Protección de datos en las relaciones laborales: límites y responsabilidades de la empresa

La gestión de datos personales forma parte del día a día de cualquier empresa: nóminas, currículums, correos electrónicos, control horario, partes de baja de enfermedad, o datos médicos. Es por ello que la protección de datos en las relaciones laborales es una de las cuestiones que más dudas genera en las empresas:

• ¿Puedo revisar el ordenador de una persona trabajadora?
• ¿Qué ocurre con su correo electrónico cuando se marcha?
• ¿Puedo instalar cámaras para revisar el día a día en el trabajo?
• ¿Puedo utilizar medios de geolocalización?

Hoy damos respuesta a las cinco preguntas más frecuentes sobre este tema, con el objetivo de aclararte dudas y asegurar que cumplas con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la normativa laboral.

En Talenom ayudamos a las empresas a cumplir con la normativa de protección de datos y control laboral mediante políticas internas claras y adaptadas a cada organización. Agenda una reunión con nuestros expertos y te asesoramos de manera individualizada.

¿Puede la empresa revisar el ordenador o el correo corporativo de un trabajador?

La respuesta a esta pregunta está condicionada a una serie de requisitos que garanticen los derechos y libertades de la persona trabajadora.

La empresa puede acceder a los dispositivos digitales puestos a disposición de la plantilla únicamente para controlar el cumplimiento de las obligaciones laborales o para garantizar la integridad y seguridad de dichos dispositivos. Para ello, debe haber establecido con carácter previo políticas de uso claras, respetuosas con la intimidad, y las personas trabajadoras deben haber sido informadas sobre estas políticas.

En la elaboración de estas políticas deben participar los representantes de las personas trabajadoras y se recomienda que el documento en el que se materialicen las políticas se de a firmar a todas las personas trabajadoras.

Si la empresa admite usos privados, aunque sean parciales o limitados, deberá especificarlo de forma precisa y establecer garantías adicionales para preservar la intimidad. Por ello, el acceso empresarial no puede ser genérico ni indiscriminado: debe responder a una finalidad legítima, ser necesario, proporcionado y limitarse a lo estrictamente preciso.

Por lo tanto, podemos afirmar que la empresa sí podría revisar el correo corporativo siempre que:

• Sea herramienta de trabajo y se defina como tal en la política de empresa.
• Exista una política interna de uso de medios informáticos y se haya informado a la plantilla sobre ella.
• El acceso sea proporcional y justificado para facilitar el control laboral, la continuidad del negocio o la seguridad.
• La medida sea concreta, necesaria y proporcionada, evitando accesos indiscriminados.
• Se documente adecuadamente la intervención.

No se trata de poder acceder “porque sí”, sino de hacerlo con una finalidad legítima (ya sea de seguridad, control laboral o continuidad del negocio).

¿Qué ocurre con el correo cuando un trabajador deja la empresa?

Cuando una persona trabajadora cesa, la empresa está obligada a bloquear o limitar el acceso a la cuenta de correo electrónico corporativo sin demora y evitar que la cuenta permanezca operativa de manera indefinida.

Aunque la cuenta de correo sea corporativa y, por lo tanto, propiedad de la empresa, la dirección de correo nominativa y el contenido del buzón pueden contener datos personales, por lo que su tratamiento queda sujeto a la normativa de protección de datos.

La empresa puede adoptar las medidas necesarias para facilitar la continuación normal de la actividad empresarial. Entre estas medidas, es habitual:

• Activar una respuesta automática por la que se informe que la persona trabajadora ya no forma parte de la empresa y se facilita un contacto alternativo.
• De manera excepcional y limitada en el tiempo, redireccionar los mensajes recibidos en este buzón una vez se haya producido la baja de la persona trabajadora.
• Recuperar información concreta imprescindible para la actividad o para atender a obligaciones legales.

Una vez recuperada la información necesaria, la cuenta deberá eliminarse o quedar definitivamente cerrada conforme a la política interna de conservación y seguridad de la empresa.

También en el Blog: Riesgos de la Inteligencia Artificial en la empresa

¿Puede la empresa usar correos electrónicos para justificar un despido?

Sí, pero solo si el acceso al correo o al dispositivo correspondiente se ha producido de forma lícita y respetando las garantías exigibles.

Si la empresa obtiene el contenido vulnerando derechos fundamentales o incumpliendo los criterios legales de uso y control, existe un riesgo alto de que la prueba sea considerada ilícita y no pueda valorarse. Esto podrá afectar a la calificación del despido como improcedente. Además, podríamos tener otras consecuencias legales por vulneración de derechos fundamentales.

Por lo tanto, para que la empresa pueda utilizar correos electrónicos para fundamentar una sanción o despido, debemos comprobar que:

• Existía una política clara de uso de medios informáticos y control debidamente informada.
• El acceso respondió a una finalidad legítima.
• La medida fue necesaria, proporcionada y limitada a lo estrictamente relevante.
• Se preservó adecuadamente la cadena de custodia y la fiabilidad de la evidencia.

Si hay sospechas de borrado de información, fraude o manipulación, es recomendable que la obtención de la evidencia se haga con criterios forenses y con apoyo especializado, para reforzar su autenticidad, integridad y trazabilidad.

La obtención de la prueba no puede vulnerar derechos fundamentales o normas de confidencialidad.

¿Es legal instalar cámaras en el lugar de trabajo?

La empresa sí puede instalar cámaras en el trabajo, pero deben cumplirse ciertas condiciones para no vulnerar derechos fundamentales de las personas trabajadoras:

• Información previa clara. La empleadora debe informar a las personas trabajadoras y representación legal, de manera expresa, clara y concisa, sobre la instalación de cámaras y su finalidad. Además, deben identificarse mediante carteles informativos claros.
• Información clara sobre el ejercicio de los derechos de acceso, rectificación, limitación, tratamiento y uso de los datos obtenidos.
• Uso con fines laborales o de seguridad.
• Nunca en lugares donde supongan una vulneración del derecho a la privacidad, intimidad o propia imagen. Por ejemplo, no podrán instalarse cámaras en los aseos.
• Respeto en todo caso el principio de proporcionalidad y de minimización, evitando medidas excesivas o más invasivas de lo necesario.
• Política clara sobre el tratamiento de las imágenes, la responsabilidad del tratamiento, su alcance, el tiempo y propósitos, entre otros.
• Las imágenes deben custodiarse y protegerse conforme a la normativa.

La clave es el equilibrio entre poder de control empresarial y derechos del trabajador. Además, la grabación de sonidos en el lugar de trabajo solo podrá utilizarse en supuestos especialmente justificados y con carácter excepcional.

¿Puede la empresa usar sistemas de geolocalización de trabajadores?

La empresa sí puede implementar sistemas de geolocalización dentro de su facultad de control, pero en todo caso debe cumplir con una serie de acciones previas para que el uso de estos sistemas sea legal:

• Información previa clara sobre la existencia y características del sistema.
• Información clara sobre la finalidad del tratamiento.
• Información clara sobre el ejercicio de los derechos de acceso, rectificación, limitación, tratamiento y uso de los datos obtenidos.
• Limitación al horario laboral, garantizando el derecho a la desconexión digital.
• Respeto al principio de proporcionalidad.
• Uso para fines laborales o de seguridad.
• No debería imponerse a la persona trabajadora la utilización de sus propios medios personales para facilitar su geolocalización, especialmente si existen alternativas menos intrusivas.

¿Qué obligaciones tiene la empresa en materia de desconexión digital, intimidad y protección de datos en el ámbito laboral?

La empresa debe garantizar el derecho a la desconexión digital para que las personas trabajadoras puedan desvincularse de sus responsabilidades laborales fuera del horario laboral, protegiendo su tiempo de descanso, permisos y vacaciones, y contribuyendo a su salud física y mental al reducir la fatiga informática y el estrés asociado a la hiperconectividad. Este derecho se complementa con la protección de la intimidad frente al uso de dispositivos digitales proporcionados por la empresa, así como frente a sistemas de videovigilancia o geolocalización, asegurando que la información personal de los trabajadores no sea recopilada ni utilizada de manera excesiva o injustificada.

La empresa debe asegurar una política interna de desconexión digital que debe elaborarse con audiencia previa de la representación legal de las personas trabajadoras, en su caso, y establecer claramente las modalidades de ejercicio del derecho a la desconexión digital teniendo en cuenta lo establecido anteriormente. Esto permite que se promueve transparencia y participación en la gestión laboral.

Además, cualquier monitoreo o registro de la actividad digital debe cumplir con los principios de minimización, finalidad y seguridad establecidos por la normativa de protección de datos, asegurando que los datos personales se traten de manera responsable. De esta forma, la implementación del derecho a la desconexión digital protege simultáneamente la salud, la intimidad y los datos de las personas trabajadoras, fomentando un entorno laboral digital seguro, equilibrado y respetuoso de los derechos fundamentales.

Más sobre desconexión digital en el Blog: Compliance Laboral: las 11 obligaciones clave que toda empresa debe cumplir

Conclusiones sobre la protección de datos en las relaciones laborales

La protección de datos en el entorno laboral no impide a la empresa ejercer su poder de dirección y control, pero sí exige hacerlo con reglas claras, transparencia y proporcionalidad.

Antes de acceder a un dispositivo, o implementar un sistema de control, conviene hacerse cinco preguntas:

• ¿Es necesario?
• ¿Es proporcional?
• ¿Está informado el trabajador?
• ¿Es legítimo?
• ¿Podría justificarlo ante una inspección o un juez?

La prevención y una buena política interna son la mejor garantía para evitar conflictos y sanciones.

En Talenom podemos ayudarte a implementar políticas de protección de datos y sistemas de control laboral que cumplan con la normativa, garantizando seguridad, transparencia y proporcionalidad. Nuestro equipo de expertos te asesorará para prevenir conflictos, minimizar riesgos y asegurar que tu empresa actúe siempre de manera legal y responsable.

Esta información es válida en la fecha de publicación, pero podría verse desactualizada por cambios normativos posteriores.