Skip to main content

Datagestión

Datos personales de empleados y RGPD: qué puede y no puede hacer la empresa

Respuesta directa: La empresa puede tratar datos de empleados para la gestión laboral, pero debe hacerlo con base jurídica válida y facilitar información específica conforme a los arts. 13–14 del RGPD. El contrato de trabajo no sustituye esa obligación. El control de dispositivos corporativos es posible si existe política interna comunicada previamente (art. 87 LOPDGDD). La videovigilancia está prohibida en vestuarios y zonas de descanso (art. 89 LOPDGDD).

El tratamiento de datos de empleados es una de las áreas donde más errores cometen las empresas, y no siempre por mala fe. ¿Puedo revisar el correo corporativo de un empleado? ¿Puedo instalar cámaras en la oficina? La respuesta correcta casi siempre es «depende». Y ese «depende» tiene consecuencias legales importantes.

El marco normativo: RGPD, LOPDGDD y derechos digitales de los trabajadores

El tratamiento de datos de empleados está regido simultáneamente por el RGPD, la LOPDGDD y el Estatuto de los Trabajadores. La LOPDGDD dedica sus artículos 87 a 91 específicamente a los derechos digitales de los trabajadores.

  • Artículo 87 LOPDGDD — Intimidad y dispositivos digitales: Establece el derecho a la protección de la intimidad en el uso de dispositivos digitales corporativos. Regula las condiciones bajo las que la empresa puede acceder a esos dispositivos.
  • Artículo 88 LOPDGDD — Derecho a la desconexión digital: Reconoce el derecho de los trabajadores a no responder comunicaciones laborales fuera del horario de trabajo.
  • Artículo 89 LOPDGDD — Videovigilancia: Regula las condiciones para la instalación de cámaras en el entorno laboral. La prohibición de cámaras en vestuarios y zonas de descanso es absoluta.
  • Artículo 90 LOPDGDD — Sistemas de geolocalización: Obliga a informar a los trabajadores sobre la existencia y características del sistema de geolocalización con carácter previo a su activación.

Control de dispositivos corporativos: posible, pero con condiciones

La empresa puede monitorizar el uso de sus dispositivos corporativos, pero el art. 87 de la LOPDGDD y la jurisprudencia del TEDH en el caso Barbulescu c. Rumania (Gran Sala, 5 de septiembre de 2017) establecen un marco claro:

  • Debe existir una política interna de uso de dispositivos corporativos, comunicada a los
    empleados antes de cualquier control.
  • Los empleados deben ser informados de que existe monitorización y de su alcance concreto.
  • El control debe ser proporcionado al fin legítimo que se persigue.
  • Sin política previa comunicada, cualquier dato obtenido puede ser inadmisible como prueba en un procedimiento disciplinario.

Videovigilancia en el trabajo: zonas permitidas y prohibidas

Tipo de zona¿Permitida?Condiciones
Zonas de trabajo y áreas de acceso✔ SíFinalidad legítima + información mediante cartel reglamentario
Almacenes, zonas de caja✔ SíFinalidad de seguridad + información previa a empleados
Zonas comunes de tránsito⚠ LimitadaSolo si es proporcional y necesaria; no de forma continua
Vestuarios y baños✗ ProhibidaProhibición absoluta — art. 89.2 LOPDGDD
Zonas de descanso✗ ProhibidaProhibición absoluta — art. 89.2 LOPDGDD

El correo corporativo: el caso más delicado

El Tribunal Supremo (STS, Sala de lo Social, 8 de febrero de 2018) admitió el despido disciplinario basado en la revisión del correo corporativo cuando existía una política previa de uso comunicada al trabajador. Sin esa política, el empleado puede tener una expectativa razonable de privacidad sobre sus comunicaciones, incluso en un dispositivo corporativo.

La regla práctica sobre el correo corporativo

Sin política de uso del correo corporativo comunicada previamente, la empresa no puede acceder al contenido de los mensajes sin exponerse a que ese acceso sea considerado una vulneración del derecho a la intimidad, con independencia de que el dispositivo sea propiedad de la empresa.

Errores frecuentes en el tratamiento de datos de empleados

  • No informar específicamente a los empleados sobre el tratamiento de sus datos. Una cláusula en el contrato no sustituye la obligación de información de los arts. 13–14 del RGPD.
  • Instalar cámaras sin señalización reglamentaria. La AEPD ha sancionado este incumplimiento de forma reiterada.
  • Acceder al correo corporativo sin política previa. Sin política comunicada, ese acceso puede vulne
    rar el derecho a la intimidad e invalidar la prueba obtenida.
  • Usar sistemas de geolocalización sin informar previamente. Viola el art. 90 LOPDGDD.
  • Conservar imágenes de videovigilancia más de 30 días sin justificación. El plazo máximo de conservación de imágenes es 30 días.

📋 Marco normativo de referencia

Preguntas frecuentes

¿Puede la empresa monitorizar el correo corporativo de un empleado?

Sí, pero con condiciones. El Tribunal Supremo y el TEDH (caso Barbulescu, 2017) han establecido que el acceso al correo corporativo requiere que exista una política de uso comunicada previamente al trabajador. Sin esa política previa, la empresa se arriesga a que la monitorización vulnere el derecho a la intimidad.

¿Puede la empresa instalar cámaras en el lugar de trabajo?

Sí, con condiciones. El art. 89 de la LOPDGDD permite cámaras en zonas de trabajo si existe finalidad legítima y se informa mediante cartel reglamentario. Están absolutamente prohibidas en vestuarios, baños y zonas de descanso. Las imágenes deben borrarse en un máximo de 30 días.

¿Qué información debe recibir el empleado sobre el tratamiento de sus datos?

La empresa debe proporcionar, de forma activa y comprensible, la información del art. 13 del RGPD: finalidades del tratamiento, base jurídica para cada una, plazos de conservación, destinatarios y derechos del trabajador. Esta información no puede limitarse a una cláusula en el contrato.

¿Cuál es la base jurídica para tratar datos de empleados?

El art. 6.1.b del RGPD cubre el tratamiento estrictamente necesario para la ejecución del contrato laboral: nóminas, registro horario, RRHH. Otros tratamientos —videovigilancia, geolocalización, monitorización de comunicaciones— pueden requerir bases jurídicas distintas.

¿Tienes claro qué datos de empleados puede tratar tu empresa?

En Datagestión podemos ayudarte a revisar o diseñar las políticas internas: documento de información al empleado, política de uso de dispositivos, protocolo de videovigilancia. Contacta con nuestro equipo.

Ver el Curso de Protección de Datos

×
Loading...