RGPD en RRHH: qué datos de empleados puede tratar la empresa

·

La relación laboral genera, desde el primer proceso de selección hasta el último día de trabajo, un volumen considerable de datos personales. Currículos, contratos, nóminas, partes de baja, registros de jornada, imágenes de cámaras de videovigilancia, registros de geolocalización… Todos estos datos pertenecen a personas físicas y quedan, por tanto, bajo la protección del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Entender qué datos puede tratar la empresa, con qué fundamento jurídico y bajo qué condiciones no es solo una obligación legal: es también una forma de generar confianza con los empleados y de evitar las sanciones previstas en el artículo 83 del RGPD. En Summum Consultoría acompañamos a las empresas en su adecuación al RGPD, con especial atención al ámbito laboral, desde nuestras oficinas en Castilla y León y Canarias.

El RGPD y el ámbito laboral: un marco específico

El artículo 88 del RGPD es la llave que abre el espacio de la normativa laboral dentro del reglamento europeo. Este precepto autoriza a los Estados miembros a establecer, por ley o mediante convenio colectivo, normas más específicas para garantizar la protección de los derechos y libertades de los empleados en el ámbito laboral. España lo hizo a través del Título X de la LOPDGDD, que regula los derechos y garantías de los trabajadores ante el uso de dispositivos digitales (artículos 87 a 91), y a través de la Ley del Estatuto de los Trabajadores, que en su artículo 20 reconoce la facultad del empresario de adoptar medidas de vigilancia y control.

Este régimen especial no suprime las garantías generales del RGPD; las complementa. La empresa sigue estando obligada a identificar una base jurídica para cada tratamiento, a informar a los trabajadores, a respetar sus derechos y a adoptar medidas técnicas y organizativas adecuadas.

Bases jurídicas para tratar datos de empleados

El artículo 6 del RGPD enumera las bases de licitud del tratamiento. En el contexto laboral, las más relevantes son:

Qué datos puede tratar la empresa: una visión por categorías

No todos los datos tienen el mismo régimen. El RGPD distingue entre datos ordinarios y categorías especiales de datos (artículo 9), que incluyen datos de salud, afiliación sindical, origen racial o étnico, creencias religiosas o datos biométricos. Las categorías especiales requieren una base específica del artículo 9.2, además de la base general del artículo 6.

Tipo de dato Base jurídica habitual Finalidad
Datos identificativos (nombre, DNI, domicilio) Contrato (art. 6.1.b) / Obligación legal (art. 6.1.c) Alta en SS, contrato laboral, IRPF
Datos bancarios Contrato (art. 6.1.b) Pago de nómina
Registro de jornada Obligación legal (art. 6.1.c) Cumplimiento art. 34.9 ET
Imágenes de videovigilancia Interés legítimo (art. 6.1.f) / Contrato (art. 6.1.b) Seguridad, control del cumplimiento contractual
Geolocalización Interés legítimo (art. 6.1.f) / Contrato (art. 6.1.b) Control de actividad, gestión de flotas
Datos de salud (bajas, vigilancia sanitaria) Art. 9.2.b RGPD (obligaciones en materia de empleo) Prevención de riesgos laborales, gestión de IT
Afiliación sindical Art. 9.2.b RGPD Descuento de cuota sindical en nómina (si procede)
Currículum y datos de selección Consentimiento (art. 6.1.a) / Contrato (art. 6.1.b) Proceso de selección, contratación futura

El artículo 88 de la LOPDGDD: derechos digitales en el trabajo

El Título X de la LOPDGDD desarrolla los derechos digitales de los trabajadores. Aunque es habitual referirse a ellos de forma conjunta, cada artículo regula un supuesto distinto:

Nómina, Seguridad Social y obligaciones tributarias

La gestión de la nómina concentra algunos de los tratamientos de datos más sensibles del ciclo laboral: número de cuenta bancaria, domicilio fiscal, importe del salario, categoría profesional, retenciones de IRPF y cotizaciones a la Seguridad Social. La base jurídica es dual: la ejecución del contrato de trabajo (art. 6.1.b RGPD) y el cumplimiento de las obligaciones legales tributarias y de Seguridad Social (art. 6.1.c RGPD).

Cuando la empresa externaliza la gestión de nóminas a un despacho o a una plataforma de payroll, ese proveedor actúa como encargado del tratamiento en el sentido del artículo 28 del RGPD. Es obligatorio suscribir un contrato de encargo que contemple, entre otras cláusulas, las instrucciones de tratamiento, las medidas de seguridad exigidas y el procedimiento de notificación de brechas de seguridad. La ausencia de este contrato es una de las deficiencias más frecuentes que detectamos en las adecuaciones al RGPD de las empresas.

Datos de salud y prevención de riesgos laborales

Los datos de salud son categorías especiales de datos conforme al artículo 9 del RGPD. En el ámbito laboral, la empresa tiene acceso a este tipo de información principalmente a través de dos vías:

Selección de personal: el ciclo de vida de los datos del candidato

El proceso de selección es la primera etapa en la que la empresa recaba datos de personas que todavía no son empleados. El candidato facilita su currículum —con datos identificativos, formación, experiencia, y a veces fotografía— sobre la base de su consentimiento (art. 6.1.a RGPD) o en el marco de la negociación precontractual (art. 6.1.b RGPD).

Dos puntos críticos en esta fase:

El deber de información a los empleados

Los artículos 13 y 14 del RGPD obligan al responsable del tratamiento a informar a los interesados en el momento en que se recaban sus datos. En el ámbito laboral, esto se traduce en la obligación de entregar al trabajador, como muy tarde en el momento de la firma del contrato, una cláusula informativa que indique:

Esta información no puede reducirse a una referencia genérica a la política de privacidad del sitio web corporativo. Debe ser específica para el ámbito laboral y estar redactada en lenguaje claro, sin tecnicismos. Puede ampliar la información sobre los derechos de los interesados bajo el RGPD y cómo articular su ejercicio en el entorno laboral.

Obligaciones formales del empleador

Más allá del deber de información, la empresa debe cumplir un conjunto de obligaciones documentales y organizativas:

Régimen sancionador: el marco del artículo 83 del RGPD

El incumplimiento de las obligaciones en materia de protección de datos en el ámbito laboral puede dar lugar a sanciones conforme al artículo 83 del RGPD. El régimen establece dos tramos:

La LOPDGDD (LO 3/2018) tipifica además infracciones específicas y gradúa las sanciones en leves, graves y muy graves (artículos 72 a 74 de la LOPDGDD), manteniendo coherencia con el marco del RGPD. Desde Summum Consultoría acompañamos a las empresas en la adecuación a la normativa de protección de datos, identificando los tratamientos de datos de empleados que requieren atención prioritaria y ayudando a implantar las medidas técnicas y organizativas adecuadas.

Preguntas frecuentes

¿Puede la empresa revisar el correo electrónico corporativo de un empleado?

Sí, con condiciones. El artículo 87 de la LOPDGDD permite al empleador acceder a los contenidos derivados del uso de los dispositivos digitales puestos a disposición de los empleados, siempre que haya establecido previamente unas normas de uso y las haya comunicado a los trabajadores. El acceso debe estar orientado al control del cumplimiento de las obligaciones laborales y no puede ser indiscriminado ni desproporcionado. Sin esa información previa, el acceso al correo corporativo puede vulnerar el derecho a la intimidad del trabajador y generar responsabilidad para la empresa.

¿Es obligatorio el consentimiento del trabajador para incluir su fotografía en la web de la empresa?

La publicación de la fotografía de un empleado en el sitio web o en redes sociales corporativas no puede ampararse en la ejecución del contrato ni en una obligación legal. La base jurídica adecuada es el consentimiento expreso del trabajador conforme al artículo 6.1.a del RGPD. Dado el desequilibrio inherente a la relación laboral, ese consentimiento debe ser libre, específico e informado, y el trabajador debe poder revocarlo sin consecuencias negativas para su situación laboral. Es recomendable documentar el consentimiento por escrito.

¿Cuánto tiempo puede la empresa conservar los datos de un exempleado?

El principio de limitación del plazo de conservación del artículo 5.1.e del RGPD obliga a no mantener los datos más tiempo del necesario. En el ámbito laboral, los plazos vienen determinados por las prescripciones legales: cuatro años para las obligaciones laborales y de Seguridad Social (Ley General de la Seguridad Social), cinco años en materia fiscal, y hasta diez años en algunos supuestos de prevención del blanqueo. Transcurridos esos plazos, los datos deben suprimirse o bloquearse de forma que solo estén disponibles a disposición de las Administraciones Públicas, jueces o tribunales.

¿Necesita la empresa un delegado de protección de datos (DPO) para gestionar los datos de sus empleados?

El DPO es obligatorio en los supuestos del artículo 37 del RGPD: autoridades y organismos públicos, entidades que realizan tratamientos a gran escala de categorías especiales de datos y entidades cuya actividad principal requiere observación sistemática a gran escala de interesados. En el ámbito privado, muchas pymes no están obligadas a designar un DPO por el solo hecho de tener empleados. Sin embargo, cuando la empresa trata datos de salud de trabajadores a gran escala —por ejemplo, servicios médicos o mutuas— o realiza vigilancia sistemática y continuada de sus empleados, la obligación puede concurrir. En todo caso, es buena práctica designar un punto de contacto interno para protección de datos, incluso cuando no sea formalmente obligatorio.