En la majoria de centres de treball on hi entren tècnics, subcontractes o empreses externes, la mateixa pregunta es repeteix: quins documents cal demanar i com s’han de compartir?
Aquest flux constant de certificats, formacions, DNI, aptituds o dades de contacte és habitual en la Coordinació d’Activitats Empresarials (CAE), i això implica tractar i compartir dades personals entre diferents organitzacions.
Si aquest intercanvi no es controla adequadament, pot comportar riscos de compliment legal. Aquí és on la CAE i la protecció de dades es troben. T’expliquem què diu la normativa i què ha de tenir en compte qualsevol empresa que participa en un procés de CAE.
Et pot interessar: Com garantir el compliment de la llei de protecció de dades en el teu negoci?
Marc legal de la CAE i la protecció de dades
La Coordinació d’Activitats Empresarials (CAE) és una obligació legal prevista a la Llei 31/1995 de Prevenció de Riscos Laborals (LPRL) i desenvolupada pel Reial decret 171/2004. El seu objectiu és garantir que totes les empreses que treballen en un mateix centre de treball comparteixin la informació necessària per prevenir riscos i treballar de manera segura.
Aquesta coordinació implica inevitablement intercanviar documentació i dades personals del personal que accedeix al centre. Per això, la CAE també té un impacte directe en la protecció de dades i exigeix complir els requisits del Reglament General de Protecció de Dades (RGPD) i de la Llei Orgànica 3/2018, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD).
Et pot interessar: Documentació oficial de l’INSST sobre Coordinació d’Activitats Empresarials
Quina mena de dades es tracten en la CAE?
En un procés de Coordinació d’Activitats Empresarials, les empreses han de facilitar documentació per acreditar que el personal pot accedir i treballar de manera segura dins del centre.
Això fa que la CAE impliqui el tractament de diverses categories de dades personals:
- Dades identificatives: nom, cognoms, DNI/NIE, passaport o fotografia.
- Dades laborals bàsiques: categoria professional, empresa d’origen, dates de contractació o durada del servei.
- Formació i acreditacions: cursos de prevenció de riscos laborals, permisos, carnets professionals o certificats requerits pel lloc de treball.
- Aptituds per al lloc de treball: habitualment la conclusió del servei de prevenció (“Apta/Apta amb restriccions”).
- Dades de contacte: telèfon o correu corporatiu, si són necessaris per a la coordinació.
El RGPD estableix que només es poden tractar i compartir les dades estrictament necessàries per complir la normativa de prevenció de riscos laborals (principi de minimització, art. 5.1.c RGPD).
Qui és responsable del tractament en un procés de CAE?
No hi ha un únic responsable del tractament per defecte. Cada empresa és responsable de les dades que tracta i comparteix, i per això és essencial definir bé els rols:
1 | Empresa titular del centre de treball
És responsable dels tractaments de dades que duu a terme per verificar el compliment de la normativa de prevenció de riscos i gestionar l’accés al centre.
2 | Empreses contractistes i subcontractistes
Són responsables de les dades del seu propi personal i les comuniquen a l’empresa principal quan és necessari per complir les obligacions de la CAE.
3 | Plataformes CAE o eines de gestió documental
Quan s’utilitza una plataforma digital per intercanviar documentació, aquesta actua com a encarregada del tractament, tal com estableix l’article 28 del RGPD. Això exigeix signar el corresponent contracte d’encàrrec i verificar les seves mesures de seguretat.
Errors habituals en la CAE que vulneren el RGPD (i com evitar-los)
En molts centres de treball, la gestió de la CAE es fa de manera ràpida i pràctica… però sovint sense criteri de protecció de dades. Alguns errors habituals són:
| Error habitual | Com fer-ho bé |
| Enviar DNI, aptituds o documents sensibles per correu electrònic sense control. | Centralitzar la documentació en un espai segur amb control d’accessos. |
| Demanar més dades de les necessàries (informes mèdics, dades excessives, etc.). | Definir un llistat intern amb la documentació mínima imprescindible. |
| Permetre que massa persones accedeixin a la mateixa carpeta o documentació. | Restringir accessos segons rol i mantenir registre d’accessos. |
| No informar el personal que les seves dades es compartiran amb tercers. | Incloure aquesta informació en comunicats interns o polítiques de PD. |
| No eliminar documentació antiga un cop finalitzat el servei o contracte. | Establir terminis de conservació i procediments clars d’eliminació. |
Una bona gestió de la CAE redueix riscos, evita exposició de dades i fa el dia a dia molt més àgil. I, sobretot, garanteix que les obligacions de prevenció i protecció de dades es compleixen de manera segura i eficient.
A ON4 t’ajudem en tot el procés de regulació de la gestió de dades de manera ordenada, segura i totalment alineada amb la normativa vigent.