La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha publicado una nueva Guía sobre la protección de datos personales en las relaciones laborales (en adelante, la “Guía”), que actualiza sus criterios interpretativos en el ámbito laboral por el desequilibrio existente entre empleador y persona trabajadora. El documento tiene carácter práctico y se dirige tanto a entidades públicas como privadas que tratan datos personales en el marco de la relación laboral.
La Guía parte de que el tratamiento de datos en el ámbito laboral debe apoyarse, con carácter general, en bases jurídicas distintas del consentimiento, dado que este rara vez puede considerarse libre. En su lugar, la AEPD refuerza el uso de bases de licitud diferentes, como la ejecución del contrato, el cumplimiento de obligaciones legales y el interés legítimo, siempre bajo un análisis de necesidad y proporcionalidad.
El documento aborda las distintas fases de la relación laboral, desde los procesos de selección hasta la extinción del contrato, incorporando criterios de la doctrina de la AEPD y de la jurisprudencia laboral reciente. Los límites al control empresarial y al uso de tecnologías de supervisión adquieren relevancia así como la gestión de categorías especiales de datos.
Entre los aspectos más relevantes de la Guía se encuentran los procesos de selección de personal, recordando que la consulta de redes sociales solo será lícita en supuestos muy concretos y justificados, y que no pueden recabarse datos excesivos o no pertinentes para la finalidad perseguida. Asimismo, se refuerzan la protección en el tratamiento de datos de salud, discapacidad o situaciones personales protegidas.
En materia de control laboral, la AEPD analiza la videovigilancia, geolocalización y control digital de la actividad, insistiendo en la obligación de informar de forma previa y clara a las personas trabajadoras y en la necesidad de aplicar medidas menos intrusivas cuando existan alternativas equivalentes. La Guía también recuerda que la finalidad de control no puede extenderse de manera indiscriminada ni convertirse en una forma de vigilancia permanente.
Por tanto, en la Guía se destacan los siguientes puntos:
- El consentimiento no es, por regla general, una base jurídica válida en el ámbito laboral debido al desequilibrio entre las partes.
- Los tratamientos deben respetar estrictamente los principios de necesidad, proporcionalidad y minimización de datos.
- El control empresarial mediante tecnologías digitales exige información previa y una justificación reforzada.
- El acceso a redes sociales de candidatos y trabajadores está sujeto a límites estrictos y no puede ser generalizado.
- La conservación de datos tras la extinción de la relación laboral debe limitarse a los plazos legalmente exigibles.
Con esta nueva Guía, la AEPD aporta un marco de referencia para el cumplimiento del RGPD y la LOPDygdd en el ámbito laboral, reforzando la seguridad jurídica de las organizaciones y recordando que la protección de datos forma parte esencial de los derechos de las personas trabajadoras.
