Phone-alt Envelope Facebook Linkedin Youtube Instagram
Solicitar presupuesto

La protección de datos en las relaciones laborales: obligaciones y derechos según el RGPD y la LOPDGDD

Tabla de contenidos

En el entorno laboral actual, donde la digitalización y el control empresarial se han intensificado, la protección de datos personales de las personas trabajadoras cobra una relevancia esencial.
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) establecen un marco jurídico que regula cómo deben las empresas tratar, conservar y proteger los datos personales de sus empleados durante todas las fases de la relación laboral: selección, contratación, desarrollo y extinción del contrato.

En este artículo te explicamos, de forma práctica y con base en la guía oficial de la Agencia Española de Protección de Datos (AEPD), cómo aplicar correctamente la normativa de protección de datos en las relaciones laborales.

1. ¿Qué se entiende por datos personales en el ámbito laboral?

Según el artículo 4.1 del RGPD, se considera dato personal “toda información sobre una persona física identificada o identificable”.

En el contexto laboral, esto abarca desde el nombre, DNI, dirección o número de la Seguridad Social, hasta información más sensible como los datos de salud, discapacidad o afiliación sindical.

Los datos especialmente protegidos (art. 9 RGPD) —como los relativos a la salud, religión, orientación sexual o ideología— solo pueden tratarse en circunstancias muy concretas, como cuando son necesarios para cumplir con obligaciones laborales o de seguridad social.

2. Bases legales para el tratamiento de datos de las personas trabajadoras

El tratamiento de datos personales en el entorno laboral no puede basarse en el consentimiento, ya que existe una relación de desequilibrio entre empresa y trabajador.
Por tanto, las principales bases jurídicas que legitiman el tratamiento son:

a) Ejecución del contrato laboral (art. 6.1.b RGPD)

La empresa puede tratar los datos personales necesarios para cumplir con el contrato de trabajo, como los relacionados con nóminas, cotizaciones o formación.

b) Cumplimiento de una obligación legal (art. 6.1.c RGPD)

El empleador debe tratar ciertos datos por mandato legal: por ejemplo, los relativos a la Seguridad Social, prevención de riesgos laborales, registro de jornada o información a representantes de los trabajadores.

c) Interés legítimo de la empresa (art. 6.1.f RGPD)

Permite tratar datos cuando sea necesario para finalidades empresariales legítimas, siempre que no prevalezcan los derechos del trabajador.
Por ejemplo: videovigilancia en zonas comunes o geolocalización de vehículos corporativos, siempre bajo criterios de proporcionalidad y minimización.

3. Principios fundamentales del tratamiento de datos laborales

Toda empresa debe respetar los principios básicos del RGPD, entre los que destacan:

  • Limitación de la finalidad: los datos solo pueden usarse para fines concretos y legítimos.
  • Minimización de datos: solo deben recogerse los estrictamente necesarios para la relación laboral.
  • Exactitud: los datos deben mantenerse actualizados.
  • Integridad y confidencialidad: la empresa debe garantizar la seguridad de la información.
  • Responsabilidad proactiva: el empleador debe poder demostrar en todo momento que cumple con la normativa.

4. Información y transparencia: el deber de informar

Antes de recabar datos personales, el empleador debe informar claramente al trabajador sobre:

  • Qué datos se recogen y con qué finalidad.
  • Qué base legal justifica el tratamiento.
  • A quién se comunicarán los datos.
  • Qué derechos puede ejercer (acceso, rectificación, supresión, oposición, etc.).

Lo ideal es utilizar un modelo de información por capas:

  • Una primera capa con la información básica (en el propio contrato o formulario).
  • Una segunda capa más detallada, accesible en la intranet o documento aparte.

5. Derechos de las personas trabajadoras en materia de protección de datos

Las personas trabajadoras conservan todos los derechos reconocidos por el RGPD:

  • Derecho de acceso: conocer qué datos tiene la empresa y cómo los utiliza.
  • Derecho de rectificación y supresión: corregir o eliminar datos inexactos o innecesarios.
  • Derecho de oposición y limitación del tratamiento: impedir ciertos tratamientos injustificados.
  • Derecho a la portabilidad: trasladar sus datos a otro responsable.
  • Derecho a no ser objeto de decisiones automatizadas, como evaluaciones laborales sin intervención humana.

El ejercicio de estos derechos debe ser gratuito y atendido por la empresa en un plazo máximo de un mes.

6. La protección de datos en las distintas fases de la relación laboral

a) Selección y contratación

Durante los procesos de selección, la empresa solo puede tratar los datos necesarios para valorar la candidatura.
No está permitido solicitar información sobre salud, ideología, orientación sexual o antecedentes penales, salvo que una ley lo autorice expresamente.

Además:

  • No se puede investigar a los candidatos en redes sociales si no se trata de perfiles profesionales.
  • Las agencias de colocación o ETT deben actuar como encargados del tratamiento, firmando un contrato con la empresa.

b) Desarrollo de la relación laboral

Durante la vigencia del contrato, el empleador puede tratar datos necesarios para la gestión interna (nóminas, control horario, formación, etc.), siempre respetando los principios de proporcionalidad y finalidad.
No podrá usar datos personales con fines distintos, como marketing o control excesivo de la vida privada.

c) Control empresarial y medios tecnológicos

El artículo 20 del Estatuto de los Trabajadores y el artículo 90 de la LOPDGDD permiten el control del desempeño, pero con límites:

  • Videovigilancia: solo en zonas de trabajo y previa información a la plantilla.
  • Geolocalización: debe justificarse por razones organizativas o de seguridad.
  • Uso del correo electrónico o Internet: la empresa puede establecer políticas internas de uso razonable, siempre informando previamente.

El control debe ser proporcionado, transparente y respetuoso con la intimidad de las personas trabajadoras.

d) Extinción del contrato

Al finalizar la relación laboral, los datos deben bloquearse (no borrarse de inmediato) durante los plazos legales de conservación, para atender posibles reclamaciones o inspecciones.
Transcurridos esos plazos, deben eliminarse de forma segura.

7. Medidas de seguridad y deber de confidencialidad

El deber de secreto se aplica a todo el personal que tenga acceso a información personal, incluso después de finalizar la relación laboral.
Las empresas deben:

  • Implantar políticas internas de seguridad y confidencialidad.
  • Formar a su personal en materia de protección de datos.
  • Definir claramente los perfiles de acceso a la información.
  • Adoptar medidas técnicas adecuadas (contraseñas, cifrado, copias de seguridad, etc.).

Además, si la empresa maneja datos especialmente sensibles (por ejemplo, de salud en el área de prevención de riesgos), debe garantizar medidas reforzadas de protección.

8. La figura del Delegado de Protección de Datos (DPD)

La designación de un Delegado de Protección de Datos (DPO/DPD) es obligatoria en algunos casos, como cuando la empresa realiza un seguimiento sistemático de personas o trata datos sensibles a gran escala.

En el ámbito laboral, es recomendable designar un DPO cuando:

  • Se gestionan datos médicos o biométricos (por ejemplo, en servicios de prevención).
  • Existen sistemas de videovigilancia o control avanzado.
  • La empresa pertenece a un grupo con múltiples centros o plantillas numerosas.

El DPO actuará como garante interno del cumplimiento del RGPD, asesorando a la dirección y sirviendo de punto de contacto con la AEPD.

9. Buenas prácticas para garantizar la privacidad laboral

  • Incluir cláusulas de protección de datos en contratos y documentos internos.
  • Formar a toda la plantilla sobre el uso seguro de la información.
  • Revisar los contratos con proveedores que tengan acceso a datos (encargados del tratamiento).
  • Implantar protocolos de control de accesos, destrucción de documentos y gestión de incidencias.
  • Realizar evaluaciones de impacto (EIPD) en tratamientos de alto riesgo (videovigilancia, geolocalización, etc.).
  • Mantener actualizado el registro de actividades de tratamiento.

Conclusión

La protección de datos en las relaciones laborales no es solo una obligación legal, sino también una garantía de confianza y transparencia entre empresa y empleados.
Cumplir con el RGPD y la LOPDGDD refuerza la imagen de responsabilidad corporativa, evita sanciones y mejora el clima laboral.

En Enfoke LOPD ayudamos a las empresas a implantar políticas de privacidad adaptadas a su realidad, con asesoramiento especializado en materia laboral y de cumplimiento normativo.
Porque proteger los datos de tus empleados también es proteger el valor de tu empresa.

📞 662 247 648

📧 [email protected]

Imagen de Enfoke
Enfoke
Comparte:
Solicitar presupuesto

Te ofrecemos un presupuesto a medida

Servicio a presupuestar: