En una frase. Una empresa de construcción trata datos personales de sus trabajadores y de los de sus contratistas a gran escala: el control de acceso a obra y la coordinación de actividades empresariales (CAE) implican una cesión masiva de datos laborales entre empresas que exige base jurídica, contratos y minimización, y la geolocalización de flotas y las cámaras en obra están sujetas a los derechos digitales laborales.
En una obra conviven promotora, constructora, subcontratas y trabajadores autónomos, y todos intercambian documentación laboral para acreditar la coordinación de actividades. Ese flujo, mal gestionado, es una cesión de datos sin control. Este artículo aterriza las obligaciones RGPD del sector de la construcción en 2026.
Puntos clave
- El control de acceso a obra y la CAE generan una cesión masiva de datos de trabajadores entre contratistas que necesita base y minimización.
- La documentación laboral (TC2, contratos, formación PRL, reconocimientos médicos) contiene datos personales y a veces de salud (art. 9).
- La geolocalización de flotas y maquinaria se rige por el art. 90 de la LOPDGDD: información previa y prohibición de monitorización encubierta.
- Videovigilancia de obra: cartel, 30 días, sin audio y con las garantías laborales de los arts. 89-90 LOPDGDD.
- Los reconocimientos médicos de vigilancia de la salud son datos del art. 9: el empresario recibe la aptitud, no el diagnóstico.
1. Coordinación de actividades empresariales y cesión de datos
La coordinación de actividades empresariales, exigida por la Ley 31/1995 de Prevención de Riesgos Laborales y el Real Decreto 171/2004, obliga a que las empresas concurrentes en una obra intercambien documentación para acreditar que sus trabajadores están dados de alta, formados y aptos. En la práctica, la contrata principal recopila de las subcontratas datos de decenas o cientos de trabajadores: DNI, número de la Seguridad Social, formación en PRL, aptitud médica.
Ese intercambio es lícito porque responde a una obligación legal de seguridad (art. 6.1.c RGPD), pero debe respetar la minimización: solo los datos necesarios para la coordinación, no el expediente laboral completo. La plataforma CAE que centraliza la documentación es un encargado del tratamiento y exige el contrato del artículo 28 RGPD. El marco general de los datos de empleados se detalla en la guía de RGPD en recursos humanos.
2. Documentación laboral y datos de salud
| Documento | Dato | Cautela |
|---|---|---|
| TC2 / altas Seguridad Social | Identificativos, cotización | Minimizar en la CAE |
| Contratos y nóminas | Laborales, económicos | No compartir con la contrata |
| Formación en PRL | Certificados | Solo acreditar, no el detalle |
| Aptitud médica (vigilancia de la salud) | Salud (art. 9) | Solo «apto/no apto», nunca el diagnóstico |
| Libro de subcontratación | Empresas y trabajadores | Base legal, acceso restringido |
El punto más delicado es la vigilancia de la salud: el reconocimiento médico lo realiza el servicio de prevención, y el empresario solo puede recibir la conclusión de aptitud, nunca los datos clínicos. Recibir o exigir el diagnóstico vulnera el art. 9 y el art. 22 de la Ley 31/1995.
3. Geolocalización de flotas y maquinaria
Los sistemas GPS en vehículos, grúas y maquinaria permiten localizar a los trabajadores que los manejan. El art. 90 de la LOPDGDD permite la geolocalización con fines de control laboral, pero exige informar previamente y de forma expresa a los trabajadores y a sus representantes sobre la existencia y características del sistema. La monitorización encubierta está prohibida, y el sistema no puede usarse fuera de la jornada ni para finalidades distintas de las informadas. El alcance de estos límites se explica en la guía sobre el derecho a la intimidad de los trabajadores.
4. Videovigilancia en obra
Las cámaras en la obra y el acopio de materiales protegen frente al robo, muy común en el sector. Reglas: cartel informativo, conservación máxima de 30 días, prohibición de audio y de grabar la vía pública. Si las cámaras captan a los trabajadores, se aplican además las garantías de los arts. 89-90 LOPDGDD: información previa y prohibición de instalarlas en zonas de descanso o vestuarios.
5. Promotoras, clientes y datos de compradores
Más allá de la obra, la constructora o promotora trata datos de sus clientes y compradores de vivienda: reservas, contratos de compraventa, datos financieros para la subrogación de hipoteca y, a veces, datos de la comunidad de propietarios en formación. La AEPD exige que estas cesiones —a la entidad financiera, a la notaría, a la gestora de la comunidad— tengan base jurídica y se limiten a lo necesario. Comprar bases de datos de potenciales compradores o ceder los datos de los adquirentes a terceros para marketing sin consentimiento son prácticas sancionables. La documentación comercial y precontractual debe conservarse solo durante los plazos de prescripción de las acciones, no de forma indefinida.
6. Registro, encargados y hoja de ruta
Todos estos tratamientos —personal propio, CAE, geolocalización, videovigilancia— deben constar en el registro de actividades de tratamiento, con sus bases, plazos y cesiones. Las plataformas CAE, la gestoría, el proveedor de nóminas y el servicio de prevención son encargados que exigen contrato del art. 28.
Automatizar el registro, los contratos de encargado y el circuito documental CAE conforme es precisamente donde una plataforma como Legiscope reduce el trabajo manual en empresas con muchas subcontratas.
- Base y minimización en el intercambio CAE.
- Contratos del art. 28 con plataforma CAE, gestoría y servicio de prevención.
- Aptitud médica sí, diagnóstico no.
- Geolocalización con información previa a trabajadores y representantes.
- Videovigilancia con cartel, 30 días y sin zonas de descanso.
- Registro de actividades y política de conservación. La checklist RGPD España sirve de guía general.
Véase también, para sectores con obligaciones de protección de datos similares: RGPD para transporte y logística, RGPD para asociaciones y ONG y RGPD para ayuntamientos.
Preguntas frecuentes
¿Puede la contrata principal pedir todos los datos de los trabajadores de la subcontrata?
Solo los necesarios para la coordinación de actividades: identidad, alta en la Seguridad Social, formación en PRL y aptitud médica. No puede exigir el expediente laboral completo, las nóminas ni datos ajenos a la finalidad de seguridad. Rige la minimización.
¿Puedo instalar GPS en los vehículos y máquinas de mis operarios?
Sí, con fines de control laboral, pero informando previamente y de forma expresa a los trabajadores y a sus representantes (art. 90 LOPDGDD). No se admite la monitorización encubierta ni el uso fuera de la jornada o para finalidades distintas de las comunicadas.
¿Puede la empresa acceder al reconocimiento médico de sus trabajadores?
No al contenido clínico. El servicio de prevención realiza la vigilancia de la salud y solo comunica al empresario la conclusión de aptitud («apto/no apto»). Recibir o exigir el diagnóstico vulnera el art. 9 RGPD y la Ley de Prevención de Riesgos Laborales.
¿Quién es responsable de los datos en la plataforma CAE?
Cada empresa es responsable de los datos de sus propios trabajadores, y la plataforma que centraliza la documentación actúa como encargada del tratamiento. Es obligatorio firmar el contrato del art. 28 RGPD con el proveedor de la plataforma.
Conclusión
En la construcción, el riesgo de protección de datos no está tanto en el cliente como en el intercambio de datos laborales entre empresas concurrentes. La coordinación de actividades, la geolocalización y la videovigilancia son los tres focos. Aplicar la minimización en la CAE, informar antes de geolocalizar, separar aptitud de diagnóstico y firmar los contratos de encargado convierten un flujo caótico de documentación en un circuito defendible.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial