Actualidad, Jurídico, Laboral

Selección, control y despido: cómo aplicar correctamente la protección de datos en la empresa

Por
0
asesoría-fiscal

La protección de datos personales se ha convertido en uno de los grandes ejes de cumplimiento normativo en el ámbito laboral. La Agencia Española de Protección de Datos (AEPD) ha actualizado recientemente su guía “La protección de datos en las relaciones laborales”, un documento de referencia que no introduce nuevas obligaciones, pero sí refuerza criterios, aclara interpretaciones y pone el foco en prácticas empresariales que siguen generando incumplimientos y sanciones.

Desde Actium Consulting consideramos que esta actualización merece una revisión profunda por parte de las empresas, ya que anticipa claramente el enfoque que la AEPD está aplicando —y aplicará— en inspecciones y procedimientos sancionadores. La gestión de los datos laborales no puede abordarse como un mero trámite documental, sino como un proceso continuo de evaluación del riesgo.

A continuación, analizamos y ampliamos los aspectos más relevantes de la guía, con un enfoque práctico orientado a empresas y departamentos de recursos humanos.

1. Principios generales: el punto de partida de cualquier tratamiento de datos laborales

La AEPD recuerda que el concepto de dato personal en el ámbito laboral es especialmente amplio. No se limita a los datos identificativos básicos (nombre, DNI, dirección), sino que incluye:

  • Evaluaciones de desempeño y productividad.
  • Valoraciones internas y notas de seguimiento.
  • Registros de incidencias, sanciones o ausencias.
  • Imágenes y audios (videovigilancia, grabaciones de reuniones).
  • Datos inferidos a partir del comportamiento del trabajador.

Bases jurídicas del tratamiento

Uno de los mensajes más claros de la guía es que el consentimiento del trabajador rara vez es una base válida, debido al desequilibrio estructural existente en la relación laboral.

En la práctica, los tratamientos de datos en la empresa suelen apoyarse en:

  • La ejecución del contrato de trabajo, cuando los datos son necesarios para cumplir las obligaciones laborales.
  • El cumplimiento de una obligación legal, especialmente en materia fiscal, laboral o de prevención de riesgos.

El interés legítimo empresarial solo será admisible si supera un juicio estricto de proporcionalidad, lo que implica:

  • Identificar una finalidad concreta y legítima.
  • Acreditar que el tratamiento es necesario.
  • Demostrar que no prevalecen los derechos del trabajador.

🔎 Atención: muchos incumplimientos no derivan de grandes sistemas tecnológicos, sino de la recogida excesiva de datos “por si acaso”, una práctica frontalmente contraria al principio de minimización.

2. Información y transparencia: informar no es una opción

El deber de información es una pieza esencial del derecho fundamental a la protección de datos. La AEPD insiste en que no basta con cumplir de forma formal, sino que la información debe ser realmente comprensible para la persona trabajadora.

Criterios clave

  • La información debe ser clara, concisa y accesible, evitando un lenguaje excesivamente técnico o jurídico.
  • Se recomienda el modelo de información por capas, que combine un primer nivel resumido con información ampliada.
  • Debe facilitarse:
    • En el momento de la recogida de los datos, o
    • En un plazo máximo de un mes si los datos no proceden directamente del trabajador.

Un error frecuente es pensar que incluir una cláusula informativa en el contrato equivale a obtener consentimiento. La AEPD es tajante: informar no legitima el tratamiento, son planos distintos.

⚠️ Atención: confundir el deber de información con la base jurídica del tratamiento es una de las causas más habituales de sanción.

3. Derechos de las personas trabajadoras: especial atención al acceso y la supresión

La guía dedica un amplio apartado a los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición), que en el ámbito laboral generan frecuentes conflictos.

Aspectos especialmente sensibles

  • Derecho de acceso: incluye evaluaciones, informes internos, valoraciones y anotaciones que afecten al trabajador.
  • Derecho de supresión: no implica un borrado inmediato cuando exista una obligación legal de conservación.
  • Antes del borrado debe producirse el bloqueo de los datos, que exige medidas técnicas y organizativas reales.

🔎 Atención: eliminar datos sin bloquearlos previamente puede ser tan incorrecto como conservarlos indefinidamente sin justificación.

4. Selección y contratación: límites claros desde el primer contacto

Los procesos de selección siguen siendo uno de los focos de mayor riesgo en materia de protección de datos.

La AEPD refuerza criterios ya conocidos, pero habitualmente incumplidos:

  • Solo pueden solicitarse datos estrictamente relevantes para el puesto.
  • No es lícito investigar redes sociales personales, aunque los perfiles sean públicos, salvo:
    • Justificación objetiva,
    • Información previa al candidato.
  • Están prohibidas las preguntas personales, familiares o médicas ajenas al puesto.
  • La solicitud del informe de vida laboral solo es admisible bajo un interés legítimo muy delimitado y con alcance mínimo.

⚠️ Atención: muchas reclamaciones ante la AEPD se originan en entrevistas mal planteadas, no en la fase contractual.

5. Desarrollo de la relación laboral: nóminas, productividad y denuncias internas

Durante la vigencia del contrato, el tratamiento de datos se intensifica y diversifica.

Cuestiones de alto impacto práctico

  • Publicación de datos de productividad: solo cuando sea estrictamente necesario y con acceso limitado.
  • Gestión de nóminas: especial cuidado con accesos internos indebidos y envíos erróneos.
  • Canales de denuncias internas (whistleblowing):
    • Acceso muy restringido,
    • Confidencialidad reforzada,
    • Plazos de conservación estrictamente definidos.

🔎 Atención: el acceso interno indebido a datos laborales es una de las infracciones más habituales detectadas por la AEPD.

6. Control de la actividad laboral: hasta dónde puede llegar la empresa

Este es uno de los bloques más sensibles de la guía.

Principios generales

El control empresarial es legítimo, pero no ilimitado. Debe respetar siempre los principios de necesidad, proporcionalidad y transparencia.

  • Videovigilancia:
    • Prohibida en zonas sensibles (aseos, vestuarios, zonas de descanso),
    • Requiere información previa clara y visible.
  • Geolocalización:
    • Solo durante la jornada laboral,
    • Con una finalidad concreta y proporcionada.
  • Detectives privados:
    • Solo admisibles como medida excepcional,
    • Debidamente justificada y proporcional.

⚠️ Atención: el problema no suele ser el sistema de control en sí, sino el exceso o abuso en su utilización.

7. Representación legal y sindical: el RGPD también aplica

La AEPD recuerda que la representación legal de las personas trabajadoras no está exenta del cumplimiento de la normativa de protección de datos.

  • Solo pueden acceder a datos cuando exista habilitación legal expresa.
  • Deben respetar los principios de confidencialidad y minimización.
  • No pueden publicar datos personales indiscriminadamente en tablones o comunicaciones.

🔎 Atención: la condición de representante no elimina la responsabilidad en materia de protección de datos.

8. Vigilancia de la salud y datos médicos: máxima protección

Los datos de salud son considerados categoría especial y requieren un nivel de protección reforzado.

  • La empresa solo debe acceder a conclusiones de aptitud, nunca a diagnósticos.
  • Las historias clínicas no son accesibles para la empresa.
  • El uso de wearables o nuevas tecnologías exige, en muchos casos, una evaluación de impacto previa.

⚠️ Atención: cualquier filtración o acceso indebido a datos de salud conlleva un riesgo sancionador muy elevado.

La protección de datos laborales como gestión continua del riesgo

La guía de la AEPD no introduce obligaciones nuevas, pero consolida criterios que ya se están aplicando en inspecciones y sanciones. El mensaje es inequívoco: la protección de datos en el ámbito laboral no puede abordarse como un simple documento archivado, sino como una política activa y transversal.

Desde Actium Consulting recomendamos a las empresas:

  • Revisar en profundidad los procesos de selección y entrevistas.
  • Auditar los sistemas de control laboral y tecnológicos.
  • Actualizar cláusulas informativas y políticas internas.
  • Formar a mandos intermedios y personal con acceso a datos.

Una prevención adecuada no solo evita sanciones, sino también conflictos laborales y reclamaciones que, en muchos casos, surgen cuando el problema ya es visible.

Para cualquier duda o aclaración sobre la aplicación de estos criterios en su empresa, puede ponerse en contacto con nuestro despacho profesional.

Recientes
Donaciones previas y herencia: cómo afectan realmente al cálculo del Impuesto sobre Sucesiones
Back to list
Anteriores El tipo del Impuesto sobre Sociedades se ajusta en 2026: lo que cambia y por qué conviene anticiparse

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.