Noticias

Actualidad, Webinars y Medios

Bases de legitimación empresarial para el tratamiento de datos personales de los trabajadores

9 de septiembre de 2020
Actualidad

Todo tratamiento de datos personales requiere una base de legitimación.

Las bases de legitimación son las previstas en el Reglamento General de Protección de Datos (RGPD), de manera que se trata de un listado cerrado. Así, es necesario que el responsable del tratamiento, el empresario, identifique y aplique la base de legitimación oportuna para cada tratamiento de datos personales. Aplicado al ámbito de las relaciones laborales, las bases de legitimación relevantes son, conforme al RGPD, las siguientes:

 • El consentimiento expreso o explícito del trabajador

En este sentido, el GT29 ha afirmado que “es muy poco probable que el consentimiento constituya una base jurídica para el tratamiento de datos en el trabajo a no ser que los trabajadores puedan negarse sin consecuencias adversas” (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, WP 249, p. 3). Esto se debe a “la dependencia que resulta de la relación empresario/trabajador, ya que este último rara vez está en condiciones de dar, denegar o revocar el consentimiento libremente” (WP 249, p. 4). El GT29 se ha referido también al trabajador como interesado vulnerable, haciendo referencia también a que el RGPD indica que pueden existir riesgos para los derechos y libertades de las personas físicas: “en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo” (cdo. 75).

Por tanto, el consentimiento de los trabajadores como base de legitimación para el tratamiento de sus datos personales, solo será válido si es dado libremente, de manera que el trabajador no tema consecuencias adversas si no lo da.

 • La ejecución del contrato de trabajo en el que el trabajador es parte o la aplicación a petición de este de medidas precontractuales

El GT29 ya había indicado que “este fundamento jurídico puede permitir, por ejemplo, el tratamiento de la información salarial y de los datos de la cuenta bancaria, de manera que se pueda abonar el salario”. Además indica que “debe interpretarse de manera estricta y no comprende situaciones en las que el tratamiento no sea realmente necesario para la ejecución de un contrato, sino unilateralmente impuesto al interesado por parte del responsable del tratamiento” (Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud de la Dir 95/46/CE art.7, WP 217, p. 20).

 • El cumplimiento de una obligación legal aplicable al empresario como responsable del tratamiento

Si bien la empresa tiene la obligación de vigilar la salud de los trabajadores, el acceso a la información médica queda limitado al personal médico y a las autoridades sanitarias (LPRL art.22). Otro ejemplo podría ser la obligación del empresario de cumplir con las obligaciones legales que le sean aplicables a efectos de impuestos, que podrían implicar tanto retenciones como la comunicación de datos de los empleados a la Agencia Estatal de Administración Tributaria o a la Seguridad Social.

Además, la empresa tendrá que cumplir con la obligación legal del registro diario de la jornada de trabajo, lo que implica que sea necesario “incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora” (ET art.34.9).

 • La protección del interés vital del interesado o de otra persona física

Es una base de legitimación específica y en cierta medida residual, ya que “los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente” (RGPD cdo. 46).

 • La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero.

Esto es así siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. En relación con el interés legítimo como base de legitimación del tratamiento de los datos personales de los trabajadores, el GT29 ha indicado que “un interés legítimo en sí mismo no es suficiente para primar sobre los derechos y libertades de los trabajadores” (WP 249, p. 4). Además, señala que el tratamiento de los datos personales “debe ser proporcional a las necesidades de la empresa, es decir, a la finalidad que pretende abordar. El tratamiento de datos en el lugar de trabajo debe llevarse a cabo de la manera menos intrusiva posible y estar dirigido al ámbito de riesgo específico” (WP 249, p. 8).

El empresario como responsable del tratamiento debe considerar cuál de estas bases de legitimación es la adecuada en cada caso. Asimismo, habrá de demostrar el cumplimiento de la normativa sobre protección de datos en virtud del principio de responsabilidad proactiva.

Compartir