El uso de datos personales en el entorno laboral exige una atención que, en muchos casos, las organizaciones tienen que mejorar. En este sentido, no es raro encontrar organizaciones que cometen errores al tratar los datos personales de sus empleados, especialmente cuando asumen -de forma errónea- que tienen vía libre para utilizarlos sin un análisis previo de la base jurídica aplicable.
Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 6.000 euros a una compañía por compartir el número de teléfono personal de una trabajadora sin su consentimiento.
En este caso, la trabajadora comenzó a recibir numerosas llamadas y mensajes. Al responder a una de estas comunicaciones, le informaron que su número de teléfono había sido proporcionado por la empresa.
Por su parte, la entidad admitió el error, alegando que pensaba que ese número sería usado para tareas laborales. Sin embargo, la AEPD concluyó que se vulneró el artículo 6.1 del Reglamento General de Protección de Datos (RGPD) al no contar con una base legal válida para el tratamiento de los datos personales. Además, la empresa no informó adecuadamente sobre la finalidad del tratamiento ni estableció mecanismos para obtener un consentimiento explícito de la trabajadora.
Y es que, el consentimiento, para que sea válido, debe cumplir ciertos requisitos: debe ser libre, específico, informado e inequívoco. Esto implica que la parte interesada tiene que ser plenamente consciente de quién utilizará sus datos, con qué finalidad y durante cuánto tiempo. Igualmente, debe existir la posibilidad real de negarse a dar ese consentimiento sin que ello conlleve consecuencias negativas para la misma.
Además, no solo es necesario solicitar el consentimiento de manera adecuada, también es fundamental poder probar su validez en caso de que se ponga en duda.
A continuación, se indican algunos de los fallos más comunes que cometen las organizaciones al tratar datos personales en el entorno laboral:
Confusión sobre la base legal. Muchas organizaciones asumen erróneamente que el consentimiento es siempre la base legal más apropiada para tratar datos de las personas trabajadoras. Este enfoque puede resultar problemático, ya que el desequilibrio de poder inherente a la relación de subordinación entre organización y personas trabajadoras puede invalidar la "libertad" del consentimiento, lo que podría llevar a que el consentimiento no sea considerado verdaderamente voluntario por parte de la persona trabajadora, siendo necesario considerar otras bases legales, como el cumplimiento de una obligación contractual entre las partes.
Falta de información clara. Uno de los principios del RGPD es el principio de transparencia. La ausencia de información clara y detallada sobre quién tratará los datos, para qué fines, y durante cuánto tiempo, puede invalidar el consentimiento, por lo que las organizaciones tienen el deber de comunicar esta información de manera comprensible y accesible, debiendo mantenerse mantenerse actualizada y siendo fácilmente accesible en cualquier momento.
Solicitudes de consentimiento genéricas. Solicitar consentimiento a través de cláusulas genéricas y ambiguas, sin especificar claramente los tratamientos concretos que se llevarán a cabo, invalida el consentimiento otorgado. Las solicitudes deben estar redactadas de forma granular, permitiendo que la persona trabajadora pueda aceptar o rechazar cada finalidad de manera separada. Asimismo, el consentimiento debe darse mediante una acción afirmativa clara, evitando prácticas como las casillas premarcadas o el silencio como forma de aceptación.
Conservación de los datos más allá del tiempo necesario. No eliminar los datos personales una vez que ha finalizado la finalidad para la que se recabaron también constituye un incumplimiento del RGPD. Para evitar este riesgo, las organizaciones deben establecer políticas de conservación que definan de forma concreta los plazos para cada tipo de dato, así como mecanismos de revisión y eliminación periódica. Además, deben valorar si, una vez cumplida la finalidad, los datos pueden conservarse con fines de archivo, estadísticos o para el ejercicio de posibles reclamaciones, siempre aplicando medidas de seudonimización o anonimización que reduzcan los riesgos para los derechos de las personas.
En conclusión, la gestión adecuada del consentimiento en el ámbito laboral es una responsabilidad que no puede tratarse de forma superficial. El cumplimiento normativo exige no solo una interpretación correcta de las bases legales aplicables, sino también una actitud proactiva por parte de las organizaciones. Entender que el consentimiento no siempre es la vía más adecuada, asegurar la transparencia informativa, evitar tratamientos no previstos, y conservar únicamente los datos estrictamente necesarios, son pasos fundamentales para garantizar los derechos de las personas trabajadoras y prevenir, así, posibles sanciones.
Redactado por Carlota Moreno, a fecha 29 de abril de 2025.