Política de Protección de Datos en RRHH España

La Política de Protección de Datos en RRHH es, en España, el documento interno de obligado cumplimiento regulado por LOPDGDD Ley Orgánica 3/2018 (art. 88); RGPD (UE) 2016/679 art. 88, que fija las reglas y procedimientos que la organización debe observar.

El Artículo 88 tanto del RGPD como de la LOPDGDD autoriza a los Estados miembros y, mediante la negociación colectiva, a los empleadores y representantes de los trabajadores a especificar normas que regulen el tratamiento de datos personales de los empleados en el contexto laboral. Los artículos 87 a 91 LOPDGDD establecen normas específicas para el tratamiento de datos de empleados en España: el Artículo 87 regula el derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral; el Artículo 88 regula la monitorización por el empleador del uso de dispositivos digitales corporativos por los empleados; el Artículo 89 regula la videovigilancia en el lugar de trabajo; el Artículo 90 regula el seguimiento por geolocalización de los empleados; y el Artículo 91 regula el tratamiento de datos personales de los empleados a través de canales digitales de denuncia.

La Agencia Española de Protección de Datos (AEPD) ha publicado orientaciones específicas sobre el tratamiento de datos de empleados — incluyendo la Guía sobre relaciones laborales y protección de datos (2021) — y ha impuesto multas significativas a empleadores españoles por infracciones del RGPD en el contexto de RRHH, incluyendo 150.000 € contra Glovo, 300.000 € contra Bankia y 250.000 € contra Amazon España.

El ámbito de los datos personales de los empleados tratados por un empleador español típico conforme al Estatuto de los Trabajadores (RDL 2/2015) y la Ley General de la Seguridad Social (RDL 8/2015) es extenso: datos identificativos para el alta en la TGSS y las retenciones de IRPF en la AEAT; datos de nómina y cuenta bancaria para los pagos salariales; certificados médicos de incapacidad temporal; expedientes disciplinarios; evaluaciones de desempeño; imágenes de videovigilancia; registros de control de acceso; registros de uso de ordenadores e internet; datos de geolocalización; y datos generados a través de canales de denuncia o reclamaciones internas.

La Politica de Proteccion de Datos en RRHH en Espana se fundamenta en el Reglamento (UE) 2016/679 (RGPD), la Ley Organica 3/2018 de Proteccion de Datos Personales y Garantia de los Derechos Digitales (LOPDGDD) y el Estatuto de los Trabajadores (RDL 2/2015). El articulo 88 de la LOPDGDD regula especificamente el derecho a la intimidad en el uso de dispositivos digitales en el ambito laboral, y el articulo 89 establece el regimen de videovigilancia en el trabajo. La Agencia Espanola de Proteccion de Datos (AEPD) ha publicado guias especificas para el tratamiento de datos en el ambito laboral, incluidas orientaciones sobre el control del correo electronico corporativo, el uso de camaras de seguridad y la geolocalizacion de trabajadores. El principio de responsabilidad proactiva (accountability) del articulo 5.2 RGPD exige que el empleador no solo cumpla la normativa, sino que pueda demostrar dicho cumplimiento ante la AEPD en caso de inspeccion o reclamacion. Forms-legal.com proporciona esta Politica de Proteccion de Datos en RRHH como punto de partida; toda politica debe revisarse por el Delegado de Proteccion de Datos (DPO) o un abogado especializado antes de su implantacion.

La Política de Protección de Datos en RRHH en España es legalmente obligatoria para todos los empleadores españoles como parte de sus obligaciones de responsabilidad proactiva conforme al RGPD y específicamente para cumplir el deber de transparencia del Artículo 88 LOPDGDD.

La política es obligatoria cuando una empresa tiene personal y trata sus datos personales para nóminas, alta en la TGSS, retenciones de IRPF en la AEAT y administración de contratos de trabajo — todos los empleadores españoles con cualquier empleado deben disponer de una política de protección de datos en RRHH.

El documento es necesario cuando un empleador instala cámaras de videovigilancia en el lugar de trabajo conforme al Artículo 89 LOPDGDD — la política debe informar a los empleados de la vigilancia antes de que comience, indicar la finalidad (seguridad, verificación del cumplimiento contractual) y cubrir los plazos de conservación de las imágenes (máximo 30 días conforme a la LOPDGDD, ampliable para procedimientos disciplinarios).

Una Política de Protección de Datos en RRHH es obligatoria cuando un empleador monitoriza el uso de dispositivos digitales corporativos por los empleados conforme al Artículo 87 LOPDGDD — el Tribunal Constitucional (STC 170/2013) y el Tribunal Supremo han declarado que los empleados tienen una expectativa razonable de privacidad en las comunicaciones digitales en el lugar de trabajo a menos que el empleador les haya informado de forma clara y específica de que puede producirse la monitorización.

La política es necesaria cuando una empresa utiliza seguimiento GPS o geolocalización en vehículos corporativos conforme al Artículo 90 LOPDGDD — se requiere notificación previa a los empleados y, en su caso, consulta previa a los representantes de los trabajadores (comité de empresa o delegados de personal) conforme al Artículo 64 del Estatuto de los Trabajadores.

El documento es obligatorio cuando una empresa establece un canal interno de denuncias conforme a la Ley 2/2023 de protección de las personas que informen sobre infracciones normativas, que requiere un aviso de protección de datos para los denunciantes y las personas denunciadas.

La politica es especialmente urgente cuando la empresa implementa sistemas de control horario biometrico — huella dactilar o reconocimiento facial — ya que la AEPD ha establecido que estos datos son de categoria especial conforme al articulo 9 del RGPD y requieren base juridica reforzada y una Evaluacion de Impacto (EIPD) previa. Asimismo, es necesaria cuando se instalan sistemas de videovigilancia en el lugar de trabajo conforme al articulo 89 LOPDGDD, cuando se monitoriza el uso del correo electronico corporativo, o cuando se realiza geolocalizacion de vehiculos o dispositivos de empresa. El incumplimiento puede dar lugar a sanciones de la AEPD de hasta 20 millones de euros o el 4% del volumen de negocio anual mundial conforme al articulo 83.4 del RGPD. Forms-legal.com recomienda revisar y actualizar esta politica al menos anualmente y tras cualquier cambio significativo en los sistemas de tratamiento de datos de RRHH.

Una Política de Protección de Datos en RRHH válida en España conforme al Artículo 88 LOPDGDD y el RGPD debe contener los siguientes elementos esenciales para cumplir con los estándares de la AEPD y satisfacer los requisitos de información de los empleados.

Identidad del Responsable del Tratamiento: Nombre legal completo, NIF, dirección y datos de contacto de la empresa empleadora. Datos de contacto del DPD cuando se haya designado un Delegado de Protección de Datos.

Categorías de Datos de Empleados Tratados: Un inventario exhaustivo de las categorías de datos personales tratados en el contexto de RRHH, incluyendo: datos identificativos y de contacto; datos de nómina, bancarios y fiscales; datos de cotización a la Seguridad Social; datos de salud (certificados médicos, registros de vigilancia de la salud, grado de discapacidad); expedientes disciplinarios; datos de evaluación del desempeño; registros de formación; datos de control de acceso y videovigilancia; datos de uso de ordenadores e internet; datos de geolocalización; y datos de canales de denuncia.

Finalidades y Base Jurídica de Cada Categoría: La finalidad específica para la que se trata cada categoría de datos y la base jurídica del Artículo 6 RGPD — ejecución del contrato (Artículo 6.1(b)) para nóminas y gestión laboral; obligación legal (Artículo 6.1(c)) para las obligaciones con la TGSS y la AEAT; intereses legítimos (Artículo 6.1(f)) para cierta vigilancia de seguridad; y intereses vitales (Artículo 6.1(d)) para emergencias de salud laboral.

Disposiciones de Monitorización en el Lugar de Trabajo: Aviso específico conforme a los artículos 87 a 90 LOPDGDD — que cubre la monitorización de dispositivos digitales (Artículo 87), videovigilancia (Artículo 89) y geolocalización (Artículo 90).

Plazos de Conservación: Calendarios de conservación específicos para cada categoría de datos — nóminas (4 años conforme al Artículo 4.2(f) ET), registros de Seguridad Social (4 años), imágenes de videovigilancia (máximo 30 días conforme al Artículo 89.3 LOPDGDD).

Derechos de los Empleados: Declaración de todos los derechos del RGPD — acceso, rectificación, supresión, limitación, portabilidad y oposición — y el procedimiento para ejercerlos a través del departamento de RRHH o el DPD. Forms-legal.com proporciona este modelo de Política de Protección de Datos en RRHH para España como marco de partida.

Registro de Actividades de Tratamiento (RAT): la empresa debe mantener un RAT conforme al articulo 30 del RGPD documentando cada operacion de tratamiento de datos de RRHH: seleccion de personal, gestion de nominas, control de asistencia, videovigilancia y comunicaciones a la TGSS y AEAT. El RAT debe estar disponible para la AEPD en caso de inspeccion.

Delegado de Proteccion de Datos (DPO): las empresas que traten datos a gran escala o los organismos publicos deben designar un DPO conforme al articulo 37 del RGPD. El DPO actua como punto de contacto con la AEPD.

Evaluacion de Impacto (EIPD): cuando el tratamiento de datos de RRHH suponga un alto riesgo — datos biometricos, perfilado automatizado, geolocalizacion — debe realizarse una EIPD conforme al articulo 35 del RGPD antes del inicio del tratamiento. Forms-legal.com proporciona esta Politica de Proteccion de Datos en RRHH en Espana como punto de partida; siempre debe adaptarse a cada organizacion con asesoramiento especializado.

Procedimiento ante brechas de seguridad: la empresa debe contar con un protocolo documentado para detectar, notificar y gestionar brechas de seguridad que afecten a datos de RRHH conforme al articulo 33 del RGPD, que exige notificar a la AEPD en un plazo maximo de 72 horas desde el conocimiento de la brecha cuando esta suponga un riesgo para los derechos de los trabajadores. Si la brecha supone un alto riesgo, tambien debe comunicarse a los trabajadores afectados conforme al articulo 34 RGPD. Forms-legal.com proporciona esta Politica de Proteccion de Datos en RRHH en Espana como plantilla de partida; cada empresa debe adaptarla a su estructura organizativa, los sistemas de tratamiento de datos que utilice y las recomendaciones de la AEPD publicadas en aepd.es. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.