En la mayoría de centros de trabajo donde entran técnicos, subcontratas o empresas externas, la misma pregunta se repite: ¿qué documentos se deben pedir y cómo se deben compartir?
Este flujo constante de certificados, formaciones, DNI, aptitudes o datos de contacto es habitual en la Coordinación de Actividades Empresariales (CAE), y esto implica tratar y compartir datos personales entre diferentes organizaciones.
Si este intercambio no se controla adecuadamente, puede comportar riesgos de cumplimiento legal. Aquí es donde la CAE y la protección de datos se encuentran. Te explicamos qué dice la normativa y qué debe tener en cuenta cualquier empresa que participa en un proceso de CAE.
Te puede interesar: ¿Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio?
Marco legal de la CAE y la protección de datos
La Coordinación de Actividades Empresariales (CAE) es una obligación legal prevista en la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) y desarrollada por el Real decreto 171/2004. Su objetivo es garantizar que todas las empresas que trabajan en un mismo centro de trabajo compartan la información necesaria para prevenir riesgos y trabajar de manera segura.
Esta coordinación implica inevitablemente intercambiar documentación y datos personales del personal que accede al centro. Por ello, la CAE también tiene un impacto directo en la protección de datos y exige cumplir los requisitos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Te puede interesar: Documentación oficial del INSST sobre Coordinación de Actividades Empresariales
¿Qué tipo de datos se tratan en la CAE?
En un proceso de Coordinación de Actividades Empresariales, las empresas deben facilitar documentación para acreditar que el personal puede acceder y trabajar de manera segura dentro del centro.
Esto hace que la CAE implique el tratamiento de diversas categorías de datos personales:
- Datos identificativos: nombre, apellidos, DNI/NIE, pasaporte o fotografía.
- Datos laborales básicos: categoría profesional, empresa de origen, fechas de contratación o duración del servicio.
- Formación y acreditaciones: cursos de prevención de riesgos laborales, permisos, carnés profesionales o certificados requeridos para el puesto de trabajo.
- Aptitudes para el puesto de trabajo: habitualmente la conclusión del servicio de prevención (“Apta/Apta con restricciones”).
- Datos de contacto: teléfono o correo corporativo, si son necesarios para la coordinación.
El RGPD establece que solo se pueden tratar y compartir los datos estrictamente necesarios para cumplir la normativa de prevención de riesgos laborales (principio de minimización, art. 5.1.c RGPD).
¿Quién es responsable del tratamiento en un proceso de CAE?
No hay un único responsable del tratamiento por defecto. Cada empresa es responsable de los datos que trata y comparte, y por eso es esencial definir bien los roles:
1 | Empresa titular del centro de trabajo
Es responsable de los tratamientos de datos que lleva a cabo para verificar el cumplimiento de la normativa de prevención de riesgos y gestionar el acceso al centro.
2 | Empresas contratistas y subcontratistas
Son responsables de los datos de su propio personal y los comunican a la empresa principal cuando es necesario para cumplir las obligaciones de la CAE.
3 | Plataformas CAE o herramientas de gestión documental
Cuando se utiliza una plataforma digital para intercambiar documentación, esta actúa como encargada del tratamiento, tal como establece el artículo 28 del RGPD. Esto exige firmar el correspondiente contrato de encargo y verificar sus medidas de seguridad.
Errores habituales en la CAE que vulneran el RGPD (y cómo evitarlos)
En muchos centros de trabajo, la gestión de la CAE se hace de manera rápida y práctica… pero a menudo sin criterio de protección de datos. Algunos errores habituales son:
| Error habitual | Cómo hacerlo bien |
| Enviar DNI, aptitudes o documentos sensibles por correo electrónico sin control. | Centralizar la documentación en un espacio seguro con control de accesos. |
| Pedir más datos de los necesarios (informes médicos, datos excesivos, etc.). | Definir un listado interno con la documentación mínima imprescindible. |
| Permitir que demasiadas personas accedan a la misma carpeta o documentación. | Restringir accesos según rol y mantener registro de accesos. |
| No informar al personal de que sus datos se compartirán con terceros. | Incluir esta información en comunicados internos o políticas de PD. |
| No eliminar documentación antigua una vez finalizado el servicio o contrato. | Establecer plazos de conservación y procedimientos claros de eliminación. |
Una buena gestión de la CAE reduce riesgos, evita exposición de datos y hace el día a día mucho más ágil. Y, sobre todo, garantiza que las obligaciones de prevención y protección de datos se cumplen de manera segura y eficiente.
En ON4 te ayudamos en todo el proceso de regular la gestión de datos de manera ordenada, segura y totalmente alineada con la normativa vigente.