Datos de empleados: qué información puede guardar tu empresa y qué está prohibido

Maria

hace 11 meses

Qué datos de empleados puede guardar una empresa y qué está prohibido según el RGPD

Cuando contratas a alguien, empiezas a tratar datos personales de esa persona. Nombre, DNI, número de cuenta, historial laboral, evaluaciones de rendimiento, partes médicos... La lista puede ser larga. El RGPD y la LOPDGDD establecen límites claros sobre qué puedes tratar, cómo debes informar al trabajador y cuánto tiempo puedes conservar sus datos.

Qué datos laborales puedes tratar y con qué base jurídica

La base jurídica principal para tratar datos de empleados es la ejecución del contrato de trabajo. Esto te permite tratar los datos que son estrictamente necesarios para la relación laboral:

  • Datos identificativos: nombre, DNI, número de la Seguridad Social, datos de contacto.
  • Datos económicos: cuenta bancaria, salario, retenciones de IRPF.
  • Datos laborales: categoría profesional, puesto, jornada, ausencias, permisos, vacaciones.
  • Datos de formación relevantes para el puesto.
  • Partes de alta y baja médica (solo la fecha y duración, no el diagnóstico).

Para algunos tratamientos adicionales, la base jurídica es el cumplimiento de obligaciones legales: cotizaciones a la Seguridad Social, comunicaciones a Hacienda, prevención de riesgos laborales, registro horario.

Qué información no puedes solicitar ni conservar

Datos de salud más allá de lo necesario. El parte de baja médica que recibes a través del sistema de la Seguridad Social indica solo la situación (alta o baja) y la duración prevista. No tienes derecho a conocer el diagnóstico ni a exigir al trabajador que te lo revele para justificar la baja.

Datos biométricos para control de presencia sin base jurídica suficiente. El uso de huella dactilar o reconocimiento facial para el registro horario requiere una evaluación de impacto previa y solo es admisible si no hay alternativas menos intrusivas. La AEPD ha sancionado varias empresas que usaban huella sin justificación suficiente.

Datos sobre afiliación sindical, religión u opiniones políticas. Son datos de categorías especiales que requieren consentimiento explícito o base jurídica específica. No puedes preguntar en una entrevista si el candidato está afiliado a un sindicato, ni registrar esa información sin base.

Datos de vida personal que no tienen relación con el trabajo. Que el empleado tiene una segunda actividad, su orientación sexual, su situación familiar más allá de lo necesario para calcular deducciones fiscales.

Obligación de informar al trabajador

Antes de empezar a tratar sus datos, o en el momento de la contratación, debes informar al trabajador de:

  • Quién trata sus datos (la empresa) y cómo contactarla.
  • Para qué se van a usar sus datos.
  • Cuánto tiempo se van a conservar.
  • Con quién se pueden compartir (gestor, mutua, administraciones...).
  • Cuáles son sus derechos y cómo ejercerlos.

Esta información se suele incluir en una cláusula adjunta al contrato de trabajo. Si ya tienes esta cláusula en tus contratos, bien. Si no, es una de las primeras cosas que debes añadir.

Control del correo electrónico y dispositivos de trabajo

El empresario tiene derecho a controlar el uso de los medios informáticos que ha puesto a disposición del trabajador para fines laborales, pero con límites.

El Tribunal Constitucional y el RGPD exigen que:

  1. Exista una política de uso de medios informáticos que el trabajador conozca.
  2. Esa política informe de que el uso puede ser monitorizado y con qué alcance.
  3. El control sea proporcionado a la finalidad (no se puede revisar absolutamente todo el correo de forma indiscriminada).

Sin esa política previa, el control puede considerarse ilícito aunque se realice en medios de la empresa.

Si permites el uso personal de los dispositivos de empresa (BYOD o uso mixto), el control se complica. En ese caso es recomendable separar técnicamente el ámbito laboral del personal.

Videovigilancia en el trabajo

Puedes instalar cámaras en las instalaciones de la empresa por razones de seguridad o control de presencia, pero:

  • Debes informar a los trabajadores de su existencia y finalidad mediante un cartel visible y una cláusula en el contrato o información específica.
  • No puedes instalar cámaras en zonas de descanso, vestuarios, baños o comedores.
  • Las cámaras no pueden ser el único sistema de control sin una razón objetiva que lo justifique.
  • Debes establecer un plazo de conservación de las grabaciones (generalmente no más de 30 días salvo que haya un incidente que justifique conservarlas más tiempo).

Cuánto tiempo conservar los datos de un empleado

Durante la relación laboral, conservas los datos que sean necesarios. Una vez extinguida, los plazos varían según el tipo de dato:

  • Nóminas y documentación fiscal: 4 años (plazo de prescripción de infracciones tributarias) o hasta 5 años si hay deuda pendiente.
  • Contratos de trabajo: 4 años.
  • Documentación de Seguridad Social: hasta 4 años desde la extinción.
  • Datos de prevención de riesgos: hasta 10 años en algunos supuestos (vigilancia de la salud en actividades con riesgos específicos).

Pasados esos plazos, debes suprimir o anonimizar los datos. Conservar datos de ex-empleados indefinidamente "por si acaso" no tiene base jurídica y puede ser objeto de sanción.

Qué pasa con los currículums de candidatos no seleccionados

Si guardas CVs de personas que no has contratado, necesitas su consentimiento para conservarlos más allá del proceso de selección. Lo más sencillo es indicar en el proceso de selección cuánto tiempo vas a conservar los datos de los candidatos no seleccionados (generalmente entre 6 y 12 meses) y darles la opción de solicitar la supresión.

Maria

También te podría interesar

Subir