¿Qué recomienda la AEPD para los tratamientos de datos en el proceso de selección?
- Autor: José Juan Candamio Boutureira
- Materia: Laboral
- Fecha: 19/05/2021

La gestión de datos personales en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las personas trabajadoras son los temas más sensibles y que en la práctica habitual generan mayor problemática en relación con la protección de datos en el ámbito laboral, lo que impulsó al legislador a abordar mediante la Ley de Protección de Datos y Garantías de Derechos Digitales la garantía de los derechos digitales, mediante una serie de preceptos con especial relevancia en las relaciones laborales:
- Derecho a la intimidad y uso de los dispositivos digitales en el ámbito laboral (artículo 87).
- Derecho a la desconexión digital en el ámbito laboral (artículo 88).
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo (artículo 89).
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90).
- Derechos digitales en la negociación colectiva (artículo 91).
La AEPD ha publicado una guía con recomendaciones para la aplicación de la LOPDGDD y RGPD en la selección y contratación, distintos aspectos de la relación laboral, vigilancia de la salud, registro de jornada o canal whistleblowing entre otros. El documento «La protección de datos en las relaciones laborales», se orienta a responsables y encargados del tratamiento de datos personales pretendiendo servir de orientación sobre el contenido del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (en adelante (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) sobre aspectos de la actividad laboral asociados a los “derechos digitales”.
Dentro de las 80 páginas que componen la Guía no vinculante destacamos:
SELECCIÓN Y CONTRATACIÓN
Utilizando como base jurídica el art. 6.1.b) del RGPD, la Agencia nos indica una serie de cautelas en el tratamiento de datos personales durante la fase previa a la contratación, es decir, en el proceso de selección:
- Principios de minimización y limitación de la finalidad: únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada
- Modelo tipo para el currículo: Es conveniente contar con un procedimiento para su entrega por las personas candidatas, ya que ello permite no sólo informar adecuadamente, sino también definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad, etc. Si el currículo se presenta directamente por la persona candidata sin habérsele solicitado, deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se han conocido las condiciones en las que se desarrollará el tratamiento.
- Anuncio o convocatoria pública del puesto ofertado: debería incluirse en ella la información del art. 13 del RGPD.
- El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
- La empresa es responsable de la custodia de la documentación entregada por la persona candidata.
CUESTIÓN
¿Cómo tratar el informe de la vida laboral?
La AEPD es conocedora de que los empleadores solicitan el informe de la vida laboral a las personas candidatas durante el proceso de selección. Sobre este aspecto:
a) La empresa no está legitimada para obtener ese informe directamente de la Seguridad Social.
b) El consentimiento no es una base jurídica válida en este caso, pues no es completamente libre para la persona trabajadora. La empresa podría acreditar un interés legítimo para solicitar el informe de vida laboral, a los efectos de comprobar la veracidad y la experiencia que la persona candidata refleja en su solicitud.
c) El informe que eventualmente se entregue no necesariamente debe ser completo, sino adaptado al interés legítimo que el empleador demuestre (principio de minimización de datos).
JURISPRUDENCIA
STS, rec. 6188/1996, de 31 de octubre, ECLI:ES:TS:2000:7922
Se consideran datos personales las impresiones o valoraciones subjetivas de quienes llevan a cabo el proceso de selección), por lo que debe garantizarse la transparencia en el tratamiento de esos datos, incluyendo la posibilidad del ejercicio de los derechos de acceso, rectificación, oposición y supresión.
SELECCIÓN DE PERSONAL Y REDES SOCIALES
Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, se recalca por parte del organismo que las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato.
La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales y respetando el derecho a ser informada sobre ese tratamiento de la persona trabajadora.
Con base en el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Artículo 29, la empresa no está legitimada para solicitar «amistad» a personas candidatas ni la información que éste comparta con otras personas a través de las redes sociales.
ENTREVISTAS DE TRABAJO
Los datos obtenidos mediante las respuestas de una entrevista, directamente o mediante deducciones (por ejemplo, creencias religiosas o afiliación sindical o política), no pueden ser objeto de tratamiento si no se dispone de una base jurídica (datos necesarios para la ejecución del contrato, interés legítimo o consentimiento).
Se recuerda en este punto la penalización como infracción administrativa muy grave en la Ley sobre Infracciones y Sanciones en el Orden Social, aprobado por Real Decreto Legislativo 5/2000, de 4 de agosto (TRLISOS) de la solicitud de datos de carácter personal en los procesos de selección, dando lugar a discriminaciones contrarias al principio de igualdad.
UTILIZACIÓN DE AGENCIAS DE COLOCACIÓN, EMPRESAS DEDICADAS A LA SELECCIÓN DE PERSONAS TRABAJADORAS, O ETTS.
En relación con la responsabilidad del tratamientos de datos se diferencia entre agencia de colocación y ETT:
- La agencia de colocación localizará a las personas candidatas interesadas en ese puesto y la base jurídica del tratamiento será el art. 6.1.b) del RGPD, al ser necesario para la celebración del contrato de trabajo, y no el consentimiento. Una vez que desaparece esta base jurídica que legitima el tratamiento de datos, éstos deberán ser destruidos o devueltos al responsable del tratamiento.
- Las empresas de trabajo temporal (ETT) serán responsables del tratamiento, pues son empleadoras directas de las personas trabajadoras.
En aquellos casos en que las agencias de colocación y empresas de selección contacten con las personas candidatas antes de disponer de ofertas de empleo concretas, y por tanto sin un contrato como encargadas del tratamiento previamente celebrado con otra empresa, serán consideradas responsables del tratamiento de los datos de la persona candidata.
Por último, será necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos.
TOMA DE DECISIONES BASADAS EN TRATAMIENTO AUTOMATIZADO
Como recuerda la AEPD, el RGPD prohíbe la toma de decisiones basadas «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» cuando produzca «efectos jurídicos en el interesado o le afecte significativamente de modo similar». Es decir, cuando las decisiones para la celebración o ejecución de un contrato se lleven a cabo por esta vía ha de ser tratada como una excepción a las regla general y debe ser interpretada restrictivamente.
"El procedimiento debe contemplar algún mecanismo de intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y, en su caso, impugne la decisión. Asimismo, tendrá derecho a recibir una explicación de la decisión tomada después de tal evaluación (considerando 71 del RGPD). Para ser considerada como intervención humana, el responsable del tratamiento debe garantizar que cualquier supervisión de la decisión sea significativa, en vez de ser únicamente un gesto simbólico.
Debe llevarse a cabo por parte de una persona autorizada y competente para modificar la decisión. Como parte del análisis, debe tener en cuenta todos los datos pertinentes."
Con base jurídica en el art. 35.3 del RGPD, se entiende que el diseño e implementación del algoritmo deberá realizarse una evaluación de impacto.
Recordar en este punto al reciente «Ley riders» obligando al suministro de información a los sindicatos sobre los algoritmos y los sistemas de inteligencia artificial que determinen las condiciones laborales.
DATOS ESPECIALMETE SENSIBLES
El art. 4.15 del RGPD, cataloga como datos especialmente protegidos los datos personales «relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». Matizándose por la AEPD:
- Reconocimientos médicos (art. 9.2.h) del RGPD): el tratamiento de datos con fines de «medicina preventiva o laboral» y «evaluación de la capacidad laboral del trabajador no requiere el consentimiento. Se recuerda que una persona solicitante de empleo sólo puede ser interrogada sobre su estado de salud y/o ser examinado médicamente para indicar su idoneidad para el empleo futuro o cumplir los requisitos de la medicina preventiva.
- Test psicotécnicos o psicológicos: el tratamiento de datos obtenidos exige el consentimiento de la persona afectada. Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la base jurídica para el mismo, por tratarse n datos especialmente sensibles, por lo que exigen medidas para garantizar la privacidad y la confidencialidad reforzadas. La persona candidata deberá ser informada, teniendo derecho a acceder a los resultados y conocer los criterios de selección utilizados por la empresa.
CONSERVACIÓN DE DATOS EN CASO DE NO CONTRATACIÓN
Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos, por lo que sería necesario su consentimiento para un futuro tratamiento (por ejemplo, incorporación a una bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo. En caso contrario, debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales.
FUENTE: Guía «La protección de datos en las relaciones laborales». AEPD. Mayo 2021
REAL DECRETO LEGISLATIVO 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social. VIGENTE
Boletín: Boletín Oficial del Estado Número: 189 Fecha de Publicación: 08/08/2000 Fecha de entrada en vigor: 01/01/2001 Órgano Emisor: Ministerio De Trabajo Y Asuntos Sociales
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal) DEROGADO
Boletín: Boletín Oficial del Estado Número: 298 Fecha de Publicación: 14/12/1999 Fecha de entrada en vigor: 14/01/2000 Órgano Emisor: Jefatura Del Estado
-
Sentencia SOCIAL Nº 2800/2018, TSJ Andalucia, Sala de lo Social, Sec. 1, Rec 2260/2017, 10-10-2018
Orden: Social Fecha: 10/10/2018 Tribunal: Tsj Andalucia Ponente: Sanchez Andrada, Jesus Num. Sentencia: 2800/2018 Num. Recurso: 2260/2017
-
Sentencia SOCIAL Nº 388/2019, TSJ Madrid, Sala de lo Social, Sec. 2, Rec 160/2019, 24-04-2019
Orden: Social Fecha: 24/04/2019 Tribunal: Tsj Madrid Ponente: Jimenez Gentil, Jacob Num. Sentencia: 388/2019 Num. Recurso: 160/2019
-
Sentencia SOCIAL Nº 283/2020, TSJ Castilla y Leon, Sala de lo Social, Sec. 1, Rec 249/2020, 17-09-2020
Orden: Social Fecha: 17/09/2020 Tribunal: Tsj Castilla Y Leon Ponente: Renedo Juarez, Maria Jose Num. Sentencia: 283/2020 Num. Recurso: 249/2020
-
Sentencia Social Nº 287/2016, TSJ Canarias, Sala de lo Social, Sec. 1, Rec 949/2015, 14-04-2016
Orden: Social Fecha: 14/04/2016 Tribunal: Tsj Canarias Ponente: Garcia Marrero, Maria Carmen Num. Sentencia: 287/2016 Num. Recurso: 949/2015
-
Sentencia SOCIAL Nº 206/2020, JSO Oviedo, Sec. 1, Rec 149/2020, 14-07-2020
Orden: Social Fecha: 14/07/2020 Tribunal: Juzgado De Lo Social - Oviedo Ponente: Maria Del Pilar Muiña Valledor Num. Sentencia: 206/2020 Num. Recurso: 149/2020
-
Incidencia de la protección de datos de las personas trabajadoras en el ámbito laboral
Orden: Laboral Fecha última revisión: 21/05/2021
La gestión de datos personales en el área de los recursos humanos, la prevención de los riesgos laborales, los controles empresariales, los canales de denuncias internas o «Whistleblowing», y las relaciones con la representación legal de las p...
-
La protección de datos para los profesionales del derecho
Orden: Administrativo Fecha última revisión: 15/02/2022
Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Perspectiva del Tribunal Constitucional sobre la videovigilancia en el trabajo
Orden: Laboral Fecha última revisión: 19/05/2021
Perspectiva del Tribunal ConstitucionalEl órgano jurisdiccional ha intentado ponderar el posible derecho por el que el empresario podría instalar y utilizar medios de captación y grabación de imágenes frente al respeto del derecho a la intimida...
-
Incidencia de la LOPDGDD en el tratamiento de los datos relativos a la salud de los trabajadores
Orden: Laboral Fecha última revisión: 18/05/2022
Existen diferentes datos sensibles en la prevención de riesgos laborales que deben ser custodiados de acuerdo con lo que indica el RGPD y la LOPDGDD para proteger la legitimidad de la persona trabajadora. En relación con el cumplimiento del RGPD ...
-
Modelo básico de consentimiento para el tratamiento de datos. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO]Teléfono de contacto: [NÚM_TLF]- Correo electrónico: [CORREO_ELECTRÓNICO]Dirección: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CONSENTIMIENTO EXPRESO PARA EL TRATAMIENTO DE DATOS DE CAR...
-
Modelo informativo de uso de huella digital. Control de registros laboral. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO]Teléfono: [NÚM_TLF] - Correo electrónico: [CORREO_ELECTRÓNICO]Dirección postal: [DIRECCIÓN]Delegado de protección de datos: (1)Asunto: USO DE DATOS BIOMÉTRICOS PARA EL CONTROL LABORAL Att....
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE PRESTACIÓN DE SERVICIOS COMO ENCARGADO DE TRATAMIENTO EN EL ÁMBITO MÉDICO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y ...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 01/06/2022
-
Caso práctico: ¿Se considera un dron una cámara de videovigilancia a efectos de la protección de datos?
Fecha última revisión: 07/06/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa normativa aplicable a la instalación de cámaras de seguridad es variada: por un lado, es de aplicación la existente en relación con la...
PLANTEAMIENTOUna empresa que se dedica a operar con drones quiere saber si se les ha de dar el mismo tratamiento que a las cámaras de videovigilancia o no, toda vez que en las grabaciones pueden aparecer personas, matrículas de vehículos, etc.RESP...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018