La protección de datos se erige como pieza central del compliance laboral según la AEPD
La AEPD subraya que el control empresarial requiere bases jurídicas válidas, limitación de datos y juicios de proporcionalidad, superando el mero trámite documental.
El consentimiento del trabajador pierde fuerza como base legitimadora debido al desequilibrio inherente en la relación laboral con la empresa.
Prácticas habituales como la revisión de redes sociales en procesos de selección o la recopilación de datos «por si acaso» suponen un grave riesgo de sanción.
Una gestión ilícita de la información personal puede provocar que las pruebas aportadas por la empresa en un juicio laboral sean declaradas nulas.
La reciente investigación de la Agencia Española de Protección de Datos (AEPD) sobre el registro horario con huella digital en la prisión de Soto del Real marca un hito. Este caso demuestra empíricamente que la privacidad en el ámbito del trabajo ha dejado de ser una cuestión meramente formal. Hoy en día, constituye un verdadero y crítico riesgo de compliance laboral para cualquier organización.
En este complejo escenario, la guía de la AEPD sobre protección de datos en las relaciones laborales, actualizada en diciembre de 2025, resulta de lectura obligatoria. El documento advierte que el control empresarial ya no puede cimentarse en la simple comodidad tecnológica de la compañía. Tampoco es válido recopilar información de los empleados bajo la premisa del «por si acaso».
Toda acción corporativa debe sustentarse en una base jurídica válida y perseguir una finalidad concreta. Además, es imperativo aplicar el principio de minimización de datos, garantizando la proporcionalidad y estableciendo medidas reales de seguridad.
(Imagen: E&J)
El fin de la visión accesoria en Recursos Humanos
Durante muchos años, gran parte del tejido empresarial ha tratado la protección de datos como un simple trámite burocrático y documental. Bastaba con incluir una cláusula estándar en el contrato de trabajo y alojar una política interna en la intranet. El proceso culminaba con un formulario genérico firmado en el mismo momento de la contratación del empleado.
Sin embargo, las directrices actualizadas de la AEPD obligan a superar definitivamente esta visión simplista. La privacidad afecta de forma transversal a toda la vida laboral del empleado en la compañía. Impacta en el proceso de selección, el contrato, el registro de jornada, las nóminas y el registro salarial.
Asimismo, condiciona los sistemas internos de denuncia, la videovigilancia, la geolocalización, el control de ausencias y la vigilancia de la salud. Finalmente, también regula de forma estricta los procedimientos durante la extinción de la relación laboral. En la práctica, donde Recursos Humanos toma una decisión, casi siempre existe un tratamiento de datos que requiere justificación jurídica.
La ineficacia práctica del consentimiento laboral
Una de las conclusiones más relevantes del documento es que el consentimiento del trabajador debe manejarse con extrema cautela. La agencia supervisora recuerda que la base jurídica principal suele ser la propia ejecución del contrato de trabajo. El consentimiento rara vez es válido por la evidente posición de desequilibrio que existe entre la empresa y la plantilla.
Esta advertencia doctrinal tiene una consecuencia práctica directa para los departamentos jurídicos: no todo se soluciona recabando firmas. En la actualidad, todavía se emplean autorizaciones genéricas para ceder imágenes, usar teléfonos personales o incorporar tratamientos no esenciales.
Este enfoque tradicional resulta jurídicamente muy débil frente a una inspección. Si el trabajador no puede negarse libremente sin sufrir consecuencias adversas, dicho consentimiento difícilmente será considerado válido. El trabajo real de compliance consiste en identificar si aplica el contrato, la obligación legal o el interés legítimo.
El riesgo de recopilar información innecesaria
La AEPD es tajante al recordar que el tratamiento de información personal no puede realizarse por simples razones de oportunidad. Tampoco se justifica por la facilidad tecnológica para obtener los datos o por una hipotética utilidad en el futuro. La organización necesita imperativamente una base jurídica sólida que legitime cada tratamiento específico.
Esta premisa tiene una enorme importancia práctica para evitar contingencias legales. Muchos problemas nacen de formularios demasiado amplios, controles mal diseñados o expedientes que acumulan información innecesaria de forma sistemática. El problema real no es solo tratar datos incorrectos, sino no poder explicar la trazabilidad de los mismos.
La empresa debe poder justificar por qué se pidieron, para qué se utilizaron y quién accedió a ellos. También debe demostrar cuánto tiempo se conservaron y cuándo debieron suprimirse o bloquearse legalmente. Una empresa madura se pregunta qué datos necesita realmente, no cuántos puede llegar a conseguir.
(Imagen: E&J)
La minimización como regla de oro corporativa
El principio de minimización exige que los datos personales sean adecuados, pertinentes y limitados a la finalidad perseguida. Para un abogado laboralista, esta regla tiene un impacto diario fundamental en el asesoramiento corporativo. La empresa puede tratar los datos estrictamente necesarios para formalizar y ejecutar el contrato de trabajo.
Esto incluye el nombre, DNI, número de la Seguridad Social y datos bancarios para el abono del salario. También abarca la información imprescindible para cotizaciones, fiscalidad y el cumplimiento de obligaciones legales básicas. Pero la relación laboral no es un salvoconducto para conocer la vida privada del empleado.
La agencia pone ejemplos muy ilustrativos en su guía práctica. No siempre está justificada la solicitud del correo electrónico personal o del teléfono particular del trabajador. La regla es clara: cuanto más sensible sea el dato, mayor nivel de justificación deberá aportar el empleador.
Riesgos críticos en los procesos de selección
El primer tratamiento de datos y, por tanto, el primer riesgo, se produce antes de la existencia del contrato. La AEPD advierte que solo se debe solicitar información relevante para el desempeño del puesto vacante. No cabe, bajo ningún concepto, una recogida indiscriminada de información durante la criba curricular.
Las preguntas personales o familiares que resulten ajenas al puesto pueden generar riesgos de privacidad y de discriminación. Este aspecto es especialmente crítico para entidades que externalizan sus procesos o utilizan formularios de candidatura muy extensos. Además, los aspirantes no están obligados a permitir indagaciones empresariales en sus redes sociales.
Aunque un perfil sea de acceso público, la compañía necesita una base jurídica válida para procesar esa información. Dicha revisión solo se justifica si está directamente vinculada a fines profesionales y es estrictamente necesaria para el cargo. Un proceso profesional no es el que más datos obtiene, sino el que los justifica adecuadamente.
(Imagen: E&J)
El registro de jornada y el registro salarial
La guía aborda tratamientos muy sensibles dentro de la gestión laboral ordinaria de cualquier empresa. El registro de jornada y el registro de salarios tienen una base vinculada al cumplimiento de obligaciones legales insoslayables. Sin embargo, esto no significa que las organizaciones puedan gestionarlos sin establecer límites estrictos.
Deben respetarse escrupulosamente los principios de finalidad, proporcionalidad, confidencialidad y, sobre todo, el acceso restringido a la información. En el registro salarial, la clave reside en evitar que una obligación de transparencia suponga una exposición innecesaria. La empresa debe cumplir, pero impidiendo identificaciones innecesarias o difusiones internas injustificadas.
La transparencia corporativa no equivale, en ningún caso, a la libre circulación interna de datos personales. El compliance laboral exige diseñar procedimientos que definan quién elabora el documento, quién accede y cómo se protege. Los tratamientos de Recursos Humanos deben poder explicarse ante un juez o ante la Inspección de Trabajo.
La proporcionalidad en el control empresarial
El control de la actividad laboral concentra gran parte de los conflictos normativos actuales. Esto abarca el acceso a instalaciones, videovigilancia, geolocalización, control de bajas médicas y el uso de detectives privados. La AEPD no niega ni restringe las facultades organizativas y de control propias del empresario.
Lo que exige categóricamente es que estas facultades se ejerzan dentro de los límites de los derechos fundamentales. La medida de vigilancia adoptada debe ser idónea, estrictamente necesaria y proporcional a la finalidad perseguida. No basta con que el control resulte útil; no debe existir una alternativa que sea menos invasiva.
Antes de instalar cámaras o activar herramientas de geolocalización, la entidad debe contestar preguntas esenciales. Debe definir la base jurídica, los datos recabados, los tiempos de conservación y las alternativas valoradas. Si no existen estas respuestas previas, la empresa no está haciendo cumplimiento, está fabricando riesgos.
(Imagen: E&J)
La complejidad de los sistemas de denuncia
Los canales de información interna, conocidos como whistleblowing, representan otro punto crítico en la gestión corporativa. La guía recuerda que estos mecanismos implican tratamientos de información especialmente delicados y sensibles. En ellos suelen confluir datos de denunciantes, personas afectadas, testigos, directivos y terceras partes.
Por este motivo, un canal de denuncias jamás debe diseñarse como un simple buzón de sugerencias. Debe garantizar información clara, accesos limitados, trazabilidad total, conservación proporcionada y medidas contra represalias. Es vital que no se acumulen de forma innecesaria informaciones que resulten irrelevantes para la investigación.
Un sistema mal gestionado genera simultáneamente un problema laboral por defectos de investigación y una brecha de privacidad. El tratamiento excesivo o inseguro de los datos recabados puede invalidar por completo el procedimiento interno.
El riesgo interno de seguridad y confidencialidad
El deber de confidencialidad sujeta a responsables, encargados y a cualquier persona que intervenga en el tratamiento de datos. Esta obligación de secreto profesional se mantiene intacta incluso tras finalizar la relación laboral con la empresa. Sin embargo, este es uno de los puntos que más suele infravalorarse en el día a día corporativo.
La protección de la información no recae en exclusiva sobre el departamento jurídico o el delegado pertinente. Depende directamente de todas las personas que manejan nóminas, bajas médicas, expedientes disciplinarios o documentación sindical. La agencia supervisora recomienda encarecidamente definir perfiles funcionales de acceso y formar adecuadamente a la plantilla.
Crear una verdadera cultura de compromiso normativo es la esencia pura del compliance laboral moderno. Una empresa no puede exigir confidencialidad a sus empleados si no ha explicado claramente las consecuencias de un uso indebido.
(Imagen: E&J)
La extinción laboral y el bloqueo de datos
La finalización de un contrato de trabajo no elimina automáticamente las obligaciones normativas de la organización. La guía subraya la enorme importancia del bloqueo y la conservación documentada ante posibles responsabilidades legales. La supresión de la información no significa, bajo ningún concepto, la destrucción inmediata de los archivos.
A menudo, los datos deben bloquearse impidiendo su uso ordinario, conservándose únicamente a disposición de autoridades y tribunales. Esto obliga a la corporación a instaurar una política real y efectiva de conservación documental. No es válido guardar expedientes indefinidamente por precaución, ni destruirlos sin comprobar exhaustivamente los plazos legales aplicables.
La defensa procesal y la prueba lícita
La gran enseñanza de la AEPD es que la privacidad no puede separarse de la defensa laboral en tribunales. En caso de conflicto judicial, la organización necesitará aportar registros, evidencias digitales o informes internos de control. No obstante, esa prueba documental solo será admitida si se ha obtenido y conservado de forma lícita.
La protección de datos debe integrarse en cada decisión relevante: promoción, sanción, despido, teletrabajo o uso de dispositivos. El abogado laboralista ya no solo evalúa si la empresa tiene razón en el fondo del asunto. Ahora debe analizar rigurosamente cómo se han obtenido los datos con los que se pretende demostrar dicha razón.
Conclusión: la demostración diaria del compliance
La directriz de la agencia confirma que la privacidad es un pilar innegociable de la gestión laboral. La empresa solo debe tratar información personal cuando ostente una base válida, proporcione seguridad y limite los accesos. Los incumplimientos más graves no suelen provenir de decisiones estratégicas, sino de malas prácticas cotidianas arraigadas.
Pedir información excesiva, investigar perfiles sociales sin base o implantar controles desproporcionados son los errores más comunes. Es en estos detalles rutinarios donde verdaderamente se demuestra la eficacia de los protocolos de cumplimiento de la entidad.
Las corporaciones deben revisar exhaustivamente todos sus procesos de Recursos Humanos bajo el exigente prisma de la AEPD. El compliance efectivo no consiste en acumular grandes volúmenes de información corporativa. Consiste en tratar únicamente los datos correctos, garantizando la proporcionalidad y asegurando la defensa legal ante cualquier requerimiento judicial.
(Imagen: E&J)
Marco normativo aplicable citado por la AEPD
RGPD: Regula las bases jurídicas, los principios de minimización, finalidad, proporcionalidad y los derechos de las personas.
LOPDGDD: Establece el deber de confidencialidad, el bloqueo de la información y los derechos digitales laborales.
Estatuto de los Trabajadores: Enmarca las facultades de dirección, sometidas al respeto de los derechos fundamentales.
TRLISOS: Tipifica las infracciones vinculadas a la solicitud de datos discriminatorios durante los procesos de selección.
Fuente de la noticia: E&J Fuente de las imágenes: E&J
