Desde la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), el ordenamiento jurídico español reconoce un catálogo explícito de derechos digitales en el ámbito de las relaciones laborales. Los artículos 87 a 91 de esa norma obligan a las empresas a regular con precisión cómo se utilizan los dispositivos corporativos, cómo se protege el tiempo de descanso de los trabajadores, bajo qué condiciones puede rastrearse su posición geográfica y qué límites tiene la videovigilancia en el centro de trabajo.
Este artículo analiza cada uno de esos preceptos con rigor normativo, explica qué debe hacer concretamente el empleador para cumplirlos y señala los errores más habituales que detectamos cuando acompañamos a las organizaciones en su adecuación al RGPD y a la LOPDGDD. No se trata de una lectura académica: cada apartado termina con una acción concreta.
El marco legal: arts. 87-91 de la LOPDGDD
La LOPDGDD (LO 3/2018) no derogó el Reglamento (UE) 2016/679 (RGPD) —que es derecho europeo de aplicación directa—, sino que lo complementó en el ámbito nacional y añadió un Título X dedicado íntegramente a los derechos digitales. Dentro de ese título, los artículos 87 a 91 se refieren exclusivamente al entorno laboral:
- Art. 87: Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
- Art. 88: Derecho a la desconexión digital en el ámbito laboral.
- Art. 89: Derecho a la intimidad ante la videovigilancia y la grabación de sonidos en el lugar de trabajo.
- Art. 90: Derecho a la intimidad frente al uso de sistemas de geolocalización.
- Art. 91: Derechos digitales en la negociación colectiva.
La derogada LO 15/1999 (LOPD) no contemplaba ninguno de estos derechos. Es la LOPDGDD vigente la que los introduce por primera vez con rango de ley orgánica, reforzando las garantías del artículo 18.4 de la Constitución Española (limitación del uso de la informática para preservar el honor y la intimidad personal y familiar de los ciudadanos) en el contexto digital y laboral.
Artículo 87: privacidad en el uso de dispositivos digitales corporativos
El artículo 87 de la LOPDGDD reconoce a los trabajadores el derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador. Establece tres mandatos esenciales:
- El empleador puede acceder a los contenidos de los dispositivos que ha cedido al trabajador solo para controlar el cumplimiento de las obligaciones laborales y asegurar la integridad de los sistemas de información de la empresa.
- El empleador debe establecer criterios de utilización de esos dispositivos mediante negociación colectiva o consulta con los representantes de los trabajadores, y en su defecto de forma unilateral. Esos criterios deben fijar, en particular, si los dispositivos pueden usarse con fines personales y en qué condiciones.
- Los trabajadores deben ser informados de forma clara y precisa sobre el alcance del control que puede ejercer el empleador y los medios que puede emplear para ello. Esta información debe darse antes de que el control sea efectivo.
La jurisprudencia del Tribunal Europeo de Derechos Humanos (caso Bărbulescu c. Rumania, Gran Sala, 2017) y del Tribunal Supremo español exige que el trabajador haya sido advertido previamente de la posibilidad de control. Sin esa advertencia, las pruebas obtenidas mediante monitorización del dispositivo pueden ser declaradas nulas en un procedimiento disciplinario o judicial.
Acción concreta: redactar o actualizar la política de uso de dispositivos corporativos, notificarla a los trabajadores con acuse de recibo y conservar el justificante.
Artículo 88: el derecho a la desconexión digital
El artículo 88 de la LOPDGDD es el más citado del Título X y, a la vez, el más frecuentemente incumplido en la práctica. Reconoce a los trabajadores el derecho a la desconexión digital para garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
El artículo impone al empleador dos obligaciones específicas:
- Elaborar una política interna de desconexión digital, previa audiencia de los representantes de los trabajadores, en la que se definan las modalidades de ejercicio del derecho y se prevean acciones de formación y sensibilización sobre el uso razonable de las herramientas tecnológicas.
- Respetar ese derecho de manera especialmente activa en los casos de empleados que realizan trabajo a distancia o teletrabajo, dada la mayor dificultad para separar los tiempos de trabajo y descanso.
Qué debe incluir la política interna de desconexión digital
La LOPDGDD no establece un contenido mínimo taxativo, pero la AEPD y las guías de buenas prácticas identifican los elementos que una política eficaz debe recoger:
- Definición del horario de disponibilidad digital: franja horaria en la que el trabajador puede ser contactado por razones profesionales.
- Canales y dispositivos afectados: correo electrónico, mensajería instantánea, llamadas telefónicas a móvil corporativo o personal.
- Procedimiento para situaciones de urgencia excepcional que justifiquen el contacto fuera de horario y criterios para calificar una situación como urgente.
- Mecanismos de control y seguimiento del cumplimiento de la política.
- Régimen aplicable a directivos y personal con responsabilidades especiales, si difiere del régimen general.
- Referencia expresa al colectivo de teletrabajadores y a las medidas de separación entre jornada y tiempo personal en esos casos.
- Indicación de las acciones formativas que la empresa desarrollará para sensibilizar a la plantilla y a los mandos intermedios.
La política debe aprobarse con la participación de los representantes de los trabajadores (comité de empresa, delegados de personal o sección sindical, según corresponda), aunque la ausencia de representación legal no exime de la obligación: en ese caso, el empleador debe adoptar la política de forma unilateral y comunicarla a la plantilla.
Desde Summum Consultoría acompañamos a las empresas en la redacción e implantación de la política de desconexión digital, incluyendo la negociación con representantes y la integración con los convenios colectivos aplicables, en nuestras cinco oficinas de Castilla y León y Canarias.
Artículo 90: geolocalización de trabajadores
El artículo 90 de la LOPDGDD regula el uso de sistemas de geolocalización —GPS en vehículos, aplicaciones de seguimiento en dispositivos móviles, sistemas telemáticos de control de rutas— en el ámbito laboral. El tratamiento de datos de localización está específicamente mencionado en el artículo 4.1 del RGPD como dato personal, y su tratamiento masivo puede requerir una evaluación de impacto en protección de datos (EIPD) conforme al artículo 35 del RGPD.
El artículo 90 de la LOPDGDD establece que los empleadores que utilicen sistemas de geolocalización deben:
- Informar a los trabajadores con carácter previo y de forma expresa, clara e inequívoca sobre la existencia y las características del sistema de geolocalización.
- Informarles del ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión en relación con los datos tratados (artículos 15 a 22 del RGPD), en el marco de las funciones de control previstas en el artículo 20.3 del Estatuto de los Trabajadores.
La información previa es un requisito de validez del tratamiento, no una mera cortesía. Si un trabajador descubre que está siendo geolocalizado sin haber sido informado, puede ejercitar los derechos reconocidos en los artículos 15 a 22 del RGPD ante la empresa y, en caso de no obtener respuesta satisfactoria, presentar reclamación ante la AEPD.
Error frecuente: instalar un GPS en el vehículo de empresa sin incluir una cláusula informativa en el contrato de trabajo ni en el protocolo de entrega del vehículo. La cláusula debe indicar la finalidad del tratamiento (control de actividad profesional, optimización de rutas, seguridad del vehículo), el responsable del tratamiento, el plazo de conservación de los datos y los derechos del interesado.
Artículo 89: videovigilancia y grabación de sonidos en el trabajo
El artículo 89 de la LOPDGDD permite a los empleadores tratar las imágenes obtenidas a través de sistemas de videovigilancia para el ejercicio de las funciones de control de los trabajadores, con los mismos límites y garantías del artículo 20.3 del Estatuto de los Trabajadores. Ese precepto del ET autoriza al empresario a adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones, dentro del respeto a su dignidad.
El artículo 89 introduce una especialidad en materia de información: los empleadores quedan exonerados de informar a los trabajadores sobre el tratamiento mediante videovigilancia cuando los dispositivos estén instalados en zonas comunes del lugar de trabajo y se haya colocado el distintivo informativo en lugar suficientemente visible, identificando la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos del RGPD. Este distintivo es el conocido cartel de «zona videovigilada».
Sin embargo, la norma contiene una excepción importante: esta exoneración de información previa no se extiende a los supuestos de videovigilancia encubierta (cámaras ocultas). La videovigilancia oculta solo está admitida cuando existe una sospecha fundada de conductas ilícitas graves por parte del trabajador y siempre dentro de los límites del principio de proporcionalidad. La AEPD y los tribunales han sido consistentes en exigir que la medida sea idónea, necesaria y proporcional al fin perseguido.
El artículo 89 también prohíbe expresamente la instalación de sistemas de grabación de sonidos y de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores, tales como vestuarios, aseos, comedores o zonas de descanso.
Artículo 91: derechos digitales en la negociación colectiva
El artículo 91 de la LOPDGDD reconoce el derecho de los trabajadores y de sus representantes a participar en la negociación de los convenios colectivos que regulen el ejercicio de los derechos digitales en el ámbito laboral. La norma encomienda a los interlocutores sociales la función de desarrollar y adaptar mediante negociación colectiva los derechos reconocidos en el Título X —en especial los relativos al uso de dispositivos, la desconexión digital y los sistemas de control— a las particularidades de cada sector de actividad y empresa.
Sin perjuicio de lo anterior, conviene señalar que el registro de la jornada laboral —obligatorio desde la entrada en vigor del Real Decreto-ley 8/2019, que modificó el artículo 34.9 del Estatuto de los Trabajadores— genera datos de carácter personal que deben tratarse conforme al RGPD. Los sistemas de control de presencia —fichas físicas, aplicaciones móviles, lectores biométricos— deben estar respaldados por una base jurídica legítima (artículo 6.1.c del RGPD, cumplimiento de una obligación legal) y no utilizarse para finalidades distintas de las comunicadas a los trabajadores, con acceso garantizado a los propios interesados de conformidad con los artículos 15 a 22 del RGPD.
Tabla comparativa: obligaciones del empleador según los arts. 87-91 LOPDGDD
| Artículo | Derecho reconocido | Obligación principal del empleador | Documento/acción mínima |
|---|---|---|---|
| Art. 87 | Intimidad en uso de dispositivos | Regular y comunicar el alcance del control sobre dispositivos corporativos | Política de uso de dispositivos digitales (notificada y firmada) |
| Art. 88 | Desconexión digital | Elaborar política interna de desconexión, previa audiencia de representantes | Política de desconexión digital (aprobada con representantes) |
| Art. 89 | Intimidad ante videovigilancia y grabación de sonidos | Colocar distintivo informativo visible; prohibición de cámaras en zonas de descanso | Cartel «zona videovigilada» conforme al modelo AEPD + cláusula si hay audio |
| Art. 90 | Intimidad ante sistemas de geolocalización | Informar previamente de la existencia y características del sistema GPS/telemático | Cláusula informativa en contrato o anexo + registro de actividades |
| Art. 91 | Derechos digitales en la negociación colectiva | Desarrollar y adaptar mediante negociación colectiva los derechos digitales laborales del Título X | Cláusula en convenio colectivo o acuerdo de empresa sobre derechos digitales |
La política interna de uso de dispositivos: contenido mínimo recomendado
Los artículos 87 y 88 de la LOPDGDD convergen en la necesidad de que la empresa cuente con una política interna que regule de forma coherente el uso de los dispositivos digitales y el derecho a la desconexión. Aunque ambas obligaciones pueden articularse en documentos separados, muchas organizaciones optan por un documento integrado que cubra ambos aspectos.
El contenido mínimo que recomendamos incluir —basándonos en las guías de la AEPD y en nuestra experiencia acumulada acompañando a empresas en su adecuación al RGPD— es el siguiente:
- Ámbito de aplicación: categorías de trabajadores afectados, tipos de dispositivos (ordenador portátil, teléfono móvil, tableta, vehículo con GPS).
- Finalidades del uso corporativo y, en su caso, condiciones del uso personal permitido.
- Medidas de control que puede adoptar el empleador: qué se monitoriza, con qué frecuencia, quién tiene acceso a los registros y bajo qué procedimiento.
- Horario de disponibilidad digital y procedimiento para contactar fuera de ese horario en casos de urgencia justificada.
- Datos personales tratados a través de los dispositivos, base jurídica del tratamiento y plazo de conservación.
- Derechos de los trabajadores en su condición de interesados conforme al RGPD y cauce para ejercitarlos.
- Régimen disciplinario aplicable al incumplimiento de la política.
- Formación y sensibilización: calendario de acciones previstas y canales para resolver dudas.
La política debe estar accesible de forma permanente para todos los trabajadores (intranet, portal del empleado, tablón de anuncios digital) y actualizarse cuando cambie la tecnología empleada, cuando se incorpore nueva normativa aplicable o cuando lo soliciten los representantes de los trabajadores.
Régimen sancionador aplicable
El incumplimiento de los derechos digitales laborales regulados en los artículos 87-91 de la LOPDGDD puede dar lugar a responsabilidad en dos planos distintos:
En el plano del derecho laboral, la conducta del empleador puede constituir una vulneración de los derechos fundamentales del trabajador (arts. 18 y 20 CE en relación con el ET), lo que habilita al trabajador para instar procedimientos de tutela de derechos fundamentales ante los juzgados de lo Social.
En el plano del derecho de protección de datos, las infracciones se someten al régimen sancionador del artículo 83 del Reglamento (UE) 2016/679 y de los artículos 70 a 77 de la LOPDGDD. Las infracciones graves (art. 83.4 RGPD) pueden ser sancionadas con multas de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual mundial; las muy graves (art. 83.5 RGPD), con multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial, aplicándose siempre el importe que sea más elevado. La LOPDGDD, en su artículo 74, tipifica como infracción leve el tratamiento de datos de carácter personal sin atender los principios de información cuando no afectan a derechos fundamentales, con multas de hasta 40.000 EUR.
La AEPD ha publicado resoluciones sobre videovigilancia encubierta y geolocalización de trabajadores que ilustran cómo se aplica ese régimen en la práctica. Conviene consultar el buscador de resoluciones de la AEPD antes de implantar cualquier sistema de control digital de la actividad laboral.
Preguntas frecuentes
¿Puede la empresa leer los correos del trabajador en el móvil corporativo?
Sí, siempre que haya informado previamente al trabajador del alcance del control y de las condiciones de uso del dispositivo, conforme al artículo 87 de la LOPDGDD. Sin esa información previa, las pruebas obtenidas a partir del contenido del correo corporativo pueden no ser válidas en un procedimiento disciplinario. Si el trabajador tenía permiso para usar el dispositivo con fines personales, el empleador no puede acceder a los contenidos de carácter personal sin vulnerar el derecho a la intimidad, salvo que exista sospecha fundada de conducta ilícita grave y se actúe de forma proporcional.
¿La política de desconexión digital obliga a responder mensajes fuera de horario?
No: la política de desconexión digital tiene precisamente el efecto contrario. El artículo 88 de la LOPDGDD reconoce al trabajador el derecho a no responder comunicaciones profesionales fuera de su jornada laboral. La política interna debe dejar claro que la ausencia de respuesta fuera del horario no puede ser sancionada ni valorada negativamente. Los mandos intermedios deben recibir formación específica para no generar expectativas de disponibilidad permanente, ya que una cultura organizativa que presione implícitamente al trabajador a estar conectado puede considerarse un incumplimiento del derecho reconocido en la norma, incluso si la empresa tiene aprobada formalmente una política de desconexión.
¿Es obligatorio colocar el cartel de videovigilancia si solo se monitoriza el exterior del edificio?
Sí. El artículo 89 de la LOPDGDD exige colocar el distintivo informativo en lugar suficientemente visible siempre que existan cámaras, con independencia de si apuntan al interior o al exterior del edificio. Si las cámaras del exterior pueden captar imágenes de trabajadores en el acceso, el aparcamiento o las inmediaciones del centro de trabajo, el tratamiento de datos se produce igualmente y los trabajadores deben ser informados. El cartel debe identificar, al menos, la existencia del tratamiento, la identidad del responsable y el enlace o referencia donde obtener información adicional sobre los derechos ejercitables.
¿Qué pasa si la empresa no tiene representantes de trabajadores y no puede negociar la política de desconexión?
El artículo 88 de la LOPDGDD exige «previa audiencia» de los representantes de los trabajadores, pero no condiciona la validez de la política a que exista esa representación. Cuando la empresa no cuenta con comité de empresa ni delegados de personal, el empleador puede —y debe— elaborar y aprobar la política de forma unilateral y comunicarla individualmente a todos los trabajadores. Es recomendable documentar que se ha intentado la consulta y dejar constancia del proceso seguido. Algunos convenios colectivos sectoriales ya regulan el derecho a la desconexión, en cuyo caso la empresa debe respetar esas condiciones como mínimo.