La relación laboral genera, desde el primer proceso de selección hasta el último día de trabajo, un volumen considerable de datos personales. Currículos, contratos, nóminas, partes de baja, registros de jornada, imágenes de cámaras de videovigilancia, registros de geolocalización… Todos estos datos pertenecen a personas físicas y quedan, por tanto, bajo la protección del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Entender qué datos puede tratar la empresa, con qué fundamento jurídico y bajo qué condiciones no es solo una obligación legal: es también una forma de generar confianza con los empleados y de evitar las sanciones previstas en el artículo 83 del RGPD. En Summum Consultoría acompañamos a las empresas en su adecuación al RGPD, con especial atención al ámbito laboral, desde nuestras oficinas en Castilla y León y Canarias.
El RGPD y el ámbito laboral: un marco específico
El artículo 88 del RGPD es la llave que abre el espacio de la normativa laboral dentro del reglamento europeo. Este precepto autoriza a los Estados miembros a establecer, por ley o mediante convenio colectivo, normas más específicas para garantizar la protección de los derechos y libertades de los empleados en el ámbito laboral. España lo hizo a través del Título X de la LOPDGDD, que regula los derechos y garantías de los trabajadores ante el uso de dispositivos digitales (artículos 87 a 91), y a través de la Ley del Estatuto de los Trabajadores, que en su artículo 20 reconoce la facultad del empresario de adoptar medidas de vigilancia y control.
Este régimen especial no suprime las garantías generales del RGPD; las complementa. La empresa sigue estando obligada a identificar una base jurídica para cada tratamiento, a informar a los trabajadores, a respetar sus derechos y a adoptar medidas técnicas y organizativas adecuadas.
Bases jurídicas para tratar datos de empleados
El artículo 6 del RGPD enumera las bases de licitud del tratamiento. En el contexto laboral, las más relevantes son:
- Ejecución de un contrato (art. 6.1.b RGPD): ampara los tratamientos necesarios para gestionar la relación contractual con el empleado. Nóminas, alta en la Seguridad Social, gestión de vacaciones y licencias o la tramitación de bajas por enfermedad entran en esta categoría.
- Cumplimiento de una obligación legal (art. 6.1.c RGPD): cubre los tratamientos que la ley impone al empleador con independencia de su voluntad. El registro de jornada (obligatorio conforme al artículo 34.9 del Estatuto de los Trabajadores), la comunicación de contratos al SEPE, las retenciones de IRPF o la información a la Inspección de Trabajo son ejemplos claros.
- Interés legítimo (art. 6.1.f RGPD): puede amparar tratamientos como la videovigilancia con fines de seguridad o el control de accesos, siempre que superen el test de proporcionalidad y no prevalezcan los derechos e intereses de los trabajadores. Requiere un análisis ponderado caso por caso.
- Consentimiento (art. 6.1.a RGPD): es la base más débil en el ámbito laboral. El desequilibrio inherente a la relación empleador-empleado hace que el consentimiento raramente sea libre, tal como lo exige el artículo 7 del RGPD. La AEPD ha advertido en múltiples ocasiones de que el consentimiento no es una base jurídica válida cuando existe una dependencia jerárquica que impide prestarlo libremente.
Qué datos puede tratar la empresa: una visión por categorías
No todos los datos tienen el mismo régimen. El RGPD distingue entre datos ordinarios y categorías especiales de datos (artículo 9), que incluyen datos de salud, afiliación sindical, origen racial o étnico, creencias religiosas o datos biométricos. Las categorías especiales requieren una base específica del artículo 9.2, además de la base general del artículo 6.
| Tipo de dato | Base jurídica habitual | Finalidad |
|---|---|---|
| Datos identificativos (nombre, DNI, domicilio) | Contrato (art. 6.1.b) / Obligación legal (art. 6.1.c) | Alta en SS, contrato laboral, IRPF |
| Datos bancarios | Contrato (art. 6.1.b) | Pago de nómina |
| Registro de jornada | Obligación legal (art. 6.1.c) | Cumplimiento art. 34.9 ET |
| Imágenes de videovigilancia | Interés legítimo (art. 6.1.f) / Contrato (art. 6.1.b) | Seguridad, control del cumplimiento contractual |
| Geolocalización | Interés legítimo (art. 6.1.f) / Contrato (art. 6.1.b) | Control de actividad, gestión de flotas |
| Datos de salud (bajas, vigilancia sanitaria) | Art. 9.2.b RGPD (obligaciones en materia de empleo) | Prevención de riesgos laborales, gestión de IT |
| Afiliación sindical | Art. 9.2.b RGPD | Descuento de cuota sindical en nómina (si procede) |
| Currículum y datos de selección | Consentimiento (art. 6.1.a) / Contrato (art. 6.1.b) | Proceso de selección, contratación futura |
El artículo 88 de la LOPDGDD: derechos digitales en el trabajo
El Título X de la LOPDGDD desarrolla los derechos digitales de los trabajadores. Aunque es habitual referirse a ellos de forma conjunta, cada artículo regula un supuesto distinto:
- Artículo 87 LOPDGDD — Derecho a la intimidad y uso de dispositivos digitales en el trabajo: los empleadores pueden acceder a los contenidos derivados del uso de los dispositivos digitales puestos a disposición de los empleados, pero deben establecer previamente unos criterios de uso y comunicarlos a los trabajadores. El acceso no puede ser indiscriminado; ha de estar orientado a controlar el cumplimiento de las obligaciones laborales.
- Artículo 88 LOPDGDD — Derecho a la desconexión digital: los trabajadores tienen derecho a no atender comunicaciones digitales fuera de su jornada laboral. La empresa debe elaborar una política interna que defina las modalidades de ejercicio de este derecho. La negociación colectiva puede concretar su aplicación.
- Artículo 89 LOPDGDD — Videovigilancia en el lugar de trabajo: los empleadores pueden tratar imágenes con fines de control laboral, pero deben informar a los trabajadores de forma previa, expresa, clara e inequívoca. La AEPD ha precisado que el cartel normalizado de zona videovigilada cumple el deber de información básica (capa 1), siempre que exista una segunda capa accesible con el detalle completo del tratamiento.
- Artículo 90 LOPDGDD — Geolocalización: el empleador puede tratar datos de geolocalización para controlar la actividad de los trabajadores, pero debe informarles de forma expresa, clara e inequívoca de la existencia y características del sistema. Este es un punto crítico que, mal gestionado, genera conflictos laborales y expedientes sancionadores. Puede ampliar la información en nuestra guía sobre control horario y geolocalización bajo el RGPD.
- Artículo 91 LOPDGDD — Derechos digitales en la negociación colectiva: los convenios colectivos pueden incluir disposiciones adicionales para garantizar el ejercicio de los derechos digitales respetando, en todo caso, las garantías mínimas de la LOPDGDD.
Nómina, Seguridad Social y obligaciones tributarias
La gestión de la nómina concentra algunos de los tratamientos de datos más sensibles del ciclo laboral: número de cuenta bancaria, domicilio fiscal, importe del salario, categoría profesional, retenciones de IRPF y cotizaciones a la Seguridad Social. La base jurídica es dual: la ejecución del contrato de trabajo (art. 6.1.b RGPD) y el cumplimiento de las obligaciones legales tributarias y de Seguridad Social (art. 6.1.c RGPD).
Cuando la empresa externaliza la gestión de nóminas a un despacho o a una plataforma de payroll, ese proveedor actúa como encargado del tratamiento en el sentido del artículo 28 del RGPD. Es obligatorio suscribir un contrato de encargo que contemple, entre otras cláusulas, las instrucciones de tratamiento, las medidas de seguridad exigidas y el procedimiento de notificación de brechas de seguridad. La ausencia de este contrato es una de las deficiencias más frecuentes que detectamos en las adecuaciones al RGPD de las empresas.
Datos de salud y prevención de riesgos laborales
Los datos de salud son categorías especiales de datos conforme al artículo 9 del RGPD. En el ámbito laboral, la empresa tiene acceso a este tipo de información principalmente a través de dos vías:
- Incapacidad temporal (IT): el parte de baja emitido por el médico contiene el diagnóstico. Desde el 1 de abril de 2023, y con la entrada en vigor del Real Decreto 1060/2022, el trabajador ya no entrega el parte de baja al empleador: lo comunica el INSS directamente a la empresa a través del sistema RED. El empleador recibe únicamente el código de contingencia (común o profesional) y la duración estimada, no el diagnóstico. Tratar el diagnóstico sin base jurídica específica vulneraría el artículo 9 del RGPD.
- Vigilancia de la salud: los reconocimientos médicos en el marco de la Ley 31/1995, de Prevención de Riesgos Laborales, generan datos de salud. El empresario únicamente puede conocer la conclusión (apto, apto con restricciones, no apto); el acceso al historial médico del trabajador queda reservado al servicio de prevención.
Selección de personal: el ciclo de vida de los datos del candidato
El proceso de selección es la primera etapa en la que la empresa recaba datos de personas que todavía no son empleados. El candidato facilita su currículum —con datos identificativos, formación, experiencia, y a veces fotografía— sobre la base de su consentimiento (art. 6.1.a RGPD) o en el marco de la negociación precontractual (art. 6.1.b RGPD).
Dos puntos críticos en esta fase:
- Conservación de los datos: si el candidato no es seleccionado, los datos no deben conservarse indefinidamente. La práctica habitual es mantenerlos durante un máximo de un año para candidaturas futuras, siempre que se haya informado al candidato de esa posibilidad y se disponga de base jurídica para ello. Transcurrido ese plazo, deben suprimirse.
- Datos prohibidos en la selección: preguntar al candidato sobre su estado de salud, embarazo, afiliación sindical o creencias religiosas sin que concurra una causa justificada supone un tratamiento de categorías especiales sin base jurídica y puede constituir, además, una discriminación en el acceso al empleo.
El deber de información a los empleados
Los artículos 13 y 14 del RGPD obligan al responsable del tratamiento a informar a los interesados en el momento en que se recaban sus datos. En el ámbito laboral, esto se traduce en la obligación de entregar al trabajador, como muy tarde en el momento de la firma del contrato, una cláusula informativa que indique:
- La identidad y los datos de contacto del responsable del tratamiento (la empresa) y, en su caso, del delegado de protección de datos (DPO).
- Los fines del tratamiento y la base jurídica de cada uno de ellos.
- Los destinatarios o categorías de destinatarios de los datos (gestoría, mutua, Seguridad Social, Hacienda, entidad bancaria).
- El plazo de conservación de cada categoría de datos.
- Los derechos del trabajador: acceso, rectificación, supresión, limitación, portabilidad y oposición.
Esta información no puede reducirse a una referencia genérica a la política de privacidad del sitio web corporativo. Debe ser específica para el ámbito laboral y estar redactada en lenguaje claro, sin tecnicismos. Puede ampliar la información sobre los derechos de los interesados bajo el RGPD y cómo articular su ejercicio en el entorno laboral.
Obligaciones formales del empleador
Más allá del deber de información, la empresa debe cumplir un conjunto de obligaciones documentales y organizativas:
- Registro de actividades de tratamiento (RAT): el artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro escrito de todas las actividades de tratamiento bajo su responsabilidad. En el ámbito de recursos humanos, el RAT debe incluir al menos los tratamientos de nómina, gestión de contratos, selección de personal, control de presencia, videovigilancia y vigilancia de la salud.
- Contratos de encargo del tratamiento: toda empresa externa que trate datos por cuenta de la empresa (gestoría laboral, empresa de trabajo temporal, plataforma de control horario, servicio de prevención ajeno) debe firmar el correspondiente contrato de encargo conforme al artículo 28 del RGPD.
- Medidas de seguridad: el principio de integridad y confidencialidad del artículo 5.1.f del RGPD obliga a implantar medidas técnicas y organizativas apropiadas para proteger los datos de los empleados frente a accesos no autorizados, pérdidas o alteraciones. En la práctica: control de accesos a los sistemas de RRHH, cifrado de dispositivos móviles, política de mesas limpias y gestión de contraseñas robustas.
- Política interna de dispositivos y desconexión digital: exigida expresamente por los artículos 87 y 88 de la LOPDGDD. Debe reflejar las condiciones de uso de los dispositivos corporativos y las modalidades de ejercicio del derecho a la desconexión.
- Evaluación de impacto (EIPD): cuando el tratamiento entraña un alto riesgo para los derechos y libertades de los trabajadores —por ejemplo, el uso de sistemas de videovigilancia masiva, la monitorización continua de la actividad en el ordenador o el tratamiento a gran escala de datos de salud—, el artículo 35 del RGPD exige realizar una evaluación de impacto previa al inicio del tratamiento.
Régimen sancionador: el marco del artículo 83 del RGPD
El incumplimiento de las obligaciones en materia de protección de datos en el ámbito laboral puede dar lugar a sanciones conforme al artículo 83 del RGPD. El régimen establece dos tramos:
- Infracciones graves (art. 83.4 RGPD): multas de hasta 10.000.000 EUR o, en el caso de una empresa, hasta el 2 % del volumen de negocio anual mundial total del ejercicio financiero anterior, optándose por la cifra que sea mayor. Incluyen, entre otras, el incumplimiento de las obligaciones del responsable y del encargado del tratamiento (artículos 8, 11, 25 a 39, 42 y 43 del RGPD).
- Infracciones muy graves (art. 83.5 RGPD): multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total, el importe que sea mayor. Se aplican a vulneraciones de los principios básicos del tratamiento (artículos 5, 6, 7 y 9), de los derechos de los interesados (artículos 12 a 22) y de las normas sobre transferencias internacionales de datos.
La LOPDGDD (LO 3/2018) tipifica además infracciones específicas y gradúa las sanciones en leves, graves y muy graves (artículos 72 a 74 de la LOPDGDD), manteniendo coherencia con el marco del RGPD. Desde Summum Consultoría acompañamos a las empresas en la adecuación a la normativa de protección de datos, identificando los tratamientos de datos de empleados que requieren atención prioritaria y ayudando a implantar las medidas técnicas y organizativas adecuadas.
Preguntas frecuentes
¿Puede la empresa revisar el correo electrónico corporativo de un empleado?
Sí, con condiciones. El artículo 87 de la LOPDGDD permite al empleador acceder a los contenidos derivados del uso de los dispositivos digitales puestos a disposición de los empleados, siempre que haya establecido previamente unas normas de uso y las haya comunicado a los trabajadores. El acceso debe estar orientado al control del cumplimiento de las obligaciones laborales y no puede ser indiscriminado ni desproporcionado. Sin esa información previa, el acceso al correo corporativo puede vulnerar el derecho a la intimidad del trabajador y generar responsabilidad para la empresa.
¿Es obligatorio el consentimiento del trabajador para incluir su fotografía en la web de la empresa?
La publicación de la fotografía de un empleado en el sitio web o en redes sociales corporativas no puede ampararse en la ejecución del contrato ni en una obligación legal. La base jurídica adecuada es el consentimiento expreso del trabajador conforme al artículo 6.1.a del RGPD. Dado el desequilibrio inherente a la relación laboral, ese consentimiento debe ser libre, específico e informado, y el trabajador debe poder revocarlo sin consecuencias negativas para su situación laboral. Es recomendable documentar el consentimiento por escrito.
¿Cuánto tiempo puede la empresa conservar los datos de un exempleado?
El principio de limitación del plazo de conservación del artículo 5.1.e del RGPD obliga a no mantener los datos más tiempo del necesario. En el ámbito laboral, los plazos vienen determinados por las prescripciones legales: cuatro años para las obligaciones laborales y de Seguridad Social (Ley General de la Seguridad Social), cinco años en materia fiscal, y hasta diez años en algunos supuestos de prevención del blanqueo. Transcurridos esos plazos, los datos deben suprimirse o bloquearse de forma que solo estén disponibles a disposición de las Administraciones Públicas, jueces o tribunales.
¿Necesita la empresa un delegado de protección de datos (DPO) para gestionar los datos de sus empleados?
El DPO es obligatorio en los supuestos del artículo 37 del RGPD: autoridades y organismos públicos, entidades que realizan tratamientos a gran escala de categorías especiales de datos y entidades cuya actividad principal requiere observación sistemática a gran escala de interesados. En el ámbito privado, muchas pymes no están obligadas a designar un DPO por el solo hecho de tener empleados. Sin embargo, cuando la empresa trata datos de salud de trabajadores a gran escala —por ejemplo, servicios médicos o mutuas— o realiza vigilancia sistemática y continuada de sus empleados, la obligación puede concurrir. En todo caso, es buena práctica designar un punto de contacto interno para protección de datos, incluso cuando no sea formalmente obligatorio.