La AEPD ha actualizado su guía sobre protección de datos en las relaciones laborales, reforzando criterios que muchas empresas dan por asumidos, pero que siguen generando errores frecuentes en la práctica diaria.
La Agencia Española de Protección de Datos (AEPD) ha publicado en su web la guía actualizada «La protección de datos en las relaciones laborales», un documento extenso y de orientación práctica que revisa cómo debe aplicarse el RGPD y la LOPDGDD en todas las fases de la relación laboral, desde la selección hasta la extinción del contrato, pasando por el control empresarial, la vigilancia de la salud o el uso de tecnologías.
No se trata de una norma nueva, pero sí de un documento de referencia clara para la AEPD, que consolida criterios, advierte de malas prácticas frecuentes y anticipa el enfoque que se seguirá en actuaciones inspectoras y procedimientos sancionadores.
A continuación, LES resumimos los aspectos más relevantes.
1. Principios generales que deben guiar cualquier tratamiento de datos laborales
La AEPD recuerda que el dato personal en el ámbito laboral es un concepto amplio, que incluye no solo datos identificativos, sino también valoraciones, evaluaciones de desempeño, registros internos, imágenes, audios o información inferida.
Puntos clave:
- El consentimiento del trabajador rara vez es una base jurídica válida, por el desequilibrio existente en la relación laboral.
- La base principal del tratamiento suele ser:
- La ejecución del contrato de trabajo, o
- El cumplimiento de una obligación legal.
- El interés legítimo empresarial solo es válido si supera un juicio estricto de proporcionalidad.
- Se refuerza el principio de minimización: no todo lo que resulta útil para la empresa es necesario desde el punto de vista legal.
Atención. Muchos incumplimientos no derivan de grandes sistemas tecnológicos, sino de la recogida excesiva de datos «por si acaso».
2. Información y transparencia: no basta con incluir una cláusula genérica
La guía insiste en que el deber de información forma parte esencial del derecho fundamental a la protección de datos.
Aspectos relevantes:
- La información debe ser clara, comprensible y no excesivamente técnica.
- Es recomendable el modelo de información por capas.
- Debe informarse:
- En el momento de la recogida de datos, o
- En un plazo máximo de un mes si los datos no proceden directamente del trabajador.
- Incluir una cláusula informativa en el contrato no equivale a obtener consentimiento.
Atención. Muchas empresas confunden informar con legitimar el tratamiento. Son planos distintos.
3. Derechos de las personas trabajadoras: especial atención al acceso y a la supresión
La AEPD dedica un bloque amplio a los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
Puntos especialmente sensibles:
- El derecho de acceso incluye evaluaciones, informes internos y valoraciones.
- La supresión no implica borrado inmediato: antes debe producirse el bloqueo de los datos cuando exista obligación legal de conservación.
- El bloqueo exige medidas técnicas reales que impidan el uso del dato.
Atención. Eliminar datos sin bloquearlos previamente puede ser tan incorrecto como conservarlos indefinidamente.
4. Selección y contratación: límites claros a preguntas, redes sociales y vida laboral
En los procesos de selección, la AEPD refuerza criterios ya conocidos, pero a menudo incumplidos:
- Solo pueden solicitarse datos relevantes para el puesto.
- No es lícito investigar redes sociales, aunque los perfiles sean públicos, salvo que exista justificación objetiva y se haya informado previamente.
- No pueden formularse preguntas personales, familiares o médicas ajenas al puesto.
- La solicitud del informe de vida laboral solo es admisible bajo un interés legítimo bien delimitado y con alcance mínimo.
Atención. Muchas reclamaciones se originan en entrevistas mal planteadas, no en el contrato.
5. Desarrollo de la relación laboral: nóminas, productividad y denuncias internas
Durante la relación laboral, la guía aborda cuestiones de alto impacto práctico:
- Publicación de datos de productividad: solo cuando sea estrictamente necesario.
- Nóminas: especial cuidado con accesos internos y envíos erróneos.
- Sistemas de denuncias internas (whistleblowing):
- Acceso restringido,
- Confidencialidad reforzada,
- Plazos de conservación muy concretos.
Atención. El acceso interno indebido a datos laborales es una de las infracciones más habituales.
6. Control de la actividad laboral: videovigilancia, geolocalización y detectives
Este es uno de los bloques más sensibles de la guía.
Criterios clave:
- El control empresarial es legítimo, pero no ilimitado.
- Videovigilancia:
- Prohibida en zonas sensibles (aseos, vestuarios),
- Requiere información previa clara.
- Geolocalización:
- Solo durante la jornada,
- Con finalidad concreta y proporcional.
- Admisibles solo como medida excepcional y proporcionada.
- Detectives privados:
Atención. El problema no suele ser el sistema, sino el exceso en su uso.
7. Representación legal y sindical: cesiones y publicaciones de datos
La AEPD recuerda que los representantes de las personas trabajadoras:
- Pueden acceder a datos solo cuando exista habilitación legal,
- Deben respetar los mismos principios de confidencialidad y minimización,
- No pueden publicar datos personales indiscriminadamente en tablones o comunicaciones.
Atención. La condición de representante no exime del cumplimiento del RGPD.
8. Vigilancia de la salud y datos médicos: especial protección
La guía dedica un bloque completo a los datos de salud, considerados categoría especial:
- El acceso de la empresa debe limitarse a conclusiones de aptitud.
- Las historias clínicas no son accesibles para la empresa.
- Wearables y nuevas tecnologías exigen evaluación de impacto previa.
Atención. Cualquier filtración de datos de salud tiene un riesgo sancionador muy elevado.
La publicación de la AEPD no introduce obligaciones nuevas, pero sí consolida criterios que ya se están aplicando en inspecciones y sanciones. El mensaje es claro: la protección de datos en el ámbito laboral no es un trámite documental, sino una gestión continua del riesgo.
Desde el despacho le recomendamos:
- Revisar procesos de selección y entrevistas,
- Auditar sistemas de control laboral,
- Actualizar cláusulas informativas y políticas internas,
- Formar a mandos intermedios y personal con acceso a datos.
Una prevención adecuada evita conflictos, reclamaciones y sanciones que, en este ámbito, suelen llegar cuando el problema ya es visible.
Pueden ponerse en contacto con el departamento jurídico para cualquier duda o aclaración que puedan tener al respecto.
La entrada La protección de datos en las relaciones laborales: criterios clave que deben revisar las empresas se publicó primero en Conocimiento jurídico.