Protección de datos laborales: criterios clave que deben revisar las empresas

La Agencia Española de Protección de Datos (AEPD) ha actualizado su guía sobre protección de datos laborales, reforzando criterios que muchas empresas consideran asentados, pero que continúan generando errores habituales en la práctica diaria.

El documento «La protección de datos en las relaciones laborales» revisa cómo debe aplicarse el RGPD y la LOPDGDD en todas las fases de la relación laboral: desde la selección hasta la extinción del contrato, incluyendo control empresarial, vigilancia de la salud y el uso de nuevas tecnologías.

No se trata de una norma nueva, sino de un referente claro de la AEPD, que consolida criterios, advierte sobre malas prácticas frecuentes y anticipa la línea que se seguirá en inspecciones y procedimientos sancionadores.

A continuación, resumimos los aspectos más relevantes.

Principios generales en el tratamiento de datos laborales

La AEPD recuerda que el dato personal en el ámbito laboral es un concepto amplio, que abarca desde datos identificativos hasta evaluaciones, registros internos, imágenes, audios o información inferida.

Puntos clave:

• El consentimiento del trabajador rara vez constituye base jurídica válida, debido al desequilibrio en la relación laboral.
• Las bases legales principales son:
  • Ejecución del contrato de trabajo.
  • Cumplimiento de una obligación legal.
• El interés legítimo empresarial solo es válido si supera un juicio estricto de proporcionalidad.
• Se refuerza el principio de minimización: no todo lo útil para la empresa es legalmente necesario.

Importante: muchos incumplimientos surgen de la recogida excesiva de datos «por si acaso», no de sistemas complejos.

Información y transparencia

El deber de información es esencial en el derecho fundamental a la protección de datos.

Aspectos relevantes:

• La información debe ser clara, comprensible y no excesivamente técnica.
• Se recomienda el modelo de información por capas.
• Debe informarse:
  • En el momento de la recogida de datos.
  • O en un plazo máximo de un mes si los datos no proceden directamente del trabajador.
• Incluir una cláusula en el contrato no equivale a obtener consentimiento.

Importante: informar no legitima el tratamiento; son planos distintos.

Derechos de los trabajadores: acceso y supresión

La guía aborda los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).

Puntos sensibles:

• El acceso incluye evaluaciones, informes internos y valoraciones.
• La supresión no implica borrado inmediato; antes debe producirse el bloqueo si existe obligación legal de conservación.
• El bloqueo requiere medidas técnicas que impidan el uso del dato.

Importante: eliminar datos sin bloquearlos puede ser tan incorrecto como conservarlos indefinidamente.

Selección y contratación

En procesos de selección, la AEPD refuerza criterios que suelen incumplirse:

• Solo solicitar datos relevantes para el puesto.
• Investigar redes sociales es ilícito salvo justificación objetiva e información previa.
• No preguntar sobre aspectos personales, familiares o médicos ajenos al puesto.
• Solicitar informe de vida laboral solo bajo interés legítimo delimitado.

Importante: muchas reclamaciones surgen de entrevistas mal planteadas, no del contrato.

Desarrollo de la relación laboral

Durante la relación laboral, la guía aborda:

• Datos de productividad: solo cuando sea estrictamente necesario.
• Nóminas: especial cuidado con accesos internos y envíos erróneos.
• Sistemas de denuncias internas (whistleblowing): acceso restringido, confidencialidad reforzada y plazos de conservación concretos.

Importante: el acceso interno indebido a datos laborales es una de las infracciones más frecuentes.

Control de la actividad laboral

El control empresarial es legítimo pero no ilimitado:

• Videovigilancia: prohibida en aseos o vestuarios; requiere información clara previa.
• Geolocalización: solo durante la jornada, con finalidad concreta y proporcional.
• Detectives privados: su uso debe ser excepcional y proporcionado.

Importante: el problema suele ser el exceso de uso, no el sistema en sí.

Representación legal y sindical

Los representantes de los trabajadores:

• Pueden acceder a datos solo cuando exista habilitación legal.
• Deben respetar los principios de confidencialidad y minimización.
• No pueden publicar datos personales indiscriminadamente.

Importante: la condición de representante no exime del cumplimiento del RGPD.

Vigilancia de la salud y datos médicos

Los datos de salud son considerados categoría especial:

• La empresa solo puede acceder a conclusiones de aptitud.
• Las historias clínicas no son accesibles para la empresa.
• Wearables y nuevas tecnologías requieren evaluación de impacto previa.

Importante: cualquier filtración de datos de salud conlleva alto riesgo sancionador.

La AEPD no introduce obligaciones nuevas, pero consolida criterios aplicables en inspecciones y sanciones. La protección de datos laborales no es solo documental, sino una gestión continua del riesgo.

Recomendaciones:

• Revisar procesos de selección y entrevistas.
• Auditar sistemas de control laboral.
• Actualizar cláusulas informativas y políticas internas.
• Formar a mandos intermedios y personal con acceso a datos.

Una prevención adecuada evita conflictos, reclamaciones y sanciones que suelen aparecer cuando el problema ya es evidente.