Cumplimiento

RGPD en Recursos Humanos: guía empresas 2026

RGPD recursos humanos: nóminas, selección, control laboral, geolocalización y vídeo. Bases jurídicas, plazos y sanciones AEPD 2025.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20266 min read

En una frase. El RGPD en RR. HH. se rige por la confluencia del Estatuto de los Trabajadores, la LOPDGDD (arts. 87-91 sobre derechos digitales laborales) y el RGPD; cada acción de control laboral debe superar el triple test de juicio de proporcionalidad del Tribunal Constitucional.

Puntos clave

  • Marco normativo: RGPD + LOPDGDD arts. 87-91 + ET + Convenio Colectivo aplicable.
  • Bases jurídicas habituales: ejecución contractual, obligación legal, interés legítimo (control proporcional).
  • Información obligatoria al empleado: política específica de protección de datos en RR. HH.
  • Geolocalización y videovigilancia laboral: requisitos especiales del art. 89-90 LOPDGDD.
  • Sanciones AEPD a empresas por temas laborales en 2025: 78 procedimientos por importe acumulado de 3,8 M EUR.

1. Información al empleado al inicio de la relación

Antes o en el momento de la contratación, el empleador debe informar conforme al artículo 13 RGPD sobre tratamientos relativos a la relación laboral. Documento habitual: política de protección de datos para empleados, anexa al contrato. Contenido mínimo:

  • Identidad del responsable y DPO si existe.
  • Categorías de datos tratados (identificativos, profesionales, salariales, sanitarios, biométricos si aplica).
  • Finalidades: nómina, formación, evaluación, prevención de riesgos, control de actividad, comunicaciones internas.
  • Bases jurídicas por finalidad.
  • Destinatarios: Seguridad Social, Agencia Tributaria, mutua, entidad bancaria, gestoría.
  • Plazos de conservación.
  • Derechos del trabajador.

2. Selección de personal

Tratamiento de CV y candidaturas:

  • Base jurídica: consentimiento del candidato (al enviar el CV).
  • Conservación: máximo 2 años para incorporación a procesos futuros, si se ha informado y el candidato no se opone (criterio AEPD).
  • Información: política específica para candidatos accesible desde el formulario.
  • Pruebas psicotécnicas y de personalidad: base contractual y consentimiento; resultado conservado en archivo cifrado.
  • Verificación de referencias y antecedentes: solo si proporcional y autorizado por el candidato.

La AEPD sancionó a una multinacional con 70.000 EUR en 2024 (PS/00204/2024) por conservar CVs sin límite temporal.

3. Datos sanitarios y prevención de riesgos

Los datos de salud son categoría especial (art. 9 RGPD). El tratamiento por el servicio de prevención se ampara en la obligación legal del art. 22 LPRL. Reglas:

  • Los resultados de vigilancia de la salud son confidenciales: la empresa recibe solo aptitud/no aptitud, no detalle clínico.
  • Datos de bajas: solo dato de duración y fecha, salvo cuando el diagnóstico es legalmente exigible.
  • Datos COVID o equivalentes: protocolo específico durante la pandemia, ahora limitado a obligaciones laborales generales.
  • Discapacidad declarada: voluntaria, salvo cuando da derecho a bonificaciones.

4. Control de actividad laboral: el triple test

El Tribunal Constitucional (STC 39/2016) y la jurisprudencia posterior exigen tres requisitos para validar cualquier medida de control:

  1. Juicio de idoneidad: la medida sirve al fin perseguido.
  2. Juicio de necesidad: no existe alternativa menos invasiva.
  3. Juicio de proporcionalidad estricta: el sacrificio del derecho es proporcional al beneficio.

Una medida de control sin superar el triple test es prueba ilícita y puede acarrear sanción AEPD adicional.

5. Videovigilancia laboral (art. 89 LOPDGDD)

Permitida para control del cumplimiento laboral con condiciones:

  • Información previa al trabajador y a sus representantes.
  • Cartel informativo visible.
  • Imagen y sonido grabado solo cuando proporcional.
  • Cámaras en zonas de descanso (vestuarios, comedor) prohibidas.
  • Conservación máxima: 30 días salvo procedimiento abierto.

El RGPD admite uso de grabación para sancionar incumplimientos flagrantes sin información previa solo en supuestos excepcionales (STC 39/2016 caso Bershka). En el resto de casos, la grabación obtenida sin información es nula.

6. Geolocalización laboral (art. 90 LOPDGDD)

Las empresas pueden usar geolocalización en vehículos o dispositivos profesionales para verificar el cumplimiento de la relación laboral. Requisitos:

  • Información expresa, clara e inequívoca a los trabajadores y a sus representantes.
  • Limitación a la jornada laboral.
  • Desactivación posible fuera de jornada cuando el dispositivo permite uso privado.
  • Política específica de uso.

Sanción AEPD a empresa de logística: 50.000 EUR en 2025 por geolocalización continuada 24/7 sin justificación.

7. Correo electrónico y dispositivos digitales (art. 87 LOPDGDD)

El empresario puede acceder al correo y dispositivos del trabajador con limitaciones:

  • Política de uso interna previa y conocida (digital workplace policy).
  • Información explícita de los criterios de uso aceptable.
  • Acceso proporcional, en presencia de representantes cuando posible.
  • Respeto del contenido personal claramente identificado.

Casos relevantes: STS 4ª, 8 febrero 2018; STC 170/2013. Los derechos digitales del art. 87 LOPDGDD establecen el marco actualizado tras la reforma de 2018.

8. Desconexión digital (art. 88 LOPDGDD)

Derecho del trabajador a no responder fuera de jornada. La empresa debe:

  • Aprobar una política interna de desconexión.
  • Negociarla con la representación legal de los trabajadores.
  • Formar al personal con responsabilidad sobre equipos.
  • Incluir referencia en el contrato.

La AEPD considera la falta de política de desconexión digital como agravante en sanciones por control laboral excesivo.

9. Sistemas biométricos en RR. HH.

Huella, reconocimiento facial o iris para control horario son tratamiento de categoría especial (art. 9 RGPD) tras la opinión del CEPD 9/2024. Reglas:

  • EIPD obligatoria.
  • Base jurídica restrictiva (no basta ejecución contractual).
  • Alternativa no biométrica disponible.
  • Negociación con representación legal de trabajadores.

Sanción AEPD reciente a empresa de seguridad: 30.000 EUR por sistema biométrico de fichaje sin EIPD.

10. Plazos de conservación de datos laborales

Categoría Plazo
Nóminas y cotizaciones 4 años (LGSS)
Datos fiscales del trabajador 4 años (LGT)
Contrato y modificaciones 4 años desde extinción
Prevención riesgos laborales Hasta jubilación del trabajador + 5 años
Vigilancia de la salud (datos sensibles) 10 años post-relación
Acoso, investigaciones internas Plazo prescripción + 1 año
Currículum no contratado 2 años máximo
Videovigilancia 30 días salvo procedimiento

11. Brechas de seguridad en RR. HH.

Categorías frecuentes: envío erróneo de nómina a tercero, acceso indebido al sistema de RRHH, robo de portátil con datos de empleados, ransomware sobre el servidor de personal.

Notificación AEPD obligatoria en 72 horas (art. 33 RGPD). Comunicación a los trabajadores afectados cuando el riesgo es alto. Procedimiento detallado en brecha de seguridad RGPD.

12. Auditoría RGPD en RR. HH.

Verificaciones mínimas:

  • Política específica de protección de datos para empleados firmada o entregada.
  • Cláusula RGPD en el contrato de trabajo.
  • Información al candidato en el formulario de selección.
  • Política digital workplace conocida y actualizada.
  • Política de desconexión digital negociada.
  • EIPD si hay biometría, geolocalización continuada o profiling.
  • Contrato de encargado con gestoría de nóminas.
  • Acceso al sistema de RRHH segmentado por rol.
  • Logs de acceso a datos sensibles.
  • Plan de respuesta a brechas con simulacro anual.

El checklist RGPD general debe complementarse con módulo específico de RR. HH.

FAQ

¿Puedo conservar el CV de un candidato no seleccionado?

Sí, hasta 2 años máximo, si se ha informado al candidato y este no se ha opuesto, para considerarlo en procesos futuros (criterio AEPD).

Solo con EIPD favorable, base jurídica robusta y alternativa no biométrica. El CEPD restringió notablemente su uso en la opinión 9/2024.

¿Qué hago si un empleado pide el borrado de sus datos?

Aplicar derecho de supresión a lo no legalmente exigido. Datos obligatorios (nómina, cotización) deben conservarse el plazo legal y se informa al trabajador.

¿Puedo geolocalizar el coche de empresa?

Sí, durante la jornada laboral, con información previa expresa al trabajador y a la representación legal, y con desactivación posible para uso privado.

¿La política de desconexión es obligatoria?

Sí. El art. 88 LOPDGDD la impone con negociación con representación legal de los trabajadores. Su ausencia es indicio de incumplimiento en sanciones AEPD.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →