Contacte
  • Actualitat, Empresas

La protecció de dades en les relacions laborals: criteris clau que han de revisar les empreses

L’AEPD ha actualitzat la guia sobre protecció de dades en les relacions laborals, reforçant criteris que moltes empreses donen per assumits, però que segueixen generant errors freqüents a la pràctica diària.

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat al web la guia actualitzada «La protecció de dades en les relacions laborals», un document extens i d’orientació pràctica que revisa com s’ha d’aplicar el RGPD i la LOPDGDD en totes les fases de la relació laboral, des de la selecció fins a l’extinció del contracte, passant pel control empresarial, la vigilància de la salut.

No és una norma nova, però sí un document de referència clara per a l’AEPD, que consolida criteris, adverteix de males pràctiques freqüents i anticipa l’enfocament que se seguirà en actuacions inspectores i procediments sancionadors.

A continuació, els resumim els aspectes més rellevants.

  1. Principis generals que han de guiar qualsevol tractament de dades laborals

L’AEPD recorda que la dada personal a l’àmbit laboral és un concepte ampli, que inclou no només dades identificatives, sinó també valoracions, avaluacions d’acompliment, registres interns, imatges, àudios o informació inferida.

Punts clau:

  • El consentiment del treballador poques vegades és una base jurídica vàlida, pel desequilibri existent en la relació laboral.
  • La base principal del tractament sol ser:
    • L’execució del contracte de treball, o
    • El compliment duna obligació legal.
  • L’interès legítim empresarial només és vàlid si supera un judici estricte de proporcionalitat.
  • Es reforça el principi de minimització: no tot allò que resulta útil per a l’empresa és necessari des del punt de vista legal.

Atenció. Molts incompliments no deriven de grans sistemes tecnològics, sinó de la recollida excessiva de dades «per si de cas».

  1. Informació i transparència: no n’hi ha prou amb incloure una clàusula genèrica

La guia insisteix que el deure informació forma part essencial del dret fonamental a la protecció de dades.

Aspectes rellevants:

  • La informació ha de ser clara, entenedora i no excessivament tècnica.
  • És recomanable el model dinformació per capes.
  • S’ha d’informar:
    • En el moment de la recollida de dades, o
    • En un termini màxim dun mes si les dades no procedeixen directament del treballador.
  • Incloure una clàusula informativa al contracte no equival a obtenir consentiment.

Atenció. Moltes empreses confonen informar de legitimar el tractament. Són plans diferents.

  1. Drets de les persones treballadores: especial atenció a l’accés i la supressió

L’AEPD dedica un bloc ampli als drets ARSULIPO (accés, rectificació, supressió, limitació, portabilitat i oposició).

Punts especialment sensibles:

  • El dret daccés inclou avaluacions, informes interns i valoracions.
  • La supressió no implica esborrament immediat: abans s’ha de produir el bloqueig de les dades quan hi hagi obligació legal de conservació.
  • El bloqueig exigeix ​​mesures tècniques reals que impedeixin lús de la dada.

Atenció. Eliminar dades sense bloquejar-les prèviament pot ser tan incorrecte com conservar-les indefinidament.

  1. Selecció i contractació: límits clars a preguntes, xarxes socials i vida laboral

En els processos de selecció, l’AEPD reforça criteris ja coneguts, però sovint incomplerts:

  • Només es poden sol·licitar dades rellevants per al lloc.
  • No és lícit investigar xarxes socials, encara que els perfils siguin públics, llevat que hi hagi justificació objectiva i se n’hagi informat prèviament.
  • No es poden formular preguntes personals, familiars o mèdiques alienes al lloc.
  • La sol·licitud de l’informe de vida laboral només és admissible sota un interès legítim ben delimitat i amb un abast mínim.

Atenció. Moltes reclamacions s’originen en entrevistes mal plantejades, no al contracte.

  1. Desenvolupament de la relació laboral: nòmines, productivitat i denúncies internes

Durant la relació laboral, la guia aborda qüestions d’alt impacte pràctic:

  • Publicació de dades de productivitat: només quan sigui estrictament necessari.
  • Nòmines: especial cura amb accessos interns i enviaments erronis.
  • Sistemes de denúncies internes (whistleblowing):
    • Accés restringit,
    • Confidencialitat reforçada,
    • Terminis de conservació molt concrets.

Atenció. L’accés intern indegut a les dades laborals és una de les infraccions més habituals.

  1. Control de l’activitat laboral: videovigilància, geolocalització i detectius

Aquest és un dels blocs més sensibles de la guia.

Criteris clau:

  • El control empresarial és legítim, però no il·limitat.
  • Videovigilància:
    • Prohibida en zones sensibles (lavabos, vestuaris),
    • Requereix informació prèvia clara.
  • Geolocalització
    • Només durant la jornada,
    • Amb finalitat concreta i proporcional.
  • Admissibles només com a mesura excepcional i proporcionada.
  • Detectius privats

Atenció. El problema no sol ser el sistema, sinó l’excés en el seu ús.

  1. Representació legal i sindical: cessions i publicacions de dades

L’AEPD recorda que els representants de les persones treballadores:

  • Poden accedir a dades només quan hi hagi habilitació legal,
  • Han de respectar els mateixos principis de confidencialitat i minimització,
  • No poden publicar dades personals indiscriminadament a taulers o comunicacions.

Atenció. La condició de representant no eximeix del compliment del RGPD.

  1. Vigilància de la salut i dades mèdiques: especial protecció

La guia dedica un bloc complet a les dades de salut, considerades categoria especial:

  • L’accés de lempresa ha de limitar-se a conclusions daptitud.
  • Les històries clíniques no són accessibles a l’empresa.
  • Wearables i noves tecnologies exigeixen avaluació dimpacte previ.

Atenció. Qualsevol filtració de dades de salut té un risc sancionador molt elevat.

La publicació de l’AEPD no introdueix obligacions noves, però sí que consolida criteris que ja s’estan aplicant en inspeccions i sancions. El missatge és clar: la protecció de dades a l’àmbit laboral no és un tràmit documental, sinó una gestió contínua del risc.

Des del despatx us recomanem:

  • Revisar processos de selecció i entrevistes,
  • Auditar sistemes de control laboral,
  • Actualitzar clàusules informatives i polítiques internes,
  • Formar comandaments intermedis i personal amb accés a dades.
  • Una prevenció adequada evita conflictes, reclamacions i sancions que, en aquest àmbit, solen arribar quan el problema ja és visible.

Consulta amb el nostre despatx per a qualsevol dubte o aclariment.

A l'article

Articles relacionats

adaptar la jornada en la empresa
L’adaptació de jornada no es “denega” sense més ni més
Veure article
Jubilarse a los 65 años
Quan fer 65 anys no sempre n’hi ha prou per jubilar-se
Veure article
formación y las bonificaciones desde 2026
Les noves regles del joc per a la formació i les bonificacions des del 2026
Veure article