El tratamiento de datos es una constante de las relaciones laborales y las dudas sobre el tratamiento de datos en el ámbito laboral son una constante tanto para trabajadores como para empresas.

Por ello, la Agencia Española de Protección de Datos (AEPD) ha presentado su nueva guía  «La protección de datos en las relaciones laborales» con el objetivo de informar y concienciar al público y a los responsables de tratamiento sobre los riesgos, normas, garantías y derechos de los trabajadores en materia de protección de datos. La AEPD continúa así con su labor de divulgación y concienciación en cumplimiento del artículo 57 del RGPD que le reconoce esta función.

Más allá de un mero resumen

El objetivo de esta guía no es el de enumerar o resumir las leyes aplicables sino que va más allá y proporciona orientaciones de carácter práctico, aunque no vinculantes, con el fin de facilitar la comprensión de la ley.

Para reforzar este carácter práctico de la guía, la AEPD ha contado con la colaboración del Ministerio de Trabajo, asociaciones empresariales como la CEOE y CEPYME y los sindicatos CCOO y UGT.

La guía arranca con un repaso de los conceptos generales de la protección de datos como las bases jurídicas en las que se deben apoyar los tratamientos en el ámbito de las relaciones laborales, así como los derechos de los trabajadores y principios y deberes con los que los responsables de tratamiento deben cumplir.

Después de esta introducción, el documento se mete de lleno en los aspectos concretos que atañen a la protección de datos en las relaciones laborales. Estos aspectos se dividen en:

  • Selección y contratación
  • Desarrollo de la reacción laboral
  • Control de la actividad laboral
  • Vigilancia de la salud

A continuación, resumimos los puntos principales de cada una de las áreas de la guía. Si lo deseas, puedes descargar estos puntos en una guía visual creada por PSN SERCON en este enlace.

Selección y contratación

  • Se marcan y definen límites al tratamiento de los datos en los procesos de selección y contratación (deber de información, custodio de la documentación),
  • Selección de personal y redes sociales (la indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales),
  • Entrevistas de trabajo (los datos obtenidos por esa vía no pueden ser objeto de tratamiento si no se dispone de una base jurídica),
  • Colaboración entre empresas para la contratación (éstas actuarán como encargadas del tratamiento cuando hayan celebrado previamente un contrato con la empresa que busca personas trabajadoras y una vez que desaparece la base jurídica que legitima el tratamiento los datos deberán ser destruidos o devueltos al responsable del tratamiento. Por último, será necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos, aunque las empresas a las que se ceden formen parte de un mismo grupo empresarial),
  • Decisiones automatizadas (el procedimiento debe contemplar algún mecanismo de intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y, en su caso, impugne la decisión),
  • Supuestos en que se recaben categorías de datos personales (la persona candidata, en los supuestos de reconocimientos médicos y pruebas psicotécnicas, además de ser informada, tiene derecho a acceder a los resultados de esas pruebas y a conocer los criterios de selección utilizados por la empresa. Las pruebas genéticas a una persona trabajadora o candidata a un empleo no son admisibles),
  • Conservación de los datos en caso de no contratación (sería necesario el consentimiento para un futuro tratamiento y, en caso contrario, se deben destruir y proceder al bloqueo y supresión de los datos).

Desarrollo de la relación laboral

  • Sobre la identificación de empleados ante clientes, se podrá exigir el porte de tarjetas identificativas cuando sean actividades de cara al público o por razones de seguridad, respetando el principio de minimización.
  • Con respecto a las categorías especiales de datos, su tratamiento en este ámbito estaría prohibido con carácter general, siendo lícito en varios casos que expone la guía (especial mención a datos biométricos).
  • En el apartado de los sistemas internos de denuncia se definen los sistemas por los que se puede obtener información, los casos de cesiones o transmisiones de datos, deja constancia de que se admiten las denuncias anónimas, y el plazo de conservación se define en el tiempo necesario para la investigación de los hechos, debiendo suprimirse transcurridos tres meses desde su introducción en el sistema.
  • Sobre el registro de la jornada laboral, tiene su base jurídica en una obligación legal de incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora. Los registros de ese tiempo de trabajo deben ser conservados durante cuatro años y permanecer a disposición de las personas trabajadoras. Se definen una serie de aspectos a tener en cuenta en la guía.
  • Con respecto a la concesión de ayudas de acción social, las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público, porque ello permitiría que terceros ajenos al procedimiento pudieran acceder a datos personales.
  • En cuanto a la cesión de datos a otras empresas (grupos de empresas, contratas y transmisión de empresas), el grupo de empresas no constituye una persona jurídica, sino que cada empresa del grupo tiene personalidad jurídica propia y puede ser considerada como responsable del tratamiento de los datos de las personas trabajadoras siempre y cuando decida sobre los fines y medios del tratamiento.

La base jurídica dentro de los grupos de empresas podría ser el cumplimiento del contrato de trabajo, y en grupos que ocultan una realidad empresarial única la base jurídica sería el propio contrato de trabajo.

  • Sobre el acceso a datos de otras personas candidatas a un puesto de trabajo, hemos de tener en cuenta que la base jurídica del tratamiento es la satisfacción de intereses legítimos perseguidos por el responsable o un tercero.
  • Con respecto a la extinción de la relación laboral, se determina que la carta de despido puede contener datos personales de la persona despedida y de terceros (por ejemplo, clientes) siempre que sean adecuados y pertinentes para esa finalidad, además, se deberán implementar las medidas de seguridad necesarias para que la carta de despido no sea accesible por terceros no legitimados, y por último, en el momento de la finalización de la relación laboral debe procederse al bloqueo de los datos (art. 32 de la LOPDGDD).
  • “Los datos personales relativos a las víctimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada (Informe AEPD 149 – 2019).


El tratamiento de datos personales en supuestos de acoso debe tener en cuenta una serie de cuestiones que aparecen en la guía, destacando que la puesta en marcha de procedimientos sancionadores en la empresa frente al acosador no requiere del consentimiento de la persona acosada (cumplimiento de una obligación legal), y se deberá asignar un código identificativo tanto a la persona supuestamente acosada como a la supuestamente acosadora, con objeto de preservar la identidad de estas.

En un sentido análogo, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando así resulte necesario para el cumplimiento de las obligaciones legales pertinentes.”

Además de todo lo anterior, la AEPD incluye criterios novedosos en torno al uso de nuevas tecnologías en el marco de las relaciones laborales. De este modo, se introducen en la Guía aspectos interpretativos en torno al uso de la huella digital (que podría no considerarse un tratamiento de “datos sensibles”), el empleo de wearables para el control de la salud en el marco de la prevención de riesgos laborales o la toma de decisiones automatizadas para medir el rendimiento laboral.

Control de la actividad laboral

  • En cuanto al control de acceso a las instalaciones, no se necesita consentimiento del trabajador, siempre que se respeten los derechos fundamentales.
  • Sobre la videovigilancia, según el art. 89 de la LOPDGDD, estas imágenes pueden tratarse para el ejercicio de las funciones de control de las personas trabajadoras, con varios requisitos que enumera la guía, por ejemplo, que la base jurídica para el control de las personas trabajadoras es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.3 del ET), sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad, en el supuesto de que se haya captado la comisión flagrante de un acto ilícito por las personas trabajadoras, se entenderá cumplido el deber de informar cuando se haya colocado un dispositivo informativo en lugar suficientemente visible, se produce un tratamiento de datos tanto si las cámaras graban imágenes como si las reproducen en tiempo real. En cambio, no se aplica la normativa de protección de datos a las cámaras simuladas y está prohibida la instalación de sistemas de grabación de imagen y/o sonido en lugares destinados al descanso o esparcimiento de las personas trabajadoras.
  • Sobre la geolocalización, además de todas las consideraciones legales del resto de medidas, puede no tener como objeto a la persona trabajadora, sino el de ser herramientas propiedad del empleador, como vehículos o dispositivos móviles, no obstante, cuando es aplicada a la herramienta conlleva también la geolocalización y el control del propio trabajador/a, por lo que se debe realizar una evaluación de impacto previa a su implementación, el empleador debe asegurarse de que los datos recogidos a través de esta vía se traten con un fin específico, y no es lícito imponer a la persona trabajadora la obligación de proporcionar medios personales para facilitar la geolocalización.
  • Con respecto al control de falta de asistencia por enfermedad o accidente, hay que resaltar que no es equiparable ni sigue las mismas reglas que la vigilancia de la salud en materia de prevención de riesgos laborales.
  • Se podrá recurrir a un detective privado (artículo 20.3 ET) con las precisiones que confiere la guía.

Viglancia de la salud

Con respecto a la vigilancia de la salud, los datos de los que el empleador puede disponer, y que son susceptibles de tratamiento, deben ser datos necesarios para la correcta ejecución del contrato. La empresa no tiene derecho a conocer datos de salud más específicos incluso cuando se refieran a una persona trabajadora especialmente sensible a los riesgos derivados del trabajo

En definitiva, la publicación de esta Guía aporta criterios interpretativos necesarios para ajustar la adecuación de los tratamientos de datos personales de los trabajadores a la normativa vigente de protección de datos.

A raíz de la Guía se hace necesaria una revisión de los registros de actividades de tratamiento en lo que afecte a empleados, sus cláusulas informativas, los medios tecnológicos que se estén utilizando para el control y desarrollo de la relación laboral o de los acuerdos de protección de datos con entidades como las agencias de colocación o las ETT.