La protección de datos personales se ha consolidado como uno de los pilares esenciales del cumplimiento normativo en el ámbito laboral. Las empresas no solo deben garantizar el respeto a los derechos de las personas trabajadoras, sino también anticiparse a los criterios que están aplicando las autoridades de control.
En este contexto, la Agencia Española de Protección de Datos (AEPD) ha actualizado su guía “La protección de datos en las relaciones laborales”, un documento que, sin introducir nuevas obligaciones, refuerza interpretaciones clave, aclara dudas recurrentes y pone el foco en prácticas empresariales que continúan generando sanciones.
Desde J. Barber + Asociados consideramos que esta actualización es especialmente relevante para empresas, departamentos de recursos humanos y equipos directivos, ya que marca con claridad el enfoque que la AEPD está aplicando —y seguirá aplicando— en inspecciones y procedimientos sancionadores. La gestión de los datos laborales debe entenderse como un proceso continuo de control del riesgo, y no como un mero cumplimiento formal.
A continuación, analizamos los aspectos más relevantes de la guía, con un enfoque práctico y orientado a la realidad diaria de las empresas.
1. Principios generales: la base de todo tratamiento de datos laborales
La AEPD recuerda que el concepto de dato personal en el ámbito laboral es especialmente amplio. No se limita a los datos identificativos básicos, sino que incluye, entre otros:
- Evaluaciones de desempeño y productividad.
- Informes internos y valoraciones subjetivas.
- Registros de incidencias, sanciones o ausencias.
- Imágenes y audios (videovigilancia o grabaciones).
- Datos inferidos a partir del comportamiento del trabajador.
Bases jurídicas del tratamiento
Uno de los mensajes más claros de la guía es que el consentimiento del trabajador rara vez constituye una base válida, debido al desequilibrio estructural existente en la relación laboral.
En la práctica, los tratamientos de datos suelen apoyarse en:
- La ejecución del contrato de trabajo, cuando los datos son necesarios para cumplir obligaciones laborales.
- El cumplimiento de una obligación legal, especialmente en materia fiscal, laboral o de prevención de riesgos.
- El interés legítimo empresarial, que solo será válido si supera un estricto juicio de proporcionalidad.
Este juicio exige:
- Definir una finalidad concreta y legítima.
- Acreditar la necesidad del tratamiento.
- Garantizar que no prevalecen los derechos de la persona trabajadora.
⚠️ Muchos incumplimientos no provienen de sistemas complejos, sino de la recogida excesiva de datos “por si acaso”, una práctica contraria al principio de minimización.
2. Información y transparencia: una obligación ineludible
El deber de información es un elemento esencial del derecho fundamental a la protección de datos. La AEPD insiste en que no basta con informar de forma genérica: la información debe ser realmente comprensible.
Criterios clave
- Lenguaje claro, conciso y accesible.
- Uso del modelo de información por capas.
- Entrega de la información:
- En el momento de la recogida de los datos, o
- En un plazo máximo de un mes si los datos no proceden directamente del trabajador.
Un error habitual es confundir la cláusula informativa con el consentimiento. La AEPD es tajante: informar no legitima el tratamiento.
⚠️ Confundir el deber de información con la base jurídica del tratamiento es una de las causas más frecuentes de sanción.
3. Derechos de las personas trabajadoras: acceso, supresión y límites
La guía dedica especial atención a los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), que en el ámbito laboral generan conflictos frecuentes.
Puntos críticos
- Derecho de acceso: incluye informes, valoraciones internas y anotaciones que afecten al trabajador.
- Derecho de supresión: no implica un borrado inmediato si existe obligación legal de conservación.
- Antes de eliminar datos debe procederse al bloqueo, aplicando medidas técnicas y organizativas reales.
⚠️ Eliminar datos sin bloquearlos previamente puede ser tan incorrecto como conservarlos indefinidamente sin justificación.
4. Procesos de selección y contratación: el mayor foco de riesgo
Los procesos de selección siguen siendo uno de los ámbitos con mayor número de reclamaciones ante la AEPD.
La guía refuerza criterios ya consolidados:
- Solo pueden solicitarse datos estrictamente relacionados con el puesto.
- No es lícito investigar redes sociales personales, aunque los perfiles sean públicos, salvo:
- Justificación objetiva.
- Información previa al candidato.
- Están prohibidas las preguntas personales, familiares o médicas ajenas al puesto.
- La solicitud del informe de vida laboral solo es admisible bajo un interés legítimo muy limitado.
⚠️ Muchas sanciones se originan en entrevistas mal planteadas, no en la fase contractual.
5. Desarrollo de la relación laboral: nóminas, productividad y denuncias internas
Durante la vigencia del contrato, el volumen y la sensibilidad de los datos tratados aumentan considerablemente.
Aspectos de especial relevancia
- Datos de productividad: solo deben difundirse cuando sea imprescindible y con acceso restringido.
- Gestión de nóminas: especial atención a accesos indebidos y envíos erróneos.
- Canales internos de denuncias:
- Acceso muy limitado.
- Confidencialidad reforzada.
- Plazos de conservación estrictos.
⚠️ El acceso interno indebido a datos laborales es una de las infracciones más habituales detectadas por la AEPD.
6. Control de la actividad laboral: límites al poder empresarial
El control empresarial es legítimo, pero no ilimitado. Debe respetar siempre los principios de necesidad, proporcionalidad y transparencia.
Sistemas más habituales
- Videovigilancia:
- Prohibida en zonas sensibles.
- Información previa clara y visible.
- Geolocalización:
- Solo durante la jornada laboral.
- Con finalidad concreta y justificada.
- Detectives privados:
- Medida excepcional.
- Debidamente justificada.
⚠️ El problema no suele ser el sistema en sí, sino el uso excesivo o abusivo del mismo.
7. Representación legal y sindical: responsabilidad compartida
La AEPD recuerda que la representación legal de las personas trabajadoras también está sujeta al RGPD:
- Acceso a datos solo cuando exista habilitación legal.
- Deber de confidencialidad.
- Prohibición de difusión indiscriminada de datos personales.
8. Vigilancia de la salud y datos médicos: protección reforzada
Los datos de salud tienen la consideración de categoría especial y requieren un nivel máximo de protección:
- La empresa solo debe conocer conclusiones de aptitud.
- No puede acceder a diagnósticos ni historiales clínicos.
- El uso de nuevas tecnologías puede exigir evaluaciones de impacto.
⚠️ Las infracciones relacionadas con datos de salud conllevan un riesgo sancionador especialmente elevado.
La protección de datos laborales como política activa
La actualización de la guía de la AEPD consolida criterios que ya se están aplicando en inspecciones y sanciones. El mensaje es claro: la protección de datos en el ámbito laboral debe gestionarse como una política activa y transversal.
Desde J. Barber + Asociados recomendamos a las empresas:
- Revisar los procesos de selección y contratación.
- Auditar los sistemas de control laboral.
- Actualizar cláusulas informativas y políticas internas.
- Formar a los responsables con acceso a datos personales.
Una correcta prevención no solo reduce el riesgo de sanciones, sino que también evita conflictos laborales y reclamaciones futuras.
Para cualquier duda sobre la correcta aplicación de la normativa de protección de datos en el ámbito laboral, nuestro despacho está a su disposición.
