RESUMEN
La protección de datos personales en el ámbito de las relaciones laborales, presenta una especial singularidad en su tratamiento, tal y como se establece en el art. 88 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (EDL 2016/48900), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (EDL 1995/16021) que es objeto de análisis en el presente estudio. Régimen particular que lleva a plantear si los convenios colectivos en la regulación sobre el tratamiento de datos pueden separarse de la aplicación de los principios generales de licitud, exactitud, transparencia y minimización; si la vulneración de las normas de protección de datos puede ser causa lícita de despido; si el registro salarial puede contener los datos retributivos individualizados de una persona identificable; si los datos del registro de jornada pueden ser comunicados a la representación legal de las personas trabajadoras; o cuál es el alcance de los deberes de información y de transparencia en el marco de las facultades de videovigilancia, control de las comunicaciones y sistemas de geolocalización empleados por la parte empresarial; así como las implicaciones en el uso de datos por la inteligencia artificial en la relación laboral.
PALABRAS CLAVE
Datos personales, transparencia, información, videovigilancia, geolocalización, monitorización.
ABSTRACT
The protection of personal data in the context of employment relationships presents specific distinctive features in its regulation, as set out in Article 88 of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, which repeals Directive 95/46/EC, and which will be analysed in this article. In particular, the article examines whether the regulation of personal data processing established by collective agreements must comply with the general principles of lawfulness, accuracy, transparency and data minimisation; whether breaches of data protection rules may constitute a lawful ground for dismissal; whether the salary register may contain individualised remuneration data relating to an identifiable person; whether working time recording data may be disclosed to the legal representatives of workers; the scope of the duties of information and transparency in the context of the employer’s powers of video surveillance, communications monitoring and the use of geolocation systems; as well as the implications of the use of data by artificial intelligence in the employment relationship.
KEY WORDS
Personal data, transparency, information, video surveillance, geolocation, monitoring.
I. INTRODUCCIÓN
El derecho a la protección de datos personales es un derecho o libertad fundamental autónomo e independiente (art. 18.4 CE), que tiene unos contornos muy amplios, al extender su garantía, al derecho fundamental a la intimidad (art. 18.1 CE), al derecho al honor (art.18.4 CE) y al pleno ejercicio de los derechos de la persona y de la dignidad personal (STC 292/00, 30-11-00 Rec. 1.463/00 (EDJ 2000/40918))[1].
Estos contornos tan amplios, determinan que su tutela sea asumida por los distintos órdenes jurisdiccionales: a nivel penal con la tipificación como delito en los arts. 172 ter, 197, 200, 249, 264, 278, 400 CP; en el marco de la jurisdicción civil, en cuanto al conocimiento de las reclamaciones de daños y perjuicios derivadas de la vulneración de dicho derecho; en el ámbito contencioso administrativo en la revisión de las impugnaciones de las resoluciones de la Agencia Española de Protección de Datos (en adelante, AEPD) y en el orden laboral por el tratamiento específico de la protección de datos y su singular protección que es objeto de análisis en el presente estudio.
En efecto, el Reglamento Europeo 2016/679 del Parlamento y del Consejo de 27-4-2016 (EDL 2016/48900) (en adelante RGPD) señala que, la legislación laboral y de protección social (incluidas las pensiones) constituyen una de las excepciones autorizadas a la prohibición de tratar categorías especiales de datos personales (art. 9.2, apartados b y h RGPD).
Esto supone que, en el ámbito laboral, el tratamiento de datos personales, no requiere, por lo general, del consentimiento del trabajador, dado que la base jurídica que lo legitima, suele ser la ejecución del contrato de trabajo o el cumplimiento de obligaciones legales por parte del empleador, tal y como establece el art. 6 del RGPD (EDL 2016/48900). No obstante, su alcance no es ilimitado, puesto que será obligatorio que el empleador informe al trabajador sobre el tratamiento de sus datos, incluida la finalidad, la base jurídica, los destinatarios y los derechos que le asisten.
En otras palabras, si la dispensa del consentimiento prevista en el art. 6 de la LO 3/2018, de 5 de diciembre (EDL 2018/128249), de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPDPYGDD) se refiere a los datos necesarios para el mantenimiento y el cumplimiento de la relación laboral, tal excepción, abarca sin duda el tratamiento de datos personales obtenidos por el empresario para velar por el cumplimiento de las obligaciones derivadas del contrato de trabajo. Por tanto, el consentimiento solo será necesario, cuando el tratamiento de datos, no esté directamente relacionado con la relación laboral o exceda de lo necesario para la ejecución del contrato o el cumplimiento de las obligaciones legales.
Queda claro que, el citado Reglamento ampara la fuente laboral, incluidos los convenios colectivos para que, puedan establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en ese ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, así como, en relación con los fines de la contratación, la ejecución del contrato laboral, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, y los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y con la rescisión de la relación laboral (art. 88 RGPD (EDL 2016/48900)).
Singularidad en el tratamiento de datos en el marco laboral, que, a su vez, se traslada al marco de la Inteligencia Artificial (en adelante, IA), cuya fuente de riqueza, precisamente son los datos, de los que se nutre y aprende permitiendo generar algoritmos para la toma de decisiones y desarrollo de aplicaciones, que son ampliamente utilizadas en el sector laboral (particularmente en los procesos de contratación, evaluación y rendimiento de las personas trabajadoras), requiriendo de un nuevo enfoque que permita compatibilizar el uso de las nuevas tecnologías digitales con el respeto a este derecho fundamental, máxime cuando el Reglamento de Inteligencia Artificial clasifica el uso de estos sistemas de IA en los ámbitos de empleo y de las prestaciones de Seguridad Social como de alto riesgo [2].
La clasificación del uso de estos sistemas en las relaciones labores se clasifica de alto riesgo porque pueden perpetuar patrones históricos de discriminación contra las mujeres, determinados grupos de edad, personas con discapacidad o de orígenes raciales o étnicos concretos o con una orientación sexual determinada, en todas las fases del proceso de contratación, evaluación, promoción o retención de personas.
Por ello, este nuevo entorno digital requiere de una regulación y gestión responsable que respete una serie de principios, sistematizados en los arts. 5 a 11 RGPD y 4 a 11 del Convenio del Consejo de Europa núm.108, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 y actualizado en 2018 (Convenio núm. 108+); en particular, los principios de: licitud, lealtad, transparencia, gobernanza, minimización del riesgo de los datos, proporcionalidad, eficiencia energética, transparencia, control, exactitud, seguridad, control y responsabilidad pro activa [3].
Expuestas estas consideraciones generales, conviene examinar esa singular protección de los datos personales en los distintos campos de actuación en el marco de la relación laboral.
II. LA PROTECCIÓN DE DATOS POR LOS CONVENIOS COLECTIVOS
Una de las características del tratamiento de datos en el ámbito laboral, es, como se ha indicado, su singularidad, facultando el art. 88 RGPD (EDL 2016/48900), a las disposiciones legislativas o convenios colectivos, a establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.
Ahora bien, surge la duda de si este tratamiento especial se traduce en una desviación de los principios de licitud, transparencia y exactitud que, con carácter general, deben regir el tratamiento de datos personales.
La STJUE 19-12-24 (C-65/23) (EDJ 2024/784962) aclara tal cuestión, al indicar que, la regulación por parte de los convenios colectivos, debe en todo caso, sujetarse a los principios de lealtad, licitud, transparencia, exactitud, seguridad, proporcionalidad y minimización, previstos en los arts. 5 y 6 de la citada norma. Precisando que, la facultad de apreciación del concepto “necesario” en el tratamiento de datos por la negociación colectiva, no excluye el pleno control jurisdiccional por parte de la autoridad judicial nacional.
En consecuencia, zanja el TJUE cualquier duda en torno a que la singularidad del tratamiento por la negociación colectiva no es una justificación que permita apartarse de los principios generales de dicho tratamiento.
III. LA VULNERACIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS COMO CAUSA DE DESPIDO
Una de las cuestiones de mayor impacto en el marco de las relaciones laborales es la determinación de si una transgresión de las normas sobre protección de datos, constituye una causa justificada de despido, siendo numerosa la jurisprudencia en torno a tal particular.
Por su interés, conviene hacer alusión a la reciente STEDH 4-12-24, conocida como el caso Ortega Ortega contra España (C- 36325/22), en la que se declara la violación de los arts. 8 y 14 del CEDH, al considerar que no existió una adecuada protección frente al despido.
Los Tribunales nacionales habían confirmado la procedencia del despido por infracción del deber de confidencialidad por parte de la trabajadora, que había incumplido las instrucciones de la empresa en materia de protección de datos personales. En concreto, la trabajadora para demostrar que la empresa la discriminaba salarialmente, había accedido y obtenido ilícitamente datos personales sobre los salarios de sus compañeros varones, de cara a fundamentar su demanda sobre discriminación retributiva. De hecho, esta demanda fue estimada, declarándose la existencia de discriminación por razón de sexo.
No obstante, la empresa ante tal actuación, por un lado denunció a la actora por supuesta comisión de los delitos de revelación de datos personales y le remitió carta de despido por transgresión de la buena fe contractual.
La denuncia en sede penal fue sobreseída, pero los Tribunales del orden social, avalaron la procedencia del despido, desestimando la demanda de la trabajadora, que invocaba la nulidad, por ser una represalia frente a su reclamación de discriminación retributiva.
El TEDH calibra la colisión de bienes en conflicto y aun cuando reconoce que la empresa tenía el deber de proteger el derecho a la privacidad de sus empleados y a tomar medidas para asegurar el cumplimiento por parte de sus empleados de sus deberes profesionales, sin embargo, considera que la medida disciplinaria del despido no estaba justificada en atención a las circunstancias del caso: por un lado, la imperativa necesidad de garantizar una protección efectiva contra la situación de discriminación retributiva que había sufrido la actora de manera persistente, por otro lado, la falta de reacción de la empresa ante tal vulneración, o el limitado impacto de la divulgación.
Estas circunstancias llevan al TEDH a concluir que el despido fue una represalia y en consecuencia, se declara la violación de los arts. 8 y14 del CEDH (EDL 1979/3822).
No obstante, en otras circunstancias, los Tribunales sí han considerado que una vulneración de la normativa sobre protección de datos personales es causa justificada de despido.
La STS 16-1-2025 (Rec. 1275/2023) (EDJ 2025/501795) avaló la procedencia del despido por la actuación del trabajador vulneradora de la normativa sobre protección de datos.
La cuestión controvertida radicaba en determinar si el acceso injustificado a datos de clientes del banco y otros bancos, era causa lícita de despido basada en la transgresión de la buena fe contractual que amparara su procedencia.
En particular, el trabajador había realizado diversas consultas sin justificación de ficheros de morosidad, así como retrocesión de comisiones sin autorización. Concretamente, el trabajador realizó, sin causa alguna que lo justificara, búsquedas de personas y empresas morosas en seis fechas distintas, afectantes a cuatro personas físicas y una persona jurídica, sin que una de ellas ni siquiera fuera cliente del banco.
El TS confirma la procedencia del despido al entender que la actuación del trabajador afectaba a la protección de datos personales de los afectados, lo que conllevaba no haber obrado en el desempeño de las funciones atendiendo a las atribuciones que le confiere la empresa.
IV. LA PROTECCIÓN DE DATOS RETRIBUTIVOS: EL REGISTRO SALARIAL
La colisión entre el derecho a la protección de datos personales y el tratamiento de estos en los registros retributivos, quedó evidenciada en la referida STEDH, caso Ortega Ortega contra España.
La norma referente en la materia de protección de datos retributivos, es la Directiva (UE) 2023/970 del Parlamento Europeo y del Consejo de 10-5-2023 (EDL 2023/9326) por la que se refuerza la aplicación del principio de igualdad de retribución entre hombres y mujeres por un mismo trabajo o un trabajo de igual valor a través de medidas de transparencia retributiva y de mecanismos para su cumplimiento.
En concreto, el art. 12 de la citada Directiva establece que, ningún dato podrá utilizarse con fines distintos de la aplicación del principio de igualdad de retribución y si los datos retributivos lo son de un trabajador identificable, el acceso a la información puede limitarse a los representantes de los trabajadores, la inspección de trabajo o el organismo de fomento de la igualdad.
El citado precepto es objeto de interpretación en la STS 32/2025 15-1-25 (Rec. 136/2023) (EDJ 2025/501791) que aplica la doctrina contenida en la STS 1302/2024, 21-11-24 (Rec. 218/2023) (EDJ 2024/744438). La cuestión controvertida radicaba en dilucidar si la empresa, en la confección del registro y la auditoría retributivas, estaba obligada, en todos los puestos de trabajo, a fijar la retribución media y mediana, aun cuando se tratara de puestos, en los que solo prestaran servicios trabajadores de un único sexo o en los que solo existía un trabajador. Se medía el alcance de la obligación empresarial de facilitar los datos retributivos en los supuestos en los que ello llevaba a la identificación de la persona trabajadora.
El TS considera que el art. 12 de la Directiva 2023/970 establece que la información proporcionada, al implicar un tratamiento de datos personales debe sujetarse al RGPD y que, como señala el considerando 44, a ello: “Deben añadirse garantías específicas para evitar la divulgación, directa o indirecta, de información sobre un trabajador identificable”.
Ello supone que, la obligación empresarial de facilitar los datos retributivos, no debe permitir la identificación de la persona trabajadora, puesto que el registro retributivo lo debe ser sobre los valores medios y no individuales de los salarios.
Sentencia que sigue el criterio mantenido por la ya referenciada STS 1302/2024 asunto Ericsson España, S.A. en la que, la cuestión objeto de recurso consistía en determinar si en el registro salarial del art. 28.2 ET (EDL 2015/182832), era obligado incluir los datos que permitieran identificar la retribución individualizada de la persona trabajadora.
El TS parte de la aplicación del art. 12 de la Directiva 2023/970, del art. 5 del RGPD (EDL 2016/48900) y de la guía sobre protección de datos en las relaciones laborales de la AEPD, para concluir que el registro salarial debe ser sobre los valores medios desgregados por sexo, sin obligación de incluir datos que permitieran identificar la retribución individualizada de una persona trabajadora que pudieran comprometer su privacidad.
V. LA PROTECCIÓN DE DATOS PERSONALES EN LOS PROCESOS DE ACOSO LABORAL
La utilización de datos personales de la víctima suele ser una de las formas más comunes de acoso laboral, especialmente sexual.
En este sentido, cabe citar la sentencia del TSJ de Cataluña, 30-1-18 (Rec. 5957/2017) (EDJ 2018/75378), que califica como comportamiento de acoso sexual no verbal, el emplazamiento de cámaras de captación de imagen, grabación de imágenes, colocación de posters u objetos pornográficos u obscenos en lugar visible para la víctima, etc .[4]
En cuanto a la activación del protocolo de acoso y quiebra del principio de confidencialidad por vulneración de datos, puede consultarse la resolución de la AEPD ps-00505-2024, en la que se sanciona a la empresa por dar a conocer la identidad de la denunciante en el marco de procedimiento interno de investigación por acoso.
Esta misma problemática sobre filtración de datos en el marco de un proceso de acoso, se aborda en la STEDH 6-11-18, Vicente del Campo contra España (25527/13) (EDJ 2018/126450).
Se trataba de un profesor de un colegio público que había sido denunciado por una colega por acoso laboral. La demanda, aunque fue inadmitida en el ámbito penal, fue estimada en el orden contencioso administrativo, declarando la responsabilidad patrimonial de la Administración pública y la situación de acoso psicológico reiterado, permitiendo la identificación del profesor que no había sido parte en el procedimiento.
El TEDH reitera que la protección de los datos personales reviste una importancia fundamental para que una persona disfrute de su derecho al respeto a su vida privada y familiar (véase Z c. Finlandia, § 95, y C.C. c. España, § 31), reprochando al TSJ la omisión en la adopción de medidas de protección para preservar el anonimato del demandante y ello, en consecuencia, suponía la vulneración del art. 8 del CEDH (EDL 1979/3822).
También puede citarse la STS (Sala I, de Pleno) 383/2025, 13-3-25 (Rec. 4109/2024) (EDJ 2025/524781) que estimó la reclamación de daños y perjuicios causados por la divulgación de la demanda laboral que la trabajadora había interpuesto contra su empleadora, un despacho de abogados para el que trabajaba como recepcionista. Demanda, que contenía los datos sobre el acoso laboral que la demandante afirmaba haber sufrido, el sueldo que percibía mensualmente o los datos de salud relacionados con su incapacidad temporal por ansiedad.
La trabajadora sostiene que se ha vulnerado su derecho a la protección de datos personales en la actuación de la empresa compartimentando la demanda de la actora en una carpeta común del servidor del despacho con el nombre de “Mari José” y permitiendo así, el acceso directo por cualquier persona trabajadora de la empresa y como tal, ajena al procedimiento.
El TS señala que, la intromisión ilegítima se consuma en el momento en que los datos privados e íntimos quedan expuestos sin causa que lo justifique. No es necesario que la divulgación sea masiva ni prolongada en el tiempo. Tampoco impide el daño la eliminación posterior del documento, ni la accidentalidad de la revelación.
En definitiva, la empresa demandada tenía la obligación de garantizar la confidencialidad del documento, implementando medidas técnicas y organizativas para evitar el acceso por parte de personas no autorizadas, lo que conlleva la estimación del recurso y consecuente estimación de la demanda, reconociendo a la actora su derecho a una indemnización por la intromisión señalada.
VI. PROTECCIÓN DE DATOS PERSONALES EN LOS REGISTROS DEL TIEMPO DE TRABAJO
La STJUE 30-5-2013 (C-342/12) (EDJ 2013/69031), caso Worten (Portugal), declara en primer lugar, que los datos que figuran en un registro de tiempo de trabajo que incluye la indicación de las horas en que cada trabajador inicia y finaliza la jornada, así como, de las pausas o períodos de descanso correspondientes, quedan comprendidos en el concepto de datos personales, a efectos de la Directiva 95/46/CE, dado que, se trata de información sobre una persona física identificada o identificable.
La segunda conclusión que alcanza el TJUE es que, la regulación contenida en la citada Directiva 95/46 debe interpretarse en el sentido de que esta no se opone a una normativa nacional que impone la obligación de poner a disposición de la autoridad nacional competente para la supervisión de las condiciones de trabajo, el registro del tiempo de trabajo, de forma que se permita su consulta inmediata, siempre que esta obligación sea necesaria para el cumplimiento de la misión de supervisión indicada.
En relación con el tratamiento de datos personales en los registros de jornada, cabe citar la STJUE de 14-5-19 (C-55/18) (EDJ 2019/17313). En ella se indica que, para garantizar el efecto útil de la Directiva 2003/88/CE (EDL 2003/198134), los Estados Miembros debían imponer a los empresarios, la obligación de implantar un sistema objetivo y fiable que permitiera computar la jornada laboral diaria realizada por cada trabajador, en respuesta a una cuestión planteada por la Audiencia Nacional en materia de registro de jornadas, siendo partes la Federación de Servicios de Comisiones Obreras (CCOO) y Deutsche Bank, SAE.
El TJUE destacó que, sin un sistema que permita computar la jornada laboral diaria de cada trabajador, no era posible determinar de manera objetiva y fiable el número de horas de trabajo efectivas, ni su distribución en el tiempo, dificultando con ello, la determinación del número de horas extraordinarias. Solo determinando estos extremos de forma fiable y objetiva, podría constatarse si se respetaba la duración máxima del tiempo de trabajo semanal y los períodos mínimos de descanso diario y semanal.
Por ello, el TJUE consideró que una normativa nacional que no estableciera la obligación de utilizar un instrumento que permitiera realizar esa comprobación, no puede asegurar el efecto útil de los derechos que le confieren las normas europeas. Un sistema como el registro de la jornada resulta un medio muy eficaz para obtener datos objetivos y fiables sobre la duración del trabajo, lo que permite que los trabajadores puedan probar las eventuales vulneraciones y las autoridades y tribunales competentes controlar el respeto efectivo de estos derechos. Correspondiendo a los Estados miembros definir los criterios concretos de aplicación de ese sistema, teniendo en cuenta las particularidades propias de cada sector de actividad de que se trate e incluso las especificidades de determinadas empresas.
En aplicación de esta sentencia, la STS 18-1-23 (Rec. 78/2021) concluyó que un registro de jornada es objetivo y fiable aun cuando fuera el trabajador quien unilateralmente la registra.
Asimismo, la STS 24-9-24 (Rec. 236/2022) (EDJ 2024/695779) declaró que el registro de jornada era fiable trazable y objetivo y que, era conforme a derecho, la obligación empresarial de proporcionar al Comité de Empresa datos personales de los trabajadores, como su identidad, provincia y población, puesto que eran necesarios para desarrollar su función de vigilancia y control (art. 64 ET (EDL 2015/182832)).
En el mismo sentido, la STS 1144/2024 17-9-24 (Rec. 33/2023) (EDJ 2024/682785) declara que el art. 10.3 de la LOLS (EDL 1985/9019) es una base que legitima, en virtud de lo dispuesto en el art. 6 del RGPD (EDL 2016/48900), la cesión de datos a los representantes sindicales de los trabajadores, pero siempre que dicha cesión fuera necesaria para garantizar el ejercicio de las funciones a estos atribuidas, así como proporcionada a la finalidad perseguida. Tal normativa, legitima la cesión de datos a los representantes sindicales, siempre que reúnan los requisitos exigidos por ella. En la litis, al tratarse de una empresa con menos de 250 trabajadores, se concluye que la empresa no estaba autorizada para la cesión de datos, por lo que no se produjo una violación de la libertad sindical de la parte actora.
VII. DIVULGACIÓN DE DATOS MÉDICOS DE LA PERSONA TRABAJADORA
Una de las cuestiones que mayor problemática plantea en la actualidad, dado el incremento exponencial de bajas laborales, es la derivada de la notificación de los datos relativos a las situaciones de salud de la persona trabajadora, en particular, los partes médicos sobre incapacidad temporal.
En tal contexto, resulta relevante el hito normativo que ha supuesto la reforma operada por el RD 1060/2022 de 27 de diciembre (EDL 2022/40661) por el que se regulan determinados aspectos de la gestión y control de los procesos de incapacidad temporal (con efectos de 1 abril de 2023), al dispensar de la obligación de trasladar el parte de baja a la empresa por la persona afectada, pasando a ser el envío telemático por parte del servicio público de salud, la mutua o la empresa colaboradora al INSS, que será quien comunique a las empresas los datos identificativos de carácter meramente administrativo relativos a los partes.
En la STEDH 15-7-14, asunto MDA / Radu (50073/07), se apreció la vulneración del art. 8 del CEDH (EDL 1979/3822), por la revelación por parte de un hospital público, a requerimiento de la parte empleadora, de la información de una persona trabajadora, sin su consentimiento, que incluía datos sensibles sobre su embarazo, su estado de salud y el tratamiento recibido.
Recalca el TEDH que, tanto el Derecho interno, como internacional, prohíben expresamente la divulgación de esa información, hasta el punto de que, incluso tales actuaciones, pueden ser constitutivas de delito y aunque existen excepciones a la regla de la no divulgación, ninguna de ellas era aplicable a la situación de la demandante, por lo que se declara la vulneración del art. 8 del CEDH (EDL 1979/3822).
En el plano nacional, la STC 11/1998, de 13 de enero (Rec. 2264/96) (EDJ 1998/11) declaró que el almacenamiento sin cobertura legal en soporte informático de los diagnósticos médicos del trabajador sin mediar su consentimiento expreso, constituía una desproporcionada restricción del derecho fundamental a la protección de datos personales.
En la SAN 150/2022, 16-11-22 (Rec 270/2022) (EDJ 2022/740885) se declaró la nulidad del sistema de remisión de partes de baja, al no ser proporcionado, puesto que en el mismo había que rellenar una serie de campos como: tipo de baja, duración fecha de inicio y expedición del parte y el motivo, extremos estos que no eran necesarios conforme a la legalidad vigente, art. 7 del RD 625/2014 (EDL 2014/110772).
Por último, indicar, que la protección de datos sobre la salud de las personas trabajadoras tuvo una especial afectación en el contexto Covid, señalando la AEPD en el informe 0017/2020, que la información acerca de tener anticuerpos de la Covid- 19, era un dato de la salud. En torno a su incardinación en la excepción del art. 9.2 del RGPD (EDL 2016/48900), la AEPD sostuvo que: “solicitar información sobre el estado de inmunidad frente a la Covid-19, iría más allá de las obligaciones y derechos específicos que impone a la empresa la legislación de Derecho laboral y de la seguridad y protección social, en particular del deber de proteger a los trabajadores frente a los riesgos laborales previsto en la LPRL”.
VIII. LA PROTECCIÓN DE DATOS EN EL USO DE CÁMARAS EN EL LUGAR DE TRABAJO
Uno de los núcleos de mayor litigiosidad en el marco de la relación laboral se refiere a la interpretación del art. 89 de la LO 3/2018, de 5 de diciembre (EDL 2018/128249), de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDYGDD), relativo al derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
La STS 23/2025 14-1-25 (Rcud. 5248/2023) (EDJ 2025/501787) en el recurso de casación para unificación de doctrina interpuesto por Stradivarius España SA, precisamente examina los requisitos que han de concurrir para entender cumplido el deber de información del uso de dispositivos de vigilancia en el lugar de trabajo, en virtud de lo dispuesto en el citado art. 89.
El TS sintetiza la jurisprudencia aplicable en relación con la protección de derechos fundamentales cuando se utilizan dispositivos de videovigilancia en la relación laboral.
El alto Tribunal recopila los principales pronunciamientos jurisprudenciales existentes sobre la cuestión litigiosa con cita ineludible de la STEDH (Gran Sala) de 17-10-19 (López Ribalda II), que rectificó y corrigió la previa sentencia del TEDH de 9-1-18 (López Ribalda I), en relación con la aplicación del test de idoneidad, necesidad y proporcionalidad de la sentencia Barbulescu y en la que se examina la compatibilidad de la vigilancia encubierta con el art. 8 del CEDH (EDL 1979/3822), alcanzando la siguiente conclusión: “si bien no puede aceptar que la mínima sospecha de robos u otras irregularidades cometidas por los empleados, pueda justificar la instalación de un sistema de videovigilancia encubierta por parte del empleador, la existencia de sospechas razonables de que se habían cometido graves irregularidades, y el alcance de los robos constatados en el presente asunto, pueden parecer una justificación seria”.
Asimismo, esta sentencia se hace eco de la doctrina constitucional, por un lado, la STC 39/2016, 3-3-16 (Rec. 7222-13) (EDJ 2016/20055) que parte de la consideración de que el derecho a la protección de datos no es ilimitado y por tanto, no todo incumplimiento del deber de información previa conlleva una vulneración del derecho fundamental a la protección de datos del art. 18.4 CE.
Por otro, recuerda los principales argumentos contenidos en la STC 119/2022 29-9-22 (Rec. 7211-2021) (EDJ 2022/709806), sobre la instalación de sistemas de videovigilancia y la utilización de las imágenes para fines de control laboral, en la que se indica que, aun cuando el tratamiento de los datos no exija el consentimiento expreso del trabajador, porque se entiende implícito por la mera relación contractual, no obstante, subsiste el deber de información del empresario, como garantía ineludible del citado derecho fundamental. Ello conlleva que tal deber ha de cumplimentarse de forma previa, expresa, clara y concisa. Sin embargo, la norma permite que, en caso de flagrancia de una conducta ilícita, el deber de información se tenga por efectuado mediante la colocación en lugar visible, de un distintivo, que advierta sobre la existencia del sistema, su responsable y los derechos derivados del tratamiento de los datos.
A la vista de tales pronunciamientos, concluye el TS que una ponderación de la proporcionalidad de la medida adoptada, puede excluir la vulneración de este derecho fundamental. De modo que, como las cámaras estaban ubicadas en lugar visible, en zona de trabajo -las cajas- y no en zonas de descanso y como el sistema era conocido por los trabajadores y la representación legal, se cumplía con la previsión normativa que requiere específicamente que el empleador proporcione información previa sobre la existencia de un sistema de videovigilancia con fines de control del cumplimiento de las obligaciones laborales, ergo el sistema de videovigilancia implantado por la empresa era legal, lo que conllevó la estimación del recurso de casación.
En la STS, Sala de lo Social 22-7-22 (Rec. 701/2021) (EDJ 2022/645949), nuevamente se interpreta el alcance del citado art. 89. Se trataba de un despido de una empleada de hogar que se basaba en la prueba de cámara oculta que permitió descubrir a la trabajadora intentando abrir la caja fuerte e imputándole la sustracción de dinero. Se legitima la validez de la prueba en atención a las circunstancias concurrentes, como la ubicación de la cámara y la vulnerabilidad de la empleadora, ajustándose al test de proporcionalidad, idoneidad y necesidad.
Asimismo, sobre el impacto del uso de cámaras en los centros de trabajo a efectos de prevenir y documentar las eventuales amenazas y agresiones que sufren las personas trabajadoras por determinados clientes, se pronuncia la STJUE 18-12-25 (C 422/24) (EDJ 2025/787178).
El litigio se circunscribe a determinar cuál es el alcance de la obligación de información de datos personales en el marco de las funciones de supervisión por parte de los revisores de autobús equipados con cámaras corporales que grababan a los pasajeros en los controles de billetes.
El TJUE concluye que los arts. 13 y 14 del RPDP deben interpretarse en el sentido de que, en una situación en la que se obtienen datos personales mediante las cámaras corporales que llevan los revisores en los transportes públicos, la información a los interesados se rige por el art. 13 de este Reglamento y no por su art. 14.
Ello implica que, como los datos se consideran recogidos directamente del interesado, la obligación de informar surge inmediatamente (art. 13 RPDP), en aplicación del principio de trasparencia directa derivada de la información que debe facilitarse, al ser datos personales obtenidos del interesado en el momento de su recogida, lo que lo hace incompatible con una videovigilancia encubierta, frente al art. 14, que alude a la información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado en aplicación del principio de transparencia indirecta o información diferida.
IX. LA PROTECCIÓN DE DATOS EN EL MARCO DE LAS COMUNICACIONES EN EL LUGAR DE TRABAJO
En el marco de los límites que deben ponderarse en cuanto a la fiscalización por la parte empresarial de las comunicaciones por los empleados, debe citarse como referente la STEDH 5-9-17 (Barbulesu II) dictada por la Gran Sala, que estimó el recurso del trabajador, frente a la sentencia de la Sala Cuarta del TEDH 12-1-16 (Barbulescu I), que entendió que no se había vulnerado el art. 8 del CEDH (EDL 1979/3822).
El TEDH concluyó que, las comunicaciones del solicitante en el lugar de trabajo estaban amparadas en los conceptos de vida privada y correspondencia. A tales efectos efectuó un test de ponderación de los requisitos exigidos en el control de las comunicaciones, por un lado, que la notificación de control de las comunicaciones fuera clara en torno a la naturaleza y contenido de la vigilancia y, por otro lado, que se informara previamente y se delimitara el grado de inclusión, ya que no es lo mismo monitorizar el flujo, que el contenido de las comunicaciones, así como el tiempo del control y las personas que tienen acceso a las mismas, en lo que ha pasado a denominarse el test de necesidad, idoneidad y proporcionalidad.
La STEDH 6-11-25, asunto GUYVAN contra UKRAINE (46704/16) (EDJ 2025/736965) se aborda el uso no profesional del móvil puesto a disposición por la empresa. La empresa inició una investigación ante las sospechas de uso no autorizado del dispositivo puesto a disposición de la persona trabajadora. La investigación suponía una fiscalización de las comunicaciones de la persona trabajadora investigada, a lo largo de un año. Los tribunales nacionales entendieron que no se trataba de datos personales, pero el TEDH difiere de tal parecer y concluye que se trataba de datos personales aun cuando fuera un teléfono asociado al trabajo
Además, consideró que los tribunales nacionales no habían realizado un examen adecuado conforme a los criterios que ya había fijado en su jurisprudencia, los criterios de “monitorización de comunicaciones laborales” similares a los de Bărbulescu, es decir, la ya enunciada notificación previa del empleado, proporcionalidad de la medida, finalidad legítima o alternativas menos invasivas, etc.
En consecuencia, aprecia la vulneración del derecho al respeto de la vida privada y familiar (art. 8 CEDH (EDL 1979/3822)), por falta de protección efectiva judicial frente a la medida de vigilancia y tratamiento de datos.
En materia de protección de datos en el marco de la fiscalización de las comunicaciones por la parte empresarial, también puede citarse la STEDH 28-11-17 asunto Antori and Murkon, o la STEDH de 22-2-18 asunto Libert.
En el plano nacional, cabe citar la STS 225/2024, 6-2-24 (Rec. 263/2022) (EDJ 2024/505099) que examina el recurso de la empresa interpuesto contra la sentencia de la AN que había estimado parcialmente la demanda del sindicato actuante declarando la nulidad de la comunicación efectuada por la empresa en cuanto a la nueva política de la empresa sobre la fiscalización y uso de los equipos informáticos, ordenadores, o mails puestos a disposición por la empresa, por vulnerar el art. 87 de la LOPDYGD que consagra el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
La comunicación empresarial cuya nulidad se pretende por dictarse sin previa intervención de la representación legal de los trabajadores, conminaba a los trabajadores a efectuar un uso exclusivamente profesional de los equipos informáticos proporcionados por la empresa, así como los correos corporativos, prohibiendo su uso para fines particulares, no relacionados con el desempeño de las funciones laborales encomendadas. La empresa advertía, asimismo, en su comunicación que la contravención de tales directrices supondría una transgresión de la buena fe contractual.
El análisis efectuado por la Sala IV parte del diferente alcance de los preceptos en liza, arts. 20.3 y 20 bis ET y 87 de la LOGPDYGD y concluye que, el citado art. 87, resulta una especificación, para un ámbito determinado, del genérico poder de dirección, que legalmente se explica porque, en tal ámbito, la intimidad del trabajador resulta especialmente sensible.
Por tanto, el alcance interpretativo que debe darse a la cuestión controvertida es que cualquier modificación de los criterios previamente establecidos a la entrada en vigor de la LOPD, o cualquier especificación de los mismos, ampliación o restricción, debe seguir las normas establecidas en la ley vigente. Y en este sentido, atendidos los términos literales de la instrucción cuestionada, la Sala entiende que resulta palmario que no estamos en presencia de un mero recordatorio, sino que la controvertida instrucción implicaba una modificación y, en todo caso, una actualización de los criterios que venían rigiendo en la empresa y que, consecuentemente, debieron ser elaborados cumpliendo la normativa vigente, lo que conllevó la desestimación del recurso de casación.
X. LA PROTECCIÓN DE DATOS EN EL USO DE LOS SISTEMAS DE GEOLOCALIZACIÓN
La Directiva 2024/2831 sobre el trabajo en plataformas digitales tiene por objeto mejorar las condiciones laborales de los trabajadores de plataformas y proteger los datos personales de las personas que realizan ese trabajo en plataformas, mediante el aumento de la transparencia, la equidad, la supervisión por humanos, la seguridad y la rendición de cuentas de los procedimientos de gestión algorítmica pertinentes en el trabajo en plataformas.
La STEDH 13-12-22, Florindo de Almeida Vasconcelos Gramaxo contra Portugal (26968/16) (EDJ 2022/755153) declara que no se vulneró el art. 8 del CEDH (EDL 1979/3822) en un despido basado en datos recogidos por el GPS instalado por la empresa con conocimiento del trabajador. Se concluye que el alcance en la intromisión de la vida privada era limitado debido a que los datos recogidos eran los estrictamente necesarios para el fin legítimo perseguido por la empresa.
La STSJ de País Vasco, 2-5-17 (Rec. 2689/2016) apreció que la prueba del mecanismo de geolocalización instalado por la empresa en el vehículo puesto a disposición del trabajador, superaba el test de idoneidad necesidad y proporcionalidad legitimando el despido del trabajador.
La AEPD en el expediente n.º PS/00209/2022 IMI Reference: A56 78728- 89995 impone una sanción de 550.000 euros a GLOVO por vulneración del RGPD en la utilización de aplicaciones que entrañaban el tratamiento de una amplia gama de datos personales: ubicación geográfica (en tiempo real); monitorización de cada paso de la entrega a través de una aplicación móvil que se descargaba en el móvil del repartidor; conservación sistemática de los datos sobre las comunicaciones intercambiadas con el operador de la plataforma a través de correos electrónicos, chats y llamadas de teléfono; tiempo de entrega (tanto estimado como real); rutas seguidas; cumplimiento de las órdenes; valoraciones de los repartidores por los clientes o vendedores; o puntuaciones de reputación.
XI. EL USO DE LOS DATOS POR LA INTELIGENCIA ARTIFICIAL EN EL MARCO DE LA RELACIÓN LABORAL
Como es sabido, la Inteligencia Artificial (en adelante IA), se basa en patrones de datos para generar conocimientos y predecir el comportamiento, utilizando algoritmos en una capacidad de procesamiento y tratamiento de grandes volúmenes de datos que está cambiando nuestra forma de entender las relaciones laborales. En cualquier caso, resulta evidente que su estudio excedería de los límites acotados en este artículo, ello no obstante sí conviene apuntar cómo estos sistemas pueden incurrir en sesgos, motivados por los históricos patrones de discriminación arraigados en el uso de datos desfasados. A tales efectos cabe ilustrar ese riesgo de discriminación con los siguientes ejemplos:
El TJUE 10-7-08 (C 54/07) en el asunto Feryn, apreció que la conducta de la empresa de no contratar a extranjeros, la mayoría de ellos eran personas negras, era discriminatoria, porque su aplicación de IA partía de la premisa de que sus clientes no querrían que esas personas instalasen puertas de seguridad.
El conocido como caso Amazon es otro ejemplo. La compañía comenzó a diseñar una herramienta de IA para automatizar y optimizar la búsqueda de talento para incorporarlo a la empresa. Tras su puesta en funcionamiento, la empresa comprobó que el software evaluaba a los candidatos para puestos técnicos con un sesgo en contra de las mujeres, porque la mayoría de candidatos previos habían sido hombres y la IA “aprendió” que ser hombre era un requisito para el puesto.
En Polonia, los jueces han declarado que el sistema de productividad de Amazon no constituye una causa válida de despido debido a su falta de transparencia.
Finalmente conviene señalar que el Reglamento de Inteligencia Artificial indica que deben prohibirse los sistemas de categorización biométrica basados en datos biométricos de las personas físicas, como la cara o las impresiones dactilares de una persona física, para deducir o inferir las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la raza, la vida sexual o la orientación sexual de una persona física.
XII. LA PROTECCIÓN DE DATOS EN LOS CANALES DE INFORMACIÓN
La Directiva 2019/1937 del Parlamento Europeo y del Consejo de 23-10- 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, establece normas relativas a la confidencialidad y tratamiento que debe darse a los datos del canal.
La L 2/2023, de 20 de febrero (EDL 2023/2455), reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la citada Directiva, articulando las reglas sobre protección de datos personales en los canales de información.
XIII. INDEMNIZACIÓN DE DAÑOS CAUSADOS POR UNA INFRACCIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS
La STJUE 25-1-24 (C-687/21) (EDJ 2024/501492) establece los criterios de reconocimiento, cuantificación y ponderación de los daños y perjuicios causados en casos de infracción del RGPD, en particular el art. 82 que se refiere al derecho a la indemnización y responsabilidad.
Por un lado, se declara el carácter compensatorio y no punitivo de la indemnización en el caso de daños y perjuicios inmateriales, sin que, a efectos de ponderación, deba tenerse en cuenta el grado de gravedad de la infracción cometida por el responsable del tratamiento.
Por otro lado, se establece que se debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le hubiera causado daños y perjuicios materiales o inmateriales.
En STJUE 20-6-24 (C-590/22, AT, BT y PS) (EDJ 2024/583979) se reiteran los siguientes criterios:
En primer lugar, la exigencia de acreditación del perjuicio, ya que la norma europea debe interpretarse en el sentido de que una infracción del Reglamento no basta, por sí sola, para fundamentar un derecho a indemnización en virtud de dicha disposición. El interesado también debe acreditar la existencia de un perjuicio causado por esa infracción, si bien no es necesario que tal perjuicio alcance cierto grado de gravedad.
En segundo lugar, en orden a fundamentar la indemnización, bastaría el mero temor padecido por una persona a que, como consecuencia de una infracción del Reglamento, sus datos personales pudieran haber sido divulgados a terceros, sin que fuera necesario la demostración efectiva, siempre que ese temor, junto con sus consecuencias negativas, resultara debidamente probado.
En tercer lugar, a efectos de cuantificación de la indemnización, no procede aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas, ni, atribuir a ese derecho a indemnización una función disuasoria.
CONCLUSIÓN
La protección de datos en el ámbito laboral se caracteriza por una singularidad marcada por la no exigencia del consentimiento del trabajador en el tratamiento de sus datos, dado que la base jurídica que lo legitima, suele ser la ejecución del contrato de trabajo o el cumplimiento de obligaciones legales por parte del empleador, No obstante, su alcance no es ilimitado y en todo caso, habrá de sujetarse a los principios de licitud, exactitud, transparencia y minimización de datos, cuyo control judicial se intensifica en ámbitos diversos de la relación laboral, que requieren de una confrontación entre la facultad de control y vigilancia de la parte empresarial mediante la implantación de sistemas de videovigilancia, control de comunicaciones, geolocalización, registro de jornada y salario, con el respeto a este derecho fundamental.
Este artículo ha sido publicado en la "Revista de Jurisprudencia" en febrero de 2026.
BIBLIOGRAFÍA
Nogueira Gustavino, M. Registro de jornada y alcance del derecho de información de los representantes de los trabajadores en relación con los datos personales de identificación de las personas trabajadoras. STS-SOC 1161/2024, de 24 de septiembre (EDJ 2024/695779). Anuario 2024 de Jurisprudencia Laboral (Estudio de 100 casos relevantes). 2025: 893-900.
Rivas Vallejo, P. La STEDH de 6 de noviembre de 2025 Caso Guyvan c. Ucrania. Jurisprudencia laboral. 2025 (10).
Díaz Rodríguez, J.M. El derecho fundamental del trabajador a la protección de sus datos personales. Trabajo y derecho; nueva revista de actualidad y relaciones laborales. 2024 (114).
Blázquez Agudo, E,M. Obligaciones de transparencia y protección de datos en el ámbito de las relaciones laborales. Labos: Revista de Derecho del Trabajo y la Protección Social. 2024 (1): 8-25.
Lousada Arochena, F. Inteligencia artificial y sesgos discriminatorios. Igualdad ES. 2024. (6): 97-123.
Montesdeoca Suárez, A. Estudios Latinoamericanos de Relaciones Laborales y Protección Social. 2024 (16): 59-72.
Serrano García, J. M. La protección jurídica de los datos de las personas trabajadoras. Bomarzo, 2022.
NOTAS
[1] El carácter fundamental de este derecho asimismo se consagra en los textos europeos, por un lado la Carta de los Derechos Fundamentales de la Unión Europea (2000/C 364/01, en adelante CDFUEAF); el Convenio Europeo de Derechos Humanos (en adelante CEDHAF).
[2] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024AF, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) 300/2008, (UE) 167/2013, 168/2013, 2018/858, 2018/1139 y 2019/2144 y las Directivas 2014/90/UE 2016/797 y 2020/1828 (en adelante, RIA) vid. anexo III.
[3] La STJUE 4-5-23 (C-60/22)AF señaló que el RGPD impone obligaciones activas tanto al responsable como al encargado del tratamiento, que deben adoptar medidas técnicas y organizativas adecuadas no solo para cumplir la normativa, sino también para poder demostrar dicho cumplimiento en todo momento.
[4] Sobre la consideración de imagen como dato personal puede consultarse el informe 0424/2009 de la AEPD.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación