- 1 diciembre 2025
- Posted by: Fenix Consultores
- Categoría: Protección de Datos
En el día a día de cualquier empresa surgen dudas sobre qué información se puede solicitar a un trabajador, qué límites marca la normativa y cuándo existe obligación de facilitar datos personales a la empresa.
La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente criterios actualizados sobre el tratamiento de datos en el ámbito laboral. En este artículo te explicamos, de forma práctica, qué puede pedir una empresa, qué no, cómo debe gestionarse esa información y qué riesgos existen si no se cumple el RGPD.
Este contenido está orientado a empresas, pymes y autónomos que gestionan personal y necesitan un marco claro para actuar con seguridad jurídica.
¿Qué se considera dato personal en el trabajo?
La AEPD recuerda que cualquier información que permita identificar a una persona es un dato personal.
Esto incluye:
- Nombre y apellidos
- DNI/NIE
- Dirección o datos de localización
- Teléfono o email
- Número de afiliación a la Seguridad Social
- Historial profesional
Y, además, existen categorías especiales de datos: salud, orientación sexual, afiliación sindical, opiniones políticas o convicciones religiosas.
Su tratamiento está prohibido salvo excepciones muy concretas previstas en la ley.
Datos que una empresa sí puede solicitar legalmente
En el marco de la relación laboral, la empresa solo puede solicitar los datos imprescindibles para cumplir sus obligaciones legales, contractuales y de Seguridad Social.
Los datos permitidos son:
- Nombre y apellidos
- Fecha de nacimiento
- Nacionalidad
- DNI/NIE
- Número de afiliación a la Seguridad Social
- Domicilio (si es necesario para comunicaciones oficiales)
- Información sobre discapacidad solo cuando sea relevante a efectos laborales o bonificaciones
- Cuenta bancaria (si el salario se abona por transferencia)
La base jurídica aquí no es el consentimiento, sino la ejecución del contrato y el cumplimiento de obligaciones legales (cotizaciones, nóminas, prevención de riesgos, etc.).
Datos que la empresa no puede exigir
La empresa no puede pedir datos que no sean necesarios para la relación laboral, especialmente si afectan a la esfera privada del trabajador.
Entre ellos:
- Usuarios de redes sociales o mensajería
- Perfiles en plataformas online
- Cesión de derechos de imagen “en blanco” o generalizada
- Información sobre vida personal o familiar no relacionada con el contrato
- Datos de salud no necesarios para PRL o incapacidad
- Contraseñas o accesos a perfiles personales
Forzar al trabajador a entregar datos sin base legal supone una infracción del RGPD.
¿Existe obligación de facilitar datos personales a la empresa?
Esta es una duda habitual entre trabajadores, pero también entre empresarios.
La respuesta es clara:
✔ Sí existe obligación cuando
- El dato es necesario para ejecutar el contrato.
- El dato es obligatorio por ley (cotización, fiscalidad, prevención de riesgos, formación obligatoria).
- El Convenio Colectivo lo exige.
Ejemplos:
- DNI y afiliación a la Seguridad Social
- Fecha de nacimiento
- Datos bancarios para nómina
- Certificados de formación obligatoria (PRL, fitosanitarios, alimentaria…)
- Datos necesarios para la vigilancia de la salud cuando existan riesgos laborales
✘ No existe obligación cuando
- No hay base legal ni contractual que justifique pedir ese dato.
- La información no es necesaria para la prestación laboral.
Ejemplos:
- Teléfono personal si el trabajador prefiere dar email
- Redes sociales
- Datos de familiares que no actúan como contacto de emergencia
- Certificados o historiales médicos no relacionados con el puesto
Datos de contacto: el trabajador elige
La empresa debe disponer de una vía de contacto, pero el trabajador decide qué dato facilitar:
Puede elegir entre:
- Domicilio
- Teléfono
La empresa no puede imponer uno concreto si existen alternativas válidas.
Derechos de los trabajadores según el RGPD
Los empleados conservan todos los derechos del RGPD, incluso en el ámbito laboral:
- Acceso
- Rectificación
- Supresión
- Limitación
- Oposición
- Portabilidad
- No ser objeto de decisiones automatizadas
La empresa debe responder a estas solicitudes en un máximo de 30 días.
¿Cuándo se necesita consentimiento en el trabajo?
Solo cuando no exista otra base legal, ni contrato, ni ley, ni convenio.
Ejemplos donde sí suele ser necesario:
- Publicación de imágenes en redes sociales
- Comunicación de datos a terceros sin obligación legal
- Participación en actividades voluntarias
El consentimiento debe ser libre, específico, informado y revocable.
¿Qué ocurre con los datos tras el fin de la relación laboral?
Al finalizar el contrato:
- Los datos se bloquean (no se usan).
- La empresa puede conservarlos solo durante los plazos legales:
- Fiscal: 4 años
- Laboral y Seguridad Social: hasta 5 años
- Tras ese periodo deben ser eliminados, salvo consentimiento para mantener contacto para futuras oportunidades.
En despidos colectivos, los datos pueden cederse a empresas de recolocación sin necesidad de consentimiento, siempre informando previamente al trabajador.
Consecuencias de pedir o tratar datos sin base legal
Para las empresas, solicitar o tratar datos sin justificación legal puede suponer:
- Multas de hasta 20 millones de euros o el 4% de la facturación anual
- Inspecciones y requerimientos por parte de la AEPD
- Reclamaciones de los trabajadores
- Pérdida de confianza interna
El RGPD es especialmente estricto en el ámbito laboral, por lo que conviene actuar con prudencia y tener un tratamiento documentado y justificado.
Cómo cumplir correctamente en tu empresa
Aquí tienes una guía práctica para pymes y autónomos:
✔ Solicita solo los datos imprescindibles
Nada más. Nada menos.
✔ Documenta la base legal
Contrato, ley, convenio… que quede por escrito.
✔ Entrega la información del artículo 13 RGPD
Política de privacidad adaptada al entorno laboral.
✔ Mantén un registro de actividades de tratamiento
Es obligatorio para empresas que gestionan personal.
✔ Forma a tus empleados y mandos intermedios
Muchos incumplimientos vienen de errores internos.
✔ Revisa los datos periódicamente
Y elimina o bloquea lo que no sea necesario.
Preguntas Frecuentes de empresas y trabajadores
¿Puede la empresa pedirme mi número de teléfono personal?
Puede pedir un medio de contacto, pero el trabajador puede elegir dar email o domicilio.
¿Tengo obligación de facilitar mis redes sociales?
No. La empresa no puede exigir accesos ni perfiles personales.
¿Puede la empresa pedirme informes médicos?
Solo la información estrictamente necesaria para PRL y siempre gestionada por el servicio de prevención.
¿Puede la empresa tratar mis datos sin mi consentimiento?
Sí, si existe base legal (contrato, ley, convenio). El consentimiento solo aplica a supuestos no obligatorios.
¿Qué debe hacer la empresa cuando ya no trabajo allí?
Bloquear los datos y conservarlos solo durante los plazos legales.
La gestión de datos personales en la empresa no es solo una cuestión de cumplimiento: es una garantía de seguridad jurídica tanto para la organización como para los trabajadores.
Tener claras las obligaciones, los límites y los procedimientos evita sanciones, conflictos y malentendidos internos.
Si necesitas ayuda para revisar tus protocolos de protección de datos, adaptar tus políticas o cumplir correctamente con la normativa laboral y de privacidad:
👉 En Fénix Consultores te acompañamos en todo el proceso, de forma clara, rápida y sin burocracia innecesaria.
