- El tratamiento de datos en la empresa se basa, sobre todo, en la ejecución del contrato y el cumplimiento de obligaciones legales, no en el consentimiento.
- Los principios de licitud, transparencia, minimización y proporcionalidad limitan el uso de registros de jornada, videovigilancia, geolocalización y control de comunicaciones.
- Los datos sensibles (salud, acoso, violencia de género, canales de denuncia) exigen confidencialidad reforzada, acceso muy restringido y medidas técnicas adecuadas.
- Las vulneraciones pueden implicar sanciones administrativas y derecho a indemnización por daños, incluso inmateriales, si se acredita el perjuicio sufrido.
La protección de datos en las relaciones laborales se ha convertido en un terreno donde se cruzan, casi a diario, el poder de dirección empresarial y los derechos fundamentales de las personas trabajadoras. Entre RGPD, LOPDGDD, Estatuto de los Trabajadores, convenios, IA y nuevas tecnologías, el panorama es complejo y, si no se gestiona bien, puede acabar en conflictos, sanciones e incluso en nulidades de despidos.
En este contexto, la Agencia Española de Protección de Datos (AEPD) y la jurisprudencia del TJUE, TEDH, Tribunal Supremo y tribunales superiores han ido perfilando un marco en el que la empresa puede controlar y organizar el trabajo, pero siempre con respeto a la intimidad, a la privacidad y al derecho fundamental a la protección de datos. Vamos a ver, con calma pero sin rodeos, qué implica todo esto en la práctica desde la selección de personal hasta la extinción del contrato, pasando por registros de jornada, videovigilancia, geolocalización, canales de denuncia, salud laboral o uso de algoritmos.
Marco jurídico y singularidad de la protección de datos en el trabajo
El derecho a la protección de datos es un derecho fundamental autónomo (art. 18.4 CE) con contornos muy amplios: conecta con la intimidad, el honor y la dignidad de la persona. De ahí que su tutela se reparta entre distintos órdenes jurisdiccionales: penal (delitos de revelación de secretos o daños informáticos y cuestiones de evidencia digital), civil (reclamación de daños), contencioso-administrativo (resoluciones de la AEPD) y social (conflictos en el ámbito laboral).
En lo laboral, el RGPD y la LOPDGDD parten de una idea clave: en la mayoría de casos, el tratamiento de datos de la plantilla no se apoya en el consentimiento, sino en la ejecución del contrato de trabajo y el cumplimiento de obligaciones legales y el compliance corporativo (art. 6 RGPD). La relación laboral es, por sí misma, una base jurídica suficiente para muchos tratamientos, pero eso no significa carta blanca: siguen siendo obligatorios los principios de licitud, transparencia, minimización, limitación de la finalidad, exactitud, seguridad y responsabilidad proactiva.
La normativa europea (art. 88 RGPD) permite que las leyes laborales y los convenios colectivos establezcan reglas específicas para el tratamiento de datos en el empleo. Ahora bien, el TJUE ha dejado clarísimo que esa «singularidad» no autoriza a apartarse de los principios generales. Cualquier regulación convencional sobre datos personales debe respetar la licitud, lealtad, transparencia, proporcionalidad y minimización, y está sometida a control jurisdiccional pleno.
En paralelo, el nuevo Reglamento europeo de Inteligencia Artificial clasifica como de alto riesgo los sistemas de IA utilizados en empleo y Seguridad Social, precisamente porque pueden reforzar discriminaciones históricas por sexo, edad, discapacidad, origen racial o étnico u orientación sexual. Esto obliga a extremar las garantías cuando se usan algoritmos en selección, evaluación del rendimiento, promociones o despidos.
Transparencia, bases de legitimación y principio de minimización
La AEPD insiste en que la primera piedra de todo tratamiento de datos en la empresa es la obligación de información. La guía recomienda la información por capas: una primera capa breve, clara y accesible (quién trata los datos, para qué, base jurídica, principales destinatarios y derechos) y una segunda capa más detallada accesible para quien quiera profundizar.
En cuanto a las bases de legitimación, el corazón del tratamiento en la empresa está en la ejecución del contrato de trabajo y el cumplimiento de normas laborales, de prevención de riesgos o Seguridad Social. Junto a ello, aparecen el cumplimiento de obligaciones legales específicas, el interés legítimo empresarial (que exige análisis de ponderación serio) y, en menor medida, la protección de intereses vitales.
El consentimiento, por el contrario, se maneja con pinzas. La AEPD y el Comité Europeo de Protección de Datos consideran que la relación empresa-persona trabajadora está marcada por un desequilibrio de poder, por lo que rara vez habrá un consentimiento «libre». De hecho, la guía subraya que el consentimiento no es válido cuando se da en un contexto de clara subordinación. Por ejemplo, no es aceptable basar en el consentimiento la petición del informe de vida laboral de una persona candidata.
El principio de minimización obliga a que la empresa recoja y trate solo los datos imprescindibles para la finalidad perseguida. Esto impacta en muchas prácticas habituales: pedir el usuario de redes sociales para «conocer mejor» a la persona candidata, solicitar datos de contacto personales si no son necesarios, acumular datos de familiares o contactos de emergencia sin base adecuada, o exigir una cesión genérica de derechos de imagen para usos que nada tienen que ver con el puesto.
En particular, la AEPD recuerda que el nombre de usuario en redes sociales no es imprescindible para ejecutar el contrato; que tratar datos de geolocalización o ubicaciones personales exige una base distinta al contrato y un test de proporcionalidad; que los datos de contactos de emergencia deben obtenerse con consentimiento de la persona trabajadora y un uso muy concreto; y que la cesión masiva de derechos de imagen solo es legítima si esa imagen es necesaria para el desempeño (por ejemplo, servicios de videollamadas comerciales pactados contractualmente).
Selección de personal, redes sociales y comunicaciones intragrupo
La guía de la AEPD sobre protección de datos y relaciones laborales dedica un apartado específico a la fase de selección. Un punto clave: aunque el perfil de una persona en redes sociales sea público, la empresa no puede dedicarse a rastrear esos datos y utilizarlos en procesos de selección sin base jurídica clara, información previa y un vínculo real con las funciones del puesto. Tampoco está legitimado el empleador para pedir «amistad» o acceso especial a perfiles privados de candidatas y candidatos.
En cuanto a las comunicaciones de datos dentro de un grupo de empresas, la AEPD recuerda que el grupo no es una persona jurídica única, sino un conjunto de entidades que, en principio, son responsables separados. La comunicación de datos entre sociedades del grupo exige una base legítima: normalmente, el interés legítimo del responsable inicial o del receptor, o la ejecución de un contrato de trabajo en el que intervengan varias empresas (por ejemplo, grupos jerarquizados donde la matriz decide sobre la plantilla, o prestaciones de servicios indiferenciadas para varias entidades).
La guía desaconseja montar un único fichero corporativo donde se vuelquen los datos de toda la plantilla del grupo y todo el mundo tenga acceso indiscriminado. Hay que definir claramente quién accede, para qué y con qué medidas de control y restricción. Y, en todo caso, informar a la persona trabajadora de que sus datos pueden ser compartidos dentro del grupo en determinados supuestos.
Control empresarial, despido y vulneración de normas de protección de datos
Uno de los puntos más delicados es determinar cuándo una infracción de la normativa de protección de datos por parte de la persona trabajadora puede justificar un despido disciplinario. La jurisprudencia ofrece escenarios muy distintos.
En el asunto Ortega Ortega contra España, el TEDH declaró que España vulneró los arts. 8 y 14 del CEDH al avalar el despido de una trabajadora que accedió sin autorización a los datos salariales de compañeros para demostrar una discriminación retributiva por razón de sexo. Aunque la empleadora alegó ruptura de la confidencialidad y obtuvo respaldo de los tribunales internos, Estrasburgo subrayó la necesidad de proteger eficazmente a quien denuncia una discriminación persistente, el escaso impacto de la divulgación y la ausencia de reacción previa de la empresa frente a la desigualdad. El despido se consideró una represalia encubierta.
En cambio, el Tribunal Supremo español ha validado despidos cuando el uso indebido de datos ha sido grave y desligado de un ejercicio legítimo de derechos. Así, se ha confirmado la procedencia de la extinción de un trabajador bancario que accedió sin causa a ficheros de morosidad y datos de clientes, incluyendo personas que ni siquiera eran clientes de su entidad, y retrocedió comisiones sin autorización. Ahí se apreció una vulneración clara del deber de confidencialidad y de la buena fe contractual.
Registro salarial, igualdad retributiva y anonimización
La transparencia salarial impulsada por la Directiva (UE) 2023/970 plantea una tensión evidente entre igualdad retributiva y protección de datos. Este texto exige registros salariales que permitan detectar brechas de género, pero al mismo tiempo obliga a evitar la divulgación de información que identifique a personas concretas.
El art. 12 de la Directiva establece que ninguna información puede usarse con fines distintos de la aplicación del principio de igualdad y que, cuando los datos puedan referirse a personas identificables, el acceso puede limitarse a representantes de los trabajadores, inspección de trabajo u organismos de igualdad. El TS español ha recogido este planteamiento en varias sentencias recientes, indicando que el registro salarial debe elaborarse con valores medios y medianas por grupos o categorías profesionales desagregados por sexo, pero sin desvelar retribuciones individualizadas que permitan identificar a alguien.
En puestos ocupados solo por una persona, o por personas de un solo sexo, el TS advierte de que hay que extremar las cautelas para evitar que, aun sin nombre y apellidos, la información permita deducir claramente quién es quién. El derecho a la protección de datos obliga a diseñar registros y auditorías retributivas que cumplan su objeto de control de la igualdad, pero preservando la privacidad económica individual.
Datos personales en acoso laboral y violencia de género
Los procedimientos de acoso y las situaciones de violencia de género en el trabajo exigen una protección reforzada. Los datos de las víctimas, y muchas veces también de las personas investigadas, se consideran categorías especiales o, como mínimo, datos especialmente sensibles. La AEPD y la jurisprudencia han ido marcando pautas muy claras.
En materia de acoso sexual u otras formas de hostigamiento, se ha calificado como conducta de acoso no verbal la captación de imágenes no consentidas, la instalación de cámaras con ánimo intimidatorio o la exhibición de material pornográfico en espacios visibles para la víctima. Además, en la tramitación de protocolos de acoso, la confidencialidad es esencial: la AEPD ha sancionado a empresas que han revelado la identidad de la persona denunciante o de testigos a terceros sin necesidad.
El TEDH, en el caso Vicente del Campo contra España, reprochó que una sentencia contencioso-administrativa sobre acoso psicológico permitiera identificar con claridad al profesor denunciado, que ni siquiera había sido parte en el procedimiento, sin medidas de anonimización. Se consideró vulnerado el art. 8 CEDH por falta de protección efectiva de su vida privada.
También el Tribunal Supremo civil ha condenado a un despacho de abogados por dejar en una carpeta de servidor accesible a toda la plantilla la demanda laboral de una trabajadora, donde se detallaban datos de acoso sufrido, sueldo y datos de salud (baja por ansiedad). El TS señala que la intromisión se consuma en el momento en que los datos íntimos quedan expuestos a personas no autorizadas, aunque el acceso sea limitado en el tiempo o la revelación sea accidental. La empresa debía haber aplicado medidas técnicas y organizativas de confinamiento de la información.
En el caso de mujeres supervivientes de violencia de género, la guía de la AEPD sobre relaciones laborales recomienda emplear códigos internos y referencias no identificativas en la documentación empresarial, de forma que terceros no puedan asociar fácilmente esos datos a una persona concreta. El acceso a esa información debe circunscribirse a recursos humanos y responsables estrictamente necesarios para el cumplimiento de obligaciones legales (adaptaciones de jornada, movilidad, etc.).
Registro de jornada, control horario y acceso a datos
Desde la famosa sentencia del TJUE en el asunto Deutsche Bank y la posterior normativa española, las empresas están obligadas a implementar un sistema objetivo y fiable de registro de jornada diaria. Estos registros son datos personales porque permiten identificar a la persona y conocer su tiempo de trabajo, pausas y horas extra.
El TJUE ha aceptado que la autoridad laboral pueda acceder de forma inmediata al registro horario, siempre que ello sea necesario para su función de vigilancia. El TS ha señalado que el sistema puede ser válido incluso si es el propio trabajador quien introduce los datos, siempre que se conserve la objetividad y trazabilidad.
Respecto al acceso por la representación legal de las personas trabajadoras, la jurisprudencia ha entendido que se pueden facilitar determinados datos (como identidad, provincia, población o información agregada sobre horas) cuando ello sea imprescindible para que los comités puedan ejercer sus funciones de vigilancia (art. 64 ET) y siempre con respeto a la minimización. Asimismo, la LO de Libertad Sindical se ha considerado una base legítima para ciertas cesiones de datos a sindicatos, si concurren los requisitos legales y se justifica la necesidad y proporcionalidad de la cesión.
La AEPD, por su parte, pone el acento en que el sistema de fichaje debe ser el menos invasivo posible, no estar a la vista de terceros ni utilizarse para finalidades distintas al control del tiempo de trabajo. Un ejemplo claro: si se utiliza geolocalización para registrar el inicio y fin de la jornada de trabajadores itinerantes, esa base no legitima un seguimiento continuo de la ubicación para otros fines ajenos al control horario.
Salud laboral, datos médicos e incapacidad temporal
Los datos de salud son una de las categorías especiales más protegidas por el RGPD. En el ámbito laboral, solo pueden tratarse cuando exista una base jurídica clara, normalmente vinculada a obligaciones de prevención de riesgos laborales y vigilancia de la salud. Incluso en esos casos, la empresa suele limitarse a conocer si la persona es «apta» o «no apta» para el puesto, mientras que los detalles clínicos quedan en manos de los servicios de prevención.
La jurisprudencia constitucional ya ha considerado inconstitucional el almacenamiento informático de diagnósticos médicos sin cobertura legal y sin consentimiento expreso. El TEDH, en el asunto M.D.A./Radu, declaró vulnerado el art. 8 CEDH cuando un hospital público facilitó a la empresa, sin consentimiento de la interesada, datos sobre su embarazo, estado de salud y tratamiento, recalcando que la regla general es la prohibición de divulgar información sanitaria a terceros.
En España, el Real Decreto 1060/2022 ha cambiado la gestión de los partes de baja, alta y confirmación: desde 2023, la persona trabajadora ya no tiene que entregar copias de los partes a la empresa. Son el sistema público de salud, la mutua o la entidad colaboradora quienes los envían telemáticamente al INSS, que a su vez comunica a las empresas solo datos administrativos estrictamente necesarios, sin detallar diagnósticos.
Los tribunales también han frenado sistemas de comunicación de bajas internos que pedían más información de la legalmente exigible, como el tipo de patología o el motivo concreto, por ser desproporcionados. La AEPD, durante la pandemia de la COVID-19, recordó que incluso la información sobre anticuerpos o inmunidad es dato de salud y que solicitarla de manera generalizada excede las obligaciones de prevención de riesgos laborales.
Videovigilancia en el lugar de trabajo
El uso de cámaras en el entorno laboral es una de las cuestiones que más litigios genera. El art. 89 LOPDGDD reconoce el derecho a la intimidad frente a dispositivos de videovigilancia y grabación de sonido, pero también admite que la empresa pueda utilizarlos para controlar el cumplimiento de las obligaciones laborales, siempre bajo criterios de necesidad, idoneidad y proporcionalidad.
La Gran Sala del TEDH, en el caso López Ribalda II, rectificó su criterio inicial y aceptó que, en situaciones con sospechas razonables de robos importantes, se puedan instalar cámaras incluso ocultas, si no hay alternativas menos intrusivas y se respeta un uso limitado en el tiempo y el espacio. No basta una sospecha vaga: hace falta una justificación seria.
El Tribunal Constitucional ha dejado claro que el derecho a la protección de datos no es absoluto y que no todo defecto en la información previa invalida automáticamente la prueba obtenida. Sin embargo, el deber de informar subsiste: la empresa debe advertir de forma previa, clara y concisa de la existencia de cámaras y de la finalidad de control laboral, salvo en casos de flagrante conducta ilícita donde se admite que la información se concrete mediante el clásico cartel de zona videovigilada.
El Tribunal Supremo, en casos como el de Stradivarius o el de empleadas de hogar grabadas intentando acceder a cajas fuertes, ha validado sistemas de videovigilancia cuando las cámaras estaban situadas en zonas de trabajo (no en vestuarios, baños o zonas de descanso), eran conocidas por la plantilla y se utilizaban para acreditar incumplimientos graves. También el TJUE ha precisado que, cuando las cámaras corporales de revisores de transporte captan imágenes de pasajeros, debe cumplirse la obligación de información directa del art. 13 RGPD, lo que limita la posibilidad de videovigilancia oculta.
Control de comunicaciones, dispositivos digitales y desconexión
El control empresarial del correo electrónico, el móvil corporativo o las herramientas de mensajería es otro foco de conflicto. El TEDH, en el famoso caso Barbulescu II, reconoció que las comunicaciones en el trabajo están protegidas por el art. 8 CEDH y estableció un «test Barbulescu» que exige información previa clara sobre la existencia y alcance del control, definición de su intensidad (metadatos frente a contenidos), duración, personas con acceso y razones legítimas que lo justifican.
En decisiones posteriores, como el caso GUYVAN contra Ucrania, el TEDH ha reiterado que incluso el uso de un teléfono de empresa puede generar datos personales protegidos, y que los tribunales nacionales deben comprobar si la vigilancia respeta los criterios de notificación previa, necesidad, proporcionalidad y existencia de alternativas menos intrusivas.
En España, el art. 87 LOPDGDD reconoce expresamente el derecho a la intimidad en el uso de dispositivos digitales puestos a disposición por el empleador. El TS ha anulado políticas empresariales de control que se presentaban como meros «recordatorios», pero suponían en realidad una modificación sustancial de los criterios de uso y supervisión de correos, ordenadores y móviles sin negociación con la representación legal. Cualquier actualización que restrinja o amplíe el control debe seguir el procedimiento legal y respetar los derechos fundamentales.
Además, la LOPDGDD reconoce el derecho a la desconexión digital, lo que obliga a las empresas a aprobar una política interna de desconexión con participación de la representación de la plantilla. Esa política debe delimitar los tiempos de disponibilidad, evitar comunicaciones laborales fuera de jornada salvo causa justificada y adaptar el uso de dispositivos a esta realidad.
Geolocalización, trabajo en plataformas y algoritmos
Los sistemas de geolocalización en vehículos, móviles o dispositivos portátiles permiten a la empresa conocer rutas, tiempos y localizaciones de la plantilla, pero su uso debe pasar el filtro de idoneidad, necesidad y proporcionalidad. Los tribunales han aceptado despidos basados en información del GPS cuando la persona trabajadora conocía su existencia, los datos eran estrictamente necesarios para controlar la prestación y no se hacía un seguimiento excesivo o ajeno a la jornada.
Al mismo tiempo, la AEPD ha sancionado con dureza a plataformas que utilizan aplicaciones para monitorizar en tiempo real la ubicación, las rutas, los tiempos, las comunicaciones internas y las valoraciones de repartidores, construyendo sistemas complejos de reputación y asignación de pedidos sin ofrecer transparencia suficiente, base jurídica clara ni garantías adecuadas. El caso de la sanción a GLOVO, con 550.000 euros de multa, es ilustrativo de hasta qué punto la sobreexplotación de datos de personas repartidoras puede chocar con el RGPD.
La Directiva sobre trabajo en plataformas digitales y el Reglamento de Inteligencia Artificial apuntan hacia un marco en el que el uso de algoritmos para organizar trabajo humano requerirá mayor transparencia, supervisión humana, explicabilidad y control sindical. En España, ya se ha reconocido el derecho del comité de empresa a ser informado de los parámetros en los que se basan los algoritmos que afecten a acceso, mantenimiento y condiciones de empleo.
Casos mediáticos como el de la herramienta de reclutamiento de Amazon, que discriminaba a mujeres porque «aprendió» de historiales sesgados, o decisiones judiciales que ponen en duda la validez de sistemas de productividad automáticos opacos, muestran el riesgo de delegar decisiones laborales en IA sin un control crítico de datos de entrenamiento y criterios de decisión.
Canales internos de información y protección de las personas informantes
Los sistemas internos de denuncias o canales de información (whistleblowing) se han generalizado con la transposición de la Directiva 2019/1937 mediante la Ley 2/2023. Estos canales, pensados para facilitar la comunicación de infracciones normativas y casos de corrupción, implican tratamientos de datos de personas denunciantes, denunciadas y terceras personas mencionadas en los expedientes.
La guía de la AEPD recuerda que deben respetarse los principios de proporcionalidad y limitación de la finalidad: la información obtenida a través del canal solo puede utilizarse para investigar y tramitar las denuncias, no para otras finalidades disciplinarias o de control general ajenas al objeto del canal. Se admiten denuncias anónimas y, cuando la persona denunciante se identifica, su confidencialidad debe protegerse con rigor, revelando su identidad solo si es estrictamente necesario.
El acceso a los datos gestionados a través del canal debe restringirse al personal encargado de la investigación, y el área de recursos humanos solo debería acceder cuando se abran procedimientos disciplinarios. Además, hay límites claros de conservación: una vez concluida la investigación y adoptadas las medidas pertinentes, hay que suprimir o anonimizar los datos en los plazos fijados por la ley.
Daños, reclamaciones e indemnizaciones por vulneración de la normativa
Cuando se vulnera la normativa de protección de datos en el ámbito laboral, las personas afectadas pueden reclamar no solo ante la AEPD, sino también indemnizaciones por daños y perjuicios al amparo del art. 82 RGPD. El TJUE ha fijado criterios importantes: la indemnización tiene carácter compensatorio, no punitivo, y requiere probar tres elementos: infracción del RGPD, daño (material o inmaterial) y nexo causal entre ambos.
No se exige que el daño alcance un umbral de gravedad concreto; puede bastar con un perjuicio moral, como la angustia o el temor razonable a que los datos sean divulgados, siempre que se acredite. En este sentido, el TJUE ha admitido que el mero miedo acreditado a que, como consecuencia de una brecha de seguridad, los datos puedan haber quedado expuestos a terceros, puede generar derecho a compensación.
Eso sí, no vale con la simple infracción formal del RGPD para reclamar una suma automática: la persona afectada debe describir y probar, en la medida de lo posible, el impacto sufrido. Para cuantificar la indemnización no se pueden trasladar sin más los criterios de cálculo de multas administrativas; el objetivo no es disuadir, sino reparar el daño efectivamente causado.
La protección de datos en las relaciones laborales es, hoy, un auténtico eje vertebrador del derecho del trabajo moderno: condiciona cómo seleccionamos personal, cómo usamos la tecnología para controlar la prestación, cómo gestionamos el tiempo, la salud, las denuncias internas o la igualdad, y obliga a empresas y plantillas a moverse siempre dentro de una lógica de licitud, transparencia, minimización y proporcionalidad; quien entienda esta lógica y la integre en su cultura de empresa tendrá menos conflictos, menos sanciones y, sobre todo, un entorno de trabajo más sano y confiable para todas las personas implicadas.
