La protección de datos personales en el entorno laboral sigue siendo uno de los focos de mayor riesgo para las empresas. No porque falten normas, sino porque muchas prácticas habituales continúan apoyándose en supuestos que la Agencia Española de Protección de Datos (AEPD) lleva tiempo cuestionando.
Con la actualización de su guía La protección de datos en las relaciones laborales, la AEPD consolida criterios que ya está aplicando en inspecciones y procedimientos sancionadores. No introduce obligaciones nuevas, pero sí deja claro cómo interpreta la normativa y qué errores considera especialmente graves en la práctica diaria.
El dato laboral es mucho más de lo que parece
La AEPD recuerda que el concepto de dato personal en el ámbito laboral es amplio. No se limita al nombre o al número de afiliación, sino que incluye:
- Evaluaciones de desempeño.
- Informes internos.
- Registros de actividad.
- Imágenes, audios y datos inferidos.
Este enfoque obliga a revisar muchos tratamientos que se dan por asumidos sin haber sido analizados desde la óptica del principio de minimización.
Además, la Agencia insiste en un punto clave: el consentimiento del trabajador rara vez es una base válida, debido al desequilibrio inherente a la relación laboral. La legitimación suele encontrarse en la ejecución del contrato o en el cumplimiento de una obligación legal, no en la firma de una cláusula genérica.
Informar no es legitimar
Uno de los errores más comunes es confundir el deber de información con la base jurídica del tratamiento.
Incluir una cláusula informativa en el contrato no legitima por sí sola el uso de los datos.
La guía refuerza la necesidad de:
- Información clara y comprensible.
- Uso de modelos por capas.
- Comunicación en el momento de la recogida o, como máximo, en el plazo de un mes.
Muchas sanciones no nacen de tratamientos complejos, sino de informaciones insuficientes o poco transparentes.
Derechos de las personas trabajadoras: especial atención al acceso
La AEPD dedica especial atención al derecho de acceso. Este no se limita a datos básicos, sino que incluye valoraciones, informes internos y evaluaciones.
En cuanto a la supresión, la guía recuerda que no siempre procede el borrado inmediato. Cuando existe obligación legal de conservación, debe aplicarse el bloqueo efectivo del dato, con medidas técnicas reales que impidan su uso.
Eliminar datos sin bloquearlos previamente puede ser tan incorrecto como conservarlos indefinidamente.
Procesos de selección: un origen frecuente de conflictos
Las reclamaciones en materia de protección de datos surgen con frecuencia antes incluso de la contratación.
La AEPD reitera límites claros:
- Solo pueden solicitarse datos relevantes para el puesto.
- No es lícito investigar redes sociales, aunque los perfiles sean públicos, salvo justificación objetiva e información previa.
- Las preguntas personales o médicas ajenas al puesto no están permitidas.
Las entrevistas mal planteadas siguen siendo una fuente habitual de riesgo.
Control empresarial: legítimo, pero no ilimitado
Videovigilancia, geolocalización o detectives privados son herramientas posibles, pero siempre bajo criterios estrictos de proporcionalidad.
La guía recuerda, entre otros aspectos, que:
- Está prohibida la videovigilancia en zonas sensibles.
- La geolocalización solo es admisible durante la jornada y con finalidad concreta.
- El problema no suele ser el sistema, sino el exceso en su utilización.
Datos de salud: máxima cautela
Los datos de salud tienen la consideración de categoría especial. La empresa solo puede acceder a conclusiones de aptitud, nunca a historiales clínicos.
El uso de wearables u otras tecnologías exige, además, evaluaciones de impacto previas, y cualquier filtración en este ámbito conlleva un riesgo sancionador especialmente elevado.
La guía de la AEPD deja un mensaje claro: la protección de datos en el ámbito laboral no es un trámite documental, sino una gestión continua del riesgo.
Revisar procesos de selección, sistemas de control, cláusulas informativas y accesos internos es hoy una medida de prevención imprescindible.
En GRA Consultores ayudamos a las empresas a analizar estos tratamientos con criterio jurídico y a adaptar sus prácticas antes de que el problema llegue en forma de reclamación o sanción.
