LA PROTECCIÓN DE DATOS EN LAS RELACIONES LABORALES

Información del tratamiento: para cumplir con el deber de información (arts. 12, 13 y/o 14 GDPR) se recomienda facilitarla:

• PRE-CONTRATO: en la fase de selección, en los procesos de selección o en las convocatorias.
• CONTRATO: durante la relación laboral, en los contratos mediante cláusulas, o mediante circulares, e informar cuando se produzcan cambios.
• POST-CONTRATO: tras la finalización de la relación laboral, si es el caso, antes de llevar a cabo un nuevo tratamiento (que podría ser una cesión).

Enlace a la tabla en formato pdf aquí.

PRE-CONTRATO

Tratamiento

Legitimación

Cat. Especiales

A tener en cuenta

Selección/

Entrevistas

Concluir contrato 6.1.b)

No

• Valoraciones subjetivas de quien selecciona es dato personal
• Solicitud de datos que impliquen discriminación sanción administrativa

Solicitud vida laboral

Interés legítimo 6.1.f) para comprobar experiencia

No

• La empresa no puede obtener directamente la vida laboral
• Tampoco se justificaría si se puede acreditar la experiencia de otra forma menos invasiva

RRSS

Se necesita base jurídica, aunque el perfil sea público

No

• La empresa no está legitimada para solicitar amistad de candidatos para acceder a sus perfiles

Empresas de selección y agencias de colocación

Concluir contrato 6.1.b)

No

• Son ET cuando seleccionan una vez les solicitan
• Son RT cuando contacten antes de disponer de ofertas con candidatos

ETT

Concluir contrato 6.1.b)

No

• Siempre RT

Cesión

Consentimiento 6.1.a)

No

• Aunque sea entre empresas de un grupo

Perfilado

Concluir contrato 6.1.b)

No

• No discriminación
• Intervención humana si solicita el candidato
• Posible impugnación
• Recibir explicación si lo solicita candidato
• DPIA

Reconocimientos médicos

Concluir contrato 6.1.b)

9.2.h) con fines de medicina preventiva o laboral y evaluación de la capacidad laboral del trabajador.

• Voluntario salvo que por ley se exija

Pruebas psicotécnicas

Consentimiento 6.1.a)

Consentimiento 9.1.a)

• Acceso candidato a criterios y resultados

Conservación no contratación

Consentimiento 6.1.a)

Interés legítimo 6.1.f)

No

• Ej: bolsas de trabajo

CONTRATO

Tratamiento

Legitimación

Cat. Especiales

A tener en cuenta

Tarjetas identificativas

Relación contractual 6.1.b)

No

• Finalidad que justifica la inclusión de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificabilidad en el desempeño de sus funciones

Publicación productividad

Interés legítimo 6.1.f)

No

• Acceso solo a autorizados

Nóminas

Relación contractual 6.1.b)

No

• No incluir afiliación

Perfilado

Relación contractual 6.1.b)

No

• No discriminación
• Intervención humana si solicita el candidato
• Posible impugnación
• Recibir explicación si lo solicita candidato
• DPIA

Biometría

Relación contractual 6.1.b)

9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Cuando esté así establecido en una norma o convenio colectivo

Canal de denuncias

Obligación legal 6.1.c)

Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones

No

• Conservación durante un plazo máximo de tres meses tras la notificación de la irregularidad si los hechos no hubieran sido probados y siempre que no resulten necesarios para otras finalidades o a efectos probatorios del debido control y supervisión en la prevención de delitos. En caso de que los hechos sí resulten probados o con indicios suficientes, se conservarán en tanto sea necesario para el ejercicio por parte de la entidad de sus derechos ante los tribunales de justicia

Registro jornada

Obligación legal 6.1.c)

RDL8/2019 (art. 34.9 ET)

No

• Conservación: 4 años
• A disposición de las personas trabajadoras, de sus representantes legales y de la Inspección de Trabajo y Seguridad Social. No puede ser de acceso público
• Incluir en RAT

Registro Salarios

Datos anónimos, no necesaria

Obligación legal 6.1.c)

No

• El dato anónimo podría convertirse en dato personal respecto de aquellas categorías o grupos profesionales con un reducido número de personas trabajadoras.
• Acceso representantes persona trabajadora

Ayudas acción social

Relación contractual 6.1.b)

Obligación legal 6.1.c)

Anonimizar

• Acceso representantes persona trabajadora
• En concurrencia competitiva acceso de los solicitantes al listado de adjudicación

Conciliación y

corresponsabilidad

Relación contractual 6.1.b)

Obligación legal 6.1.c)

9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Comunicación de datos de familiares causantes del derecho

Contratación seguros vida y pensiones

Consentimiento 6.1.a)

Relación contractual 6.1.b)

Obligación legal 6.1.c) convenio colectivo

No

• El contrato no es el instrumento idóneo para recabar el consentimiento para estos fines, de hacerse informar términos para ejercer oposición
• Cesión datos beneficiarios legitimado relación contractual

Cesión Grupo empresarial

Interés legítimo 6.1.f) centralización actividades administrativas

Relación contractual 6.1.b) empleador único

No

• Cuando se produce una prestación de servicios indiferenciada en varias empresas del grupo, la comunicación de datos entre esas empresas resulta lícita, porque es necesaria para el cumplimiento y ejecución del contrato de trabajo

Transmisiones de empresas

Relación contractual 6.1.b)

en base a la obligación establecida en el art. 44 ET

No

• La cesión de datos no es lícita si la persona trabajadora rechaza la subrogación y decide permanecer en la empresa cedente

Subcontratación

Obligación legal 6.1.c)

9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Obligación de comprobar previamente a la contratación, que las empresas subcontratadas se encuentran al corriente en el pago de cuotas a la SS de las personas empleadas en la contrata por parte del empleador principal, y que el subcontratista ha cursado su afiliación y alta en la Seguridad Social.

Comunicación datos en promoción profesional

Interés legítimo 6.1.f)

No necesaria datos anónimos

Consentimiento 6.1.a)

No

• En la medida de lo posible facilitar el acceso a datos anonimizados
• En general, el empleador no puede difundir datos personales de una persona trabajadora entre sus compañeros sin consentimiento del afectado

Víctimas acoso

Obligación legal 6.1.c)

Arts. 4.2.d) ET y 14 Ley 31/1995 PRL

Relación contractual 6.1.b) potestad sancionadora, para sanción acosador

Consentimiento 6.1.a) para cesión datos

Si se da el caso habría que buscar la excepción correspondiente del art.9.2

• La identidad de la víctima sólo será revelada ante las personas con interés en el procedimiento, no siendo admisible una publicidad masiva o indiscriminada sin consentimiento de la víctima, ni tampoco el acceso a los datos de personas no legitimadas
• Deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la supuestamente acosadora, con objeto de preservar la identidad de estas
• La víctima debe prestar su consentimiento para declarar o testificar en los procedimientos sancionadores frente al acosador
• El derecho de supresión no puede ser ejercitado si la empresa decide sancionar al acosador
• Los representantes de las personas trabajadoras únicamente podrán conocer la identidad de las víctimas de acoso cuando sea imprescindible para el ejercicio de sus labores de representación

Violencia de género

Obligación legal 6.1.c)

Interés legítimo 6.1.f)

Consentimiento 6.1.a) para cesión datos

No

• A diferencia de las situaciones de acoso, la superviviente a la violencia de género puede ejercitar el derecho de supresión en cualquier momento
• Los representantes de las personas trabajadoras únicamente podrán conocer la identidad de las mujeres supervivientes a la violencia de género cuando sea imprescindible para el ejercicio de sus labores de representación

Control de acceso

Relación contractual 6.1.b)

en base a las facultades de control establecida en el art. 20.3 ET

Interés legítimo 6.1.f) para proteger bienes empresariales y no para control laboral

Sistemas biométricos 9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Deben evitarse sistemas de acceso especialmente invasivos de los derechos fundamentales de las personas trabajadoras si existen otros igualmente eficaces que resulten menos intrusivos

Videovigilancia

Relación contractual 6.1.b)

en base a las facultades de control establecida en el art. 20.3 ET

No

• El tratamiento de datos con fines de videovigilancia se regula en el art. 22 de la LOPDGDD. Según el art. 89 de la LOPDGDD, estas imágenes pueden tratarse para el ejercicio de las funciones de control de las personas trabajadoras
• Sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad; no puede utilizarse en combinación con otras tecnologías, como el reconocimiento facial
• El art. 22.3 de la LOPDGDD permite su conservación durante un mes desde su captación

Geolocalización

Relación contractual 6.1.b)

en base a las facultades de control establecida en el art. 20.3 ET

Obligación legal 6.1.c)

RDL8/2019 (art. 34.9 ET) si el fin de la geolocalización es solo el registro horario

No

• El art. 90 de la LOPDGDD permite el uso de sistemas de geolocalización para el control de las personas trabajadoras
• La geolocalización aplicada a la herramienta conlleva también la geolocalización y el control del propio trabajador/a
• No es lícito imponer a la persona trabajadora la obligación de proporcionar medios personales para facilitar la geolocalización (por ejemplo, teléfono móvil)
• El uso de registradores de datos de incidencias requiere la acreditación de un fin legítimo y el respeto a los principios de proporcionalidad y minimización

Control falta asistencia enfermedad o accidente

Relación contractual 6.1.b)

en base a las facultades de control establecida en el art. 20.4 ET

No

• La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada
• La incorporación de datos de salud a un fichero con la única finalidad de realizar controles del absentismo resulta desproporcionada

Detective privado

Relación contractual 6.1.b)

en base a las facultades de control establecida en el art. 20.3 ET

No

• Esta medida, como cualquier otra de control, exige la superación del test de proporcionalidad
• Deberán conservarse, al menos, durante tres años, las imágenes y los sonidos grabados durante las investigaciones, salvo que estén relacionadas con un procedimiento judicial, una investigación policial o un procedimiento sancionador

Cesión a representantes trabajadora/es

Obligación legal 6.1.c)

art. 10.3 de la Ley Orgánica de Libertad Sindical y los convenios colectivos, en los términos previstos en el art. 64.9 ET

Sindicato 9.2 d), dentro de las actividades legítimas del sindicato.

Empresa 9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Respecto del absentismo, la empresa deberá informar sobre las causas y consecuencias de las bajas por incapacidad temporal (IT), pero no de las patologías médicas

Publicación en tablones sindicatos

Obligación legal 6.1.c)

Art. 81 ET y 8.2 LOLS 11/1985

Sindicato 9.2 d), dentro de las actividades legítimas del sindicato.

Empresa 9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Sólo los usuarios legitimados deben tener acceso al tablón de anuncios, no puede ubicarse en una zona de acceso libre para clientes o proveedores.
• Es fundamental que los tablones online se sitúen en la intranet de la empresa, nunca en Internet, salvo que únicamente resulten accesibles mediante usuario y contraseña

Descuento cuota sindical

Sindicato: consentimiento 6.1.a) cesión sindicato-empresa

Empresa: obligación legal 6.1.c) art. 11.2 de la LOLS

Sindicato 9.2 d), dentro de las actividades legítimas del sindicato.

Empresa 9.2.b) para el cumplimiento de obligaciones y el ejercicio de derechos específicos del RT en el ámbito del derecho laboral

• Que la empresa comunique al sindicato las personas trabajadoras a las que corresponden las cuotas que ingresa, así como los datos del pago e informe sobre las cuotas impagadas identificando a la persona trabajadora concreta, tienen su base jurídica en el cumplimiento de una obligación legal por el responsable

Envío información sindical mail

Interés legítimo 6.1.f)

Obligación legal 6.1.c)

LOLS 11/1985 art. 2.1. y 8.2.a

• Existen procedimientos automatizados que permiten satisfacer el derecho a la libertad sindical sin necesidad de realizar una cesión de datos personales. La utilización de listas de distribución permite que el sindicato remita la información a una dirección corporativa del tipo listasindical@empresa.es, sin acceso a los datos
• El sindicato debe respetar el derecho de oposición de los trabadores, salvo en el supuesto de elecciones sindicales, momento en el cual prevalece la libertad sindical respecto del derecho a la protección de datos.
• La celebración de elecciones sindicales legitima las comunicaciones de los datos censales necesarios para permitir al sindicato remitir información electoral y participar en el proceso electoral

Difusión o grabación periodos de consultas (traslados, modificaciones sustanciales, suspensiones, despidos colectivos)

Consentimiento 6.1.a)

• La persona trabajadora tiene derecho a solicitar el baremo y los criterios utilizados a través del derecho de información sobre el tratamiento de sus datos personales

Envío información sindical mail

Interés legítimo 6.1.f)

Obligación legal 6.1.c)

LOLS 11/1985 art. 2.1. y 8.2.a

• Existen procedimientos automatizados que permiten satisfacer el derecho a la libertad sindical sin necesidad de realizar una cesión de datos personales. La utilización de listas de distribución permite que el sindicato remita la información a una dirección corporativa del tipo listasindical@empresa.es, sin acceso a los datos
• El sindicato debe respetar el derecho de oposición de los trabadores, salvo en el supuesto de elecciones sindicales, momento en el cual prevalece la libertad sindical respecto del derecho a la protección de datos.
• La celebración de elecciones sindicales legitima las comunicaciones de los datos censales necesarios para permitir al sindicato remitir información electoral y participar en el proceso electoral

Difusión o grabación periodos de consultas (traslados, modificaciones sustanciales, suspensiones, despidos colectivos)

Consentimiento 6.1.a)

• La persona trabajadora tiene derecho a solicitar el baremo y los criterios utilizados a través del derecho de información sobre el tratamiento de sus datos personales

Vigilancia de la salud

Relación contractual 6.1.b)

Obligación legal 6.1.c)

ET y Ley 31/1995 PRL

• El reconocimiento debe vincularse a la aptitud laboral, sin que pueda proporcionar al empleador ningún otro tipo de información
• La legislación de PRL admite en ciertos casos las comunicaciones de datos personales, legitima y obliga a comunicar datos a los delegados de prevención, a la autoridad sanitaria en el marco de la Ley 14/1986, a la Inspección de Trabajo y SS o a la autoridad laboral, sin olvidar la comunicación de datos que requieran los jueces y tribunales, o las necesarias en caso de urgencia médica o en estudios epidemiológicos
• Cuando la vigilancia de la salud es realizada por facultativos externos, los médicos de empresa no tienen acceso al diagnóstico médico
• Es posible que el empleador deba acceder de modo específico a datos personales de la persona trabajadora necesarios para el cumplimiento de sus obligaciones que desborden la calificación de apto o no apto. En tales casos, la legitimación para el tratamiento deriva de la propia regulación, pero se limitará a los datos estrictamente necesarios
• Con carácter general, el consentimiento no es una base jurídica que justifique la cesión de datos médicos, pues la persona trabajadora no tiene completa libertad para prestar ese consentimiento. Y, desde luego, tampoco es base jurídica el convenio colectivo
• Los miembros del Comité de Seguridad y Salud y los delegados de prevención pueden acceder a la información necesaria para el ejercicio de sus funciones
• Los delegados de prevención, respetando las exigencias de confidencialidad impuestas por la legislación de protección de datos, pueden acceder a los informes y documentos resultantes de la investigación de los accidentes de trabajo y enfermedades profesionales que lleve a cabo la empresa, en particular, cuando la información se encuentre incorporada en documentos técnicos y prolijos

Cesión a servicio de prevención

Obligación legal 6.1.c)

Ley 31/1995 PRL

• Propio, ajeno o mancomunado RT

Cesión entre servicios de prevención por cambio del servicio prevención

Obligación legal 6.1.c)

Ley 31/1995 PRL

Art. 23.1 LPRL, en relación con el art. 30.3, derivada de la obligación de puesta a disposición del nuevo servicio y de la obligación de mantenimiento de la historia clínico-laboral (art. 37.3.c) del Real Decreto 39/1997

• La comunicación debe producirse directamente entre los servicios médicos de las empresas de prevención involucradas
• La persona trabajadora tiene derecho a ser informada.
• El servicio de prevención que cesa no debe proceder a la supresión de los datos inmediatamente, pues tiene obligación de conservación, en los términos previstos en la normativa laboral que resulte de aplicación

Historia clínica persona trabajadora

Art. 22.4 de la LPRL se deriva el derecho del personal sanitario que realice las acciones de vigilancia de la salud al conocimiento de la información médica que se derive de la misma

• En relación con la historia clínica, la exigencia de fijar perfiles de usuario puede derivar de la Ley 41/2002, de 14 de noviembre, que define de modo muy preciso el perfil funcional de cada tipo de persona trabajadora.

Wearable (dispositivos ponibles)

Ilícito

• Salvo que se acreditase un interés legítimo, una finalidad específica, una monitorización proporcional, o bien que se garantizase la anonimización completa de los datos.

Cesión entre servicios de prevención por cambio del servicio prevención

Obligación legal 6.1.c)

Ley 31/1995 PRL

Art. 23.1 LPRL, en relación con el art. 30.3, derivada de la obligación de puesta a disposición del nuevo servicio y de la obligación de mantenimiento de la historia clínico-laboral (art. 37.3.c) del Real Decreto 39/1997

• La comunicación debe producirse directamente entre los servicios médicos de las empresas de prevención involucradas
• La persona trabajadora tiene derecho a ser informada.
• El servicio de prevención que cesa no debe proceder a la supresión de los datos inmediatamente, pues tiene obligación de conservación, en los términos previstos en la normativa laboral que resulte de aplicación

Historia clínica persona trabajadora

Art. 22.4 de la LPRL se deriva el derecho del personal sanitario que realice las acciones de vigilancia de la salud al conocimiento de la información médica que se derive de la misma

• En relación con la historia clínica, la exigencia de fijar perfiles de usuario puede derivar de la Ley 41/2002, de 14 de noviembre, que define de modo muy preciso el perfil funcional de cada tipo de persona trabajadora.

Wearable (dispositivos ponibles)

Ilícito

• Salvo que se acreditase un interés legítimo, una finalidad específica, una monitorización proporcional, o bien que se garantizase la anonimización completa de los datos.

POST-CONTRATO LABORAL

Tratamiento

Legitimación

Cat. Especiales

A tener en cuenta

Extinción relación laboral

Interés legítimo 6.1.f)

Consentimiento 6.1.a)

No

• La comunicación de datos de un antiguo empleador a un futuro empleador requiere el consentimiento del trabajador

Cesión empresas recolocación

Obligación legal 6.1.c)

No

• El tratamiento de otros datos que puedan ser necesarios para desarrollar el plan de recolocación será lícito una vez que la persona trabajadora haya aceptado participar en el mismo