiento de sus trabajadores para realizar el tratamiento de sus datos personales, ni los sensibles (relacionados a su salud).
- Pero dicha información médica o de salud de los trabajadores sólo podrá ser conocida por el personal médico y las autoridades sanitarias encargadas de la vigilancia de la salud de los trabajadores, más no por el empleador u otras personas sin el consentimiento expreso del trabajador, debiendo conservar el personal médico y las autoridades sanitarias, las historias clínicas ocupacionales debido a su finalidad.
- Además, el médico de vigilancia de la salud de los trabajadores informa al empleador únicamente las condiciones generales del estado de salud colectiva de los trabajadores.
- Finalmente, la información relacionada a la salud de los trabajadores, que se deberá brindar a SUNAFIL ante sus requerimientos, será la permitida por ley, información mínima establecida en los formatos que aprueba el Ministerio de Trabajo y Promoción del Empleo mediante Resolución Ministerial 050-2013-TR, conforme al principio de proporcionalidad establecido en el artículo 7 de la LPDP.
Felix Cordova dice
El empleador no necesita el consentimiento de sus trabajadores para realizar el tratamiento de sus datos personales, ni los sensibles (relacionados a su salud).Pero dicha información médica o de salud de los trabajadores sólo podrá ser conocida por el personal médico y las autoridades sanitarias encargadas de la vigilancia de la salud de los trabajadores, más no por el empleador u otras personas sin el consentimiento expreso del trabajador, debiendo conservar el personal médico y las autoridades sanitarias, las historias clínicas ocupacionales debido a su finalidad.
El empleador necesita o no del consentimiento de sus trabajadores.