AEPD y Compliance Laboral: La Protección de Datos como Riesgo Central
La protección de datos se erige como pieza central del compliance laboral según la AEPD La AEPD subraya que el control empresarial requiere bases jurídicas válidas, limitación de datos y juicios de proporcionalidad, superando el mero trámite documental. El consentimiento del trabajador pierde fuerza como base legitimadora debido al desequilibrio inherente en la relación laboral con la empresa. Prácticas habituales como la revisión de redes sociales en procesos de selección o la recopilación de datos «por si acaso» suponen un grave riesgo de sanción. Una gestión ilícita de la información personal puede provocar que las pruebas aportadas por la empresa en un juicio laboral sean declaradas nulas. La reciente investigación de la Agencia Española de Protección de Datos (AEPD) sobre el registro horario con huella digital en la prisión de Soto del Real marca un hito. Este caso demuestra empíricamente que la privacidad en el ámbito del trabajo ha dejado de ser una cuestión meramente formal. Hoy en día, constituye un verdadero y crítico riesgo de compliance laboral para cualquier organización. En este complejo escenario, la guía de la AEPD sobre protección de datos en las relaciones laborales, actualizada en diciembre de 2025, resulta de lectura obligatoria. El documento advierte que el control empresarial ya no puede cimentarse en la simple comodidad tecnológica de la compañía. Tampoco es válido recopilar información de los empleados bajo la premisa del «por si acaso». Toda acción corporativa debe sustentarse en una base jurídica válida y perseguir una finalidad concreta. Además, es imperativo aplicar el principio de minimización de datos, garantizando la proporcionalidad y estableciendo medidas reales de seguridad. (Imagen: E&J) El fin de la visión accesoria en Recursos Humanos Durante muchos años, gran parte del tejido empresarial ha tratado la protección de datos como un simple trámite burocrático y documental. Bastaba con incluir una cláusula estándar en el contrato de trabajo y alojar una política interna en la intranet. El proceso culminaba con un formulario genérico firmado en el mismo momento de la contratación del empleado. Sin embargo, las directrices actualizadas de la AEPD obligan a superar definitivamente esta visión simplista. La privacidad afecta de forma transversal a toda la vida laboral del empleado en la compañía. Impacta en el proceso de selección, el contrato, el registro de jornada, las nóminas y el registro salarial. Asimismo, condiciona los sistemas internos de denuncia, la videovigilancia, la geolocalización, el control de ausencias y la vigilancia de la salud. Finalmente, también regula de forma estricta los procedimientos durante la extinción de la relación laboral. En la práctica, donde Recursos Humanos toma una decisión, casi siempre existe un tratamiento de datos que requiere justificación jurídica. La ineficacia práctica del consentimiento laboral Una de las conclusiones más relevantes del documento es que el consentimiento del trabajador debe manejarse con extrema cautela. La agencia supervisora recuerda que la base jurídica principal suele ser la propia ejecución del contrato de trabajo. El consentimiento rara vez es válido por la evidente posición de desequilibrio que existe entre la empresa y la plantilla. Esta advertencia doctrinal tiene una consecuencia práctica directa para los departamentos jurídicos: no todo se soluciona recabando firmas. En la actualidad, todavía se emplean autorizaciones genéricas para ceder imágenes, usar teléfonos personales o incorporar tratamientos no esenciales. Este enfoque tradicional resulta jurídicamente muy débil frente a una inspección. Si el trabajador no puede negarse libremente sin sufrir consecuencias adversas, dicho consentimiento difícilmente será considerado válido. El trabajo real de compliance consiste en identificar si aplica el contrato, la obligación legal o el interés legítimo. El riesgo de recopilar información innecesaria La AEPD es tajante al recordar que el tratamiento de información personal no puede realizarse por simples razones de oportunidad. Tampoco se justifica por la facilidad tecnológica para obtener los datos o por una hipotética utilidad en el futuro. La organización necesita imperativamente una base jurídica sólida que legitime cada tratamiento específico. Esta premisa tiene una enorme importancia práctica para evitar contingencias legales. Muchos problemas nacen de formularios demasiado amplios, controles mal diseñados o expedientes que acumulan información innecesaria de forma sistemática. El problema real no es solo tratar datos incorrectos, sino no poder explicar la trazabilidad de los mismos. La empresa debe poder justificar por qué se pidieron, para qué se utilizaron y quién accedió a ellos. También debe demostrar cuánto tiempo se conservaron y cuándo debieron suprimirse o bloquearse legalmente. Una empresa madura se pregunta qué datos necesita realmente, no cuántos puede llegar a conseguir. (Imagen: E&J) La minimización como regla de oro corporativa El principio de minimización exige que los datos personales sean adecuados, pertinentes y limitados a la finalidad perseguida. Para un abogado laboralista, esta regla tiene un impacto diario fundamental en el asesoramiento corporativo. La empresa puede tratar los datos estrictamente necesarios para formalizar y ejecutar el contrato de trabajo. Esto incluye el nombre, DNI, número de la Seguridad Social y datos bancarios para el abono del salario. También abarca la información imprescindible para cotizaciones, fiscalidad y el cumplimiento de obligaciones legales básicas. Pero la relación laboral no es un salvoconducto para conocer la vida privada del empleado. La agencia pone ejemplos muy ilustrativos en su guía práctica. No siempre está justificada la solicitud del correo electrónico personal o del teléfono particular del trabajador. La regla es clara: cuanto más sensible sea el dato, mayor nivel de justificación deberá aportar el empleador. Riesgos críticos en los procesos de selección El primer tratamiento de datos y, por tanto, el primer riesgo, se produce antes de la existencia del contrato. La AEPD advierte que solo se debe solicitar información relevante para el desempeño del puesto vacante. No cabe, bajo ningún concepto, una recogida indiscriminada de información durante la criba curricular. Las preguntas personales o familiares que resulten ajenas al puesto pueden generar riesgos de privacidad y de discriminación. Este aspecto es especialmente crítico para entidades que externalizan sus procesos o utilizan formularios de candidatura muy extensos. Además, los aspirantes no están obligados a permitir indagaciones empresariales en sus redes sociales. Aunque un perfil sea de
