L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat al seu web la guia actualitzada La protecció de dades en les relacions laborals, un document extens i d’orientació pràctica que revisa com s’ha d’aplicar el RGPD i la LOPDGDD en totes les fases de la relació laboral, des de la selecció fins a l’extinció del contracte, passant pel control empresarial, la vigilància de la salut o l’ús de tecnologies.

No es tracta d’una norma nova, però sí d’un document de referència clara per a l’AEPD, que consolida criteris, adverteix de males pràctiques freqüents i anticipa l’enfocament que se seguirà en actuacions inspectores i procediments sancionadors.

A continuació, els resumim els aspectes més rellevants.

1. Principis generals que han de guiar qualsevol tractament de dades laborals

L’AEPD recorda que la dada personal en l’àmbit laboral és un concepte ampli, que inclou no sols dades identificatives, sinó també valoracions, avaluacions d’acompliment, registres interns, imatges, àudios o informació inferida.

Punts clau:

• El consentiment del treballador rares vegades és una base jurídica vàlida, pel desequilibri existent en la relació laboral.

• La base principal del tractament sol ser:

• l’execució del contracte de treball, o

• el compliment d’una obligació legal.

• L’interès legítim empresarial només és vàlid si supera un judici estricte de proporcionalitat.

• Es reforça el principi de minimització: no tot el que resulta útil per a l’empresa és necessari des del punt de vista legal.

Atenció. Molts incompliments no deriven de grans sistemes tecnològics, sinó de la recollida excessiva de dades “per si de cas”.

2. Informació i transparència: no n’hi ha prou amb incloure una clàusula genèrica

La guia insisteix que el deure d’informació forma part essencial del dret fonamental a la protecció de dades.

Aspectes rellevants:

• La informació ha de ser clara, comprensible i no excessivament tècnica.
• És recomanable el model d’informació per capes.
• Ha d’informar-se:
• En el moment de la recollida de dades, o
• En un termini màxim d’un mes si les dades no procedeixen directament del treballador.
• Incloure una clàusula informativa en el contracte no equival a obtenir consentiment.

Atenció. Moltes empreses confonen informar amb legitimar el tractament. Són plans distints.

3. Drets dels treballadors: especial atenció a l’accés i a la supressió

L’AEPD dedica un bloc ampli als drets ARSULIPO (accés, rectificació, supressió, limitació, portabilitat i oposició).

Punts especialment sensibles:

• El dret d’accés inclou avaluacions, informes interns i valoracions.
• La supressió no implica esborrat immediat: abans ha de produir-se el bloqueig de les dades quan existeixi obligació legal de conservació.
• El bloqueig exigeix mesures tècniques reals que impedeixin l’ús de la dada.

Atenció. Eliminar dades sense bloquejar-les prèviament pot ser tan incorrecte com conservar-les indefinidament.

4. Selecció i contractació: límits clars a preguntes, xarxes socials i vida laboral

En els processos de selecció, l’AEPD reforça criteris ja coneguts, però sovint incomplerts:

• Només poden sol·licitar-se dades rellevants per al lloc.
• No és lícit investigar xarxes socials, encara que els perfils siguin públics, tret que existeixi justificació objectiva i s’hagi informat prèviament.
• No poden formular-se preguntes personals, familiars o mèdiques alienes al lloc.
• La sol·licitud de l’informe de vida laboral només és admissible sota un interès legítim ben delimitat i amb abast mínim.

Atenció. Moltes reclamacions s’originen en entrevistes mal plantejades, no en el contracte.

5. Desenvolupament de la relació laboral: nòmines, productivitat i denúncies internes

Durant la relació laboral, la guia aborda qüestions d’alt impacte pràctic:

• Publicació de dades de productivitat: només quan sigui estrictament necessari.
• Nòmines: especial compte amb accessos interns i enviaments erronis.
• Sistemes de denúncies internes (whistleblowing):
• Accés restringit,
• Confidencialitat reforçada,
• Terminis de conservació molt concrets.

Atenció. L’accés intern indegut a dades laborals és una de les infraccions més habituals.

6. Control de l’activitat laboral: videovigilància, geolocalització i detectives

Aquest és un dels blocs més sensibles de la guia.

Criteris clau:

• El control empresarial és legítim, però no il·limitat.
• Videovigilància:
• Prohibida en zones sensibles (lavabos, vestuaris),
• requereix informació prèvia clara.
• Geolocalització:
• Només durant la jornada,
• Amb finalitat concreta i proporcional.
• Detectius privats:
• Admissibles només com a mesura excepcional i proporcionada.

Atenció. El problema no sol ser el sistema, sinó l’excés en el seu ús.

7. Representació legal i sindical: cessions i publicacions de dades

L’AEPD recorda que els representants dels treballadors:

• Poden accedir a dades només quan existeixi habilitació legal,
• Han de respectar els mateixos principis de confidencialitat i minimització,
• No poden publicar dades personals indiscriminadament en taulons o comunicacions.

Atenció. La condició de representant no eximeix del compliment del RGPD.

8. Vigilància de la salut i dades mèdiques: especial protecció

La guia dedica un bloc complet a les dades de salut, considerats categoria especial:

• L’accés de l’empresa ha de limitar-se a conclusions d’aptitud.
• Les històries clíniques no són accessibles per a l’empresa.
• Wearables i noves tecnologies exigeixen avaluació d’impacte prèvia.

Atenció. Qualsevol filtració de dades de salut té un risc sancionador molt elevat.

La publicació de l’AEPD no introdueix obligacions noves, però sí que consolida criteris que ja s’estan aplicant en inspeccions i sancions. El missatge és clar: la protecció de dades en l’àmbit laboral no és un tràmit documental, sinó una gestió contínua del risc.

Des del despatx li recomanem:

• Revisar processos de selecció i entrevistes,
• Auditar sistemes de control laboral,
• Actualitzar clàusules informatives i polítiques internes,
• Formar a comandaments intermedis i personal amb accés a dades.

Una prevenció adequada evita conflictes, reclamacions i sancions que, en aquest àmbit, solen arribar quan el problema ja és visible.