Así es.
He localizado lo que manifiesta la AEPD en cuanto a este tipo de cesiones:
Es necesario y pertinente que el empresario principal, en cuyo centro de trabajo prestarán servicios los trabajadores de la empresa contratada, pueda tener conocimiento de la identidad y DNI de los trabajadores ocupados en la contrata, este último dato al objeto de poder comprobar la presencia real y no de otros trabajadores en su centro de trabajo. Por consiguiente, la transmisión de los datos referidos, y con la finalidad de cumplir las previsiones en materia de prevención de riesgos laborales, podría ampararse en las exigencias de este artículo 42.3 de la Ley de Infracciones y Sanciones en el Orden Social, y del artículo 24.3 de la Ley de Prevención de Riesgos Laborales, y, por consiguiente, estaríamos ante la habilitación legal para la cesión contenida en el artículo 11.2 a) de la LOPD.
Así mismo, puede desprenderse que, a fin de que pueda desenvolverse plenamente la relación derivada de la subcontratación, el contratista deberá conocer los datos relacionados con el cumplimiento de las obligaciones en materia de riesgos laborales, además de las de seguridad social y pago de salarios del subcontratista, respecto de los trabajadores empleados en la contrata que establece el artículo 42 del Estatuto de los Trabajadores, por lo que la cesión podría considerarse amparada por el citado artículo 11.2 c) de la Ley Orgánica 15/1999 y, en consecuencia, conforme a derecho.
El deber de vigilancia de la empresa principal se extendería al conocimiento de si la empresa subcontratada ha realizado la integración de la actividad preventiva dentro de su sistema general de gestión y a través de los siguientes instrumentos: implantación y aplicación del plan de prevención de riesgos laborales, evaluación de los riesgos, información, consulta y participación de los trabajadores, actuación en casos de emergencia y de riesgo grave e inminente, vigilancia de la salud en los términos establecidos en el artículo 22.4 de la Ley 31/1995, mediante el establecimiento de un servicio de prevención propio o ajeno. Este artículo 22.4 sólo permite conocer al empresario las conclusiones derivadas de los controles de salud periódicos efectuados a los trabajadores en el sentido de que los mismos sean aptos o no aptos para el puesto de trabajo que les asignen, nunca la información clínica resultante de dichas acciones, que queda reservada a los profesionales sanitarios que hubieren efectuado las pruebas o reconocimientos y a las autoridades sanitarias. De modo que con esta finalidad de vigilancia de las normas de prevención de riesgos laborales, el empresario principal podrá conocer si los trabajadores empleados en la contrata son aptos o no para trabajar en su centro de trabajo.
Además, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada, dado que sólo respecto de aquéllos podrá operar la justificación jurídica que sirve a su vez de base legal a la aplicación del artículo 11.2 c) de la Ley Orgánica 15/1999. De cuanto antecede puede concluirse que la base de datos con la letra inicial y apellidos de los trabajadores de la contrata y con el dato de si han recibido la formación, información y entrega de equipos de protección individual, así como de su condición de apto o no apto podría ser accesible para la empresa principal o comitente, al amparo de lo previsto en el artículo 11.2 a) y c) de la LOPD.
