Esta cuestión ha sido analizada recientemente por el Tribunal Supremo en la Sentencia 1302/2024, de 21 de noviembre de 2024, en relación con el contenido del registro retributivo y los límites derivados de la protección de datos.

Este tipo de situaciones no son excepcionales. En muchas empresas, la voluntad de cumplir con la transparencia retributiva convive con la duda de si se está exponiendo información sensible de la plantilla.

En este artículo te explicamos qué dice la normativa y qué criterio fija el Tribunal Supremo.

Te puede interesar: El reto del Plan de Igualdad: por qué muchas empresas aún no lo han implantado

El registro retributivo: ¿qué exige la normativa?

El registro retributivo está regulado en el artículo 28.2 del Estatuto de los Trabajadores y desarrollado por el Real Decreto 902/2020 sobre igualdad retributiva.

Esta normativa establece que las empresas deben disponer de un registro con los valores medios de las retribuciones de su plantilla, desagregados por sexo y por puestos de trabajo de igual valor.

Esto incluye:

• Media aritmética: es la media de los salarios dentro de un mismo grupo o puesto de trabajo. Permite tener una visión general del nivel retributivo.
• Mediana: es el valor central de los salarios. Es especialmente útil porque evita distorsiones cuando hay sueldos muy altos o muy bajos.
• Conceptos salariales: el registro no solo incluye el salario base, sino también otros conceptos como complementos, variables o percepciones extrasalariales.

El objetivo no es conocer el salario de cada persona trabajadora, sino detectar posibles desigualdades retributivas entre mujeres y hombres. Tal como recuerda el Tribunal Supremo, el registro retributivo se basa en datos agregados, no en información individualizada.

Te puede interesar: ¿Qué es el registro retributivo? Conoce las claves para una remuneración equitativa

El problema: cuando el dato deja de ser anónimo

En la práctica, sin embargo, esta lógica no siempre es tan clara.

Cuando se trabaja con grupos reducidos, la media aritmética o la mediana pueden permitir identificar indirectamente el salario de una persona.

Esto es habitual en puestos de trabajo con poca plantilla, categorías muy específicas y estructuras con baja representación de uno de los sexos. En estos casos, la transparencia puede entrar en conflicto con la protección de datos personales.

El criterio del Tribunal Supremo

Esta cuestión ha sido resuelta por el Tribunal Supremo en la Sentencia 1302/2024.

El Tribunal establece que el registro retributivo:

• Debe incluir valores medios, no salarios individuales.
• No puede incorporar datos que permitan identificar personas concretas.
• Debe respetar el principio de minimización de datos.

Por tanto, el Tribunal concluye que no existe una obligación legal que justifique facilitar datos que permitan identificar la retribución individual de una persona trabajadora.

¿Cuándo se deben incluir los datos?

Más allá del marco legal, la sentencia aporta un criterio práctico clave para las empresas.

Según el caso analizado, se pueden incluir medias y medianas cuando:

• Hay tres o más personas en cada sexo dentro del puesto de trabajo.

No se deben incluir datos cuando:

• Hay una sola persona de un sexo.
• Hay una persona de cada sexo.
• Hay solo dos personas del mismo sexo.

En estos supuestos, la información deja de ser agregada y puede permitir identificar salarios individuales, lo que vulneraría la confidencialidad.

Protección de datos y Plan de Igualdad: una relación directa

El registro retributivo forma parte del Plan de Igualdad, pero eso no significa que quede fuera de la normativa de protección de datos.

De hecho, todos los datos que se incluyen son datos personales y, por tanto, deben tratarse de acuerdo con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales.

Esto implica que las empresas deben:

• Tratar únicamente los datos necesarios: el registro debe contener información suficiente para analizar posibles desigualdades, pero sin incorporar datos innecesarios.
• Evitar la identificación directa o indirecta de personas: especialmente en grupos reducidos, donde una media o mediana puede revelar el salario de una persona concreta.
• Garantizar la seguridad de la información: estableciendo medidas que eviten accesos no autorizados o usos indebidos de los datos.
• Justificar cualquier tratamiento de datos personales: solo se pueden tratar datos cuando existe una base legal clara, como el cumplimiento de una obligación normativa.

El registro retributivo no legitima, por sí solo, el acceso a datos salariales individualizados, ya que la normativa exige trabajar con valores medios y respetar el principio de minimización de datos.

Te puede interesar: Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio

Las empresas deben revisar cómo están elaborando su registro retributivo y asegurarse de que los datos son realmente agregados, no se pueden identificar personas en grupos reducidos y se respeta el equilibrio entre transparencia y confidencialidad.

La falta de este equilibrio puede conllevar riesgos tanto en materia de igualdad como de protección de datos, ya sea porque el registro no permite analizar correctamente posibles desigualdades retributivas, o porque se facilitan datos que pueden llegar a identificar salarios individuales sin base legal suficiente, con el consiguiente riesgo de requerimientos o conflictos internos.

La transparencia retributiva es una obligación legal, pero no es absoluta. Según el Tribunal Supremo, debe convivir con el derecho a la protección de datos personales.

En ON4 te ayudamos a revisar tu registro retributivo y el Plan de Igualdad para garantizar que cumplen con la normativa vigente y se adaptan a la realidad de tu empresa.

Contacta con nosotros

La entrada Protección de datos en el Plan de Igualdad: ¿hasta dónde llega el registro retributivo? s'ha publicat primer a On4.

Este flujo constante de certificados, formaciones, DNI, aptitudes o datos de contacto es habitual en la Coordinación de Actividades Empresariales (CAE), y esto implica tratar y compartir datos personales entre diferentes organizaciones.

Si este intercambio no se controla adecuadamente, puede comportar riesgos de cumplimiento legal. Aquí es donde la CAE y la protección de datos se encuentran. Te explicamos qué dice la normativa y qué debe tener en cuenta cualquier empresa que participa en un proceso de CAE.

Te puede interesar: ¿Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio?

Marco legal de la CAE y la protección de datos

La Coordinación de Actividades Empresariales (CAE) es una obligación legal prevista en la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) y desarrollada por el Real decreto 171/2004. Su objetivo es garantizar que todas las empresas que trabajan en un mismo centro de trabajo compartan la información necesaria para prevenir riesgos y trabajar de manera segura.

Esta coordinación implica inevitablemente intercambiar documentación y datos personales del personal que accede al centro. Por ello, la CAE también tiene un impacto directo en la protección de datos y exige cumplir los requisitos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Te puede interesar: Documentación oficial del INSST sobre Coordinación de Actividades Empresariales

¿Qué tipo de datos se tratan en la CAE?

En un proceso de Coordinación de Actividades Empresariales, las empresas deben facilitar documentación para acreditar que el personal puede acceder y trabajar de manera segura dentro del centro.

Esto hace que la CAE implique el tratamiento de diversas categorías de datos personales:

• Datos identificativos: nombre, apellidos, DNI/NIE, pasaporte o fotografía.
• Datos laborales básicos: categoría profesional, empresa de origen, fechas de contratación o duración del servicio.
• Formación y acreditaciones: cursos de prevención de riesgos laborales, permisos, carnés profesionales o certificados requeridos para el puesto de trabajo.
• Aptitudes para el puesto de trabajo: habitualmente la conclusión del servicio de prevención (“Apta/Apta con restricciones”).
• Datos de contacto: teléfono o correo corporativo, si son necesarios para la coordinación.

El RGPD establece que solo se pueden tratar y compartir los datos estrictamente necesarios para cumplir la normativa de prevención de riesgos laborales (principio de minimización, art. 5.1.c RGPD).

¿Quién es responsable del tratamiento en un proceso de CAE?

No hay un único responsable del tratamiento por defecto. Cada empresa es responsable de los datos que trata y comparte, y por eso es esencial definir bien los roles:

1 | Empresa titular del centro de trabajo

Es responsable de los tratamientos de datos que lleva a cabo para verificar el cumplimiento de la normativa de prevención de riesgos y gestionar el acceso al centro.

2 | Empresas contratistas y subcontratistas

Son responsables de los datos de su propio personal y los comunican a la empresa principal cuando es necesario para cumplir las obligaciones de la CAE.

3 | Plataformas CAE o herramientas de gestión documental

Cuando se utiliza una plataforma digital para intercambiar documentación, esta actúa como encargada del tratamiento, tal como establece el artículo 28 del RGPD. Esto exige firmar el correspondiente contrato de encargo y verificar sus medidas de seguridad.

Errores habituales en la CAE que vulneran el RGPD (y cómo evitarlos)

En muchos centros de trabajo, la gestión de la CAE se hace de manera rápida y práctica… pero a menudo sin criterio de protección de datos. Algunos errores habituales son:

Una buena gestión de la CAE reduce riesgos, evita exposición de datos y hace el día a día mucho más ágil. Y, sobre todo, garantiza que las obligaciones de prevención y protección de datos se cumplen de manera segura y eficiente.

En ON4 te ayudamos en todo el proceso de regular la gestión de datos de manera ordenada, segura y totalmente alineada con la normativa vigente.

La entrada Coordinación de Actividades Empresariales (CAE) y protección de datos: ¿qué se debe tener en cuenta para cumplir la normativa? s'ha publicat primer a On4.

Organismos como la Agencia Española de Protección de Datos ya han elaborado documentos específicos para guiar a las organizaciones en este ámbito. Para más información, consulta la Nota técnica (PDF) de la AEPD sobre cómo proteger los datos en entornos de teletrabajo.

Y es que, cuando se trabaja fuera de la oficina —a través de redes domésticas, conexiones públicas o dispositivos sin la configuración adecuada—, los datos son más vulnerables a accesos no autorizados, pérdidas o ataques.

Todo ello hace imprescindible disponer de una política de gobernanza y uso de dispositivos corporativos que regule claramente las condiciones de uso y las medidas de seguridad aplicables, especialmente cuando estos equipos son utilizados por personal que accede o trata datos confidenciales.

¿Para qué sirve la política de uso de dispositivos?

El objetivo principal de esta política es prevenir riesgos asociados al uso indebido de los dispositivos —como por ejemplo pérdidas de información, accesos no autorizados, instalación de software malicioso o exposición a redes inseguras—, así como delimitar responsabilidades y garantizar el cumplimiento del marco legal.

La política de uso de dispositivos debería contemplar, entre otros:

• Los dispositivos que pueden ser asignados y sus condiciones de uso.
• Los criterios de seguridad aplicables: contraseñas, cifrado, actualizaciones, antivirus, etc.
• Los usos permitidos y prohibidos.
• Las responsabilidades de la persona usuaria.
• El procedimiento de devolución o sustitución del dispositivo.

En ausencia de una política clara, la empresa o entidad puede verse expuesta a incidencias de seguridad que afecten datos personales y, por lo tanto, a consecuencias legales y reputacionales graves. Estas medidas no solo son recomendables, sino que también están recogidas en el marco normativo vigente.

¿Qué marco normativo lo exige?

Disponer de una política de uso de dispositivos no solo es una buena práctica: es una obligación legal si se tratan datos personales. Esto queda recogido en dos normativas fundamentales:

• Reglamento (UE) 2016/679, General de Protección de Datos (RGPD): obliga a los responsables del tratamiento a aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo la protección frente a accesos no autorizados o la pérdida de datos. Una política de uso de dispositivos es una de estas medidas.
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): refuerza la obligación de establecer políticas internas y medidas que aseguren el cumplimiento del RGPD y protejan los derechos digitales del personal.

Estos dos textos son claros: las empresas deben controlar cómo se gestionan los datos personales dentro y fuera de sus instalaciones, también a través de los dispositivos que asignan.

Una guía para empezar con garantías

Para muchas empresas que quieren implantar una política de uso de dispositivos, una buena base es la guía elaborada por el Instituto Nacional de Ciberseguridad (INCIBE). Entre otros aspectos, la guía recomienda:

• Mantener un inventario actualizado de los dispositivos asignados.
• Establecer normas de configuración y protección (contraseñas, antivirus, cifrado…).
• Delimitar el uso profesional respecto del uso personal.
• Definir cómo se deben gestionar las incidencias (software malicioso, pérdida, robo).
• Formar al personal en relación con buenas prácticas y riesgos de seguridad asociados a los dispositivos.

Además de mejorar la seguridad de la información, tener una política basada en estas directrices demuestra el compromiso de la empresa o entidad con la protección de datos, tanto ante auditorías como en la gestión cotidiana de los riesgos. Si quieres ver un ejemplo real, puedes consultar la Política de uso de dispositivos móviles y PDA (Personal Device Assistant) del Cambridge College.

¿Cómo implementarla con garantías?

Si asignas portátiles, móviles u otros equipos a personas que acceden a datos personales o información sensible, es imprescindible disponer de una política clara y adaptada a la realidad y a los riesgos concretos de tu empresa y ser entendida y aceptada por todas las personas que harán uso de los equipos.

En ON4 te asesoramos en todo el proceso: desde el análisis de riesgos hasta la redacción, validación jurídica y formación del personal. Contacta con nosotros y protege la información de tu empresa, desde el dispositivo más pequeño hasta el sistema más complejo.

La entrada Política de uso de dispositivos: por qué es imprescindible si tu empresa trata datos personales s'ha publicat primer a On4.

Respondemos las preguntas más frecuentes para entender qué implica este cambio. 

¿Qué ha decidido la AEPD? 

La AEPD ha ordenado que se ponga fin a la comunicación y tratamiento de datos personales de empresarios autónomos provenientes del censo cameral. 

• Cámara de España debe dejar de ceder datos a Camerdata. 

• Camerdata debe dejar de tratar estos datos, eliminarlos y cesar la comunicación a empresas como Informa, Iberinform Internacional y Datacentric. 

• Informa, Iberinform Internacional y Datacentric deben suprimir los datos y no podrán volver a utilizarlos salvo que cuenten con una base legal clara del artículo 6.1 del RGPD. 

¿A quién afecta esta decisión? 

• A las empresas que utilizaban estos datos para comercializar con información empresarial. 

• A los empresarios autónomos, cuyos datos no podrán ser utilizados con fines comerciales sin su consentimiento o sin una base legal adecuada. 

¿Qué cambia? 

Algunas empresas utilizaban la información del censo de las Cámaras de Comercio con fines comerciales. A partir de ahora, los datos solo podrán usarse para la finalidad institucional prevista en la ley, como las funciones representativas de las Cámaras o la elaboración del censo electoral cameral. 

¿Por qué no pueden usarse con fines comerciales? 

• El censo cameral tiene un objetivo exclusivamente institucional y electoral, no está pensado como base de datos comercial. 

• En España no existe un marco normativo que autorice la reutilización abierta de estos datos, a diferencia de otros países de la UE. 

• El interés legítimo de las empresas no es suficiente si no está recogido en una ley ni se justifica con una evaluación rigurosa de proporcionalidad. 

¿Qué pasa con mis datos si soy autónomo? 

La AEPD protege tu derecho a que tus datos no se utilicen para fines que no podías prever. En la práctica, esto significa que: 

• No podrán comercializarse sin una base legal. 

• Solo se utilizarán para las funciones públicas de las Cámaras de Comercio. 

¿Se podrán utilizar en el futuro? 

Únicamente si se produce una reforma legal que lo autorice de manera expresa y con garantías de protección. Con la normativa actual, no está permitido. 

¿Qué deben hacer ahora las empresas sancionadas? 

• Dejar de tratar estos datos sin base legal. 

• Suprimir los datos que ya tengan. 

• Cumplir siempre con los principios del RGPD: transparencia, minimización, limitación de la finalidad y responsabilidad proactiva. 

¿Se pueden recurrir estas resoluciones? 

Sí. Las empresas sancionadas pueden presentar un recurso de reposición ante la misma AEPD o acudir directamente a la Audiencia Nacional. 

Estas resoluciones refuerzan la protección de los autónomos frente a usos comerciales no autorizados de sus datos. El mensaje de la AEPD es claro: sin base legal expresa, los datos personales no pueden utilizarse más allá de la finalidad institucional para la que fueron recogidos. 

Puedes consultar la resolución de la AEPD en este enlace: Tratamiento de datos personales de empresarios autónomos: legitimación e información 

La entrada ¿Quién ya no puede utilizar tus datos si eres autónomo?  s'ha publicat primer a On4.

Piénsalo bien. Redes sociales, portales de empleo, cuentas bancarias, suscripciones a plataformas digitales… Cada uno almacena información personal y datos sensibles. Pero, ¿qué pasa con todo ello cuando fallecemos? ¿Quién puede acceder? ¿Se eliminan automáticamente?

Para responder a estas preguntas, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece en su artículo 96 un marco legal para gestionar nuestro legado digital y determinar qué ocurre con nuestros datos después de la muerte.

¿Qué es la herencia digital?

La herencia digital se refiere al conjunto de bienes, cuentas y derechos digitales que una persona deja tras su fallecimiento. Incluye activos de valor económico, como criptomonedas y plataformas de monetización, y elementos de carácter personal, como perfiles en redes sociales, correos electrónicos o documentos almacenados en la nube. Su gestión es clave dentro del derecho sucesorio y la protección de datos personales.

Uno de los principales retos en este proceso es el acceso a las cuentas del fallecido. Muchas plataformas digitales restringen el ingreso sin un procedimiento legal adecuado, y sus políticas de privacidad no siempre contemplan con claridad qué sucede tras la muerte del usuario. Sin un testamento digital, los herederos pueden enfrentarse a obstáculos legales y técnicos, lo que podría traducirse en la pérdida de información valiosa o incluso de activos digitales con valor económico.

La importancia de la herencia digital es cada vez mayor, y algunos medios digitales ya han empezado a implantar soluciones para gestionarla. Un ejemplo es La Vanguardia, que se ha convertido en el primer diario en ofrecer a sus lectores la posibilidad de gestionar un Testamento Digital del Lector, asegurando que sus comentarios y contribuciones puedan ser preservados o eliminados según su voluntad.

Herencia digital y la LOPDGDD: qué dice la ley sobre el acceso a los datos

El artículo 96 de la LOPDGDD establece que los herederos o personas designadas por el fallecido pueden solicitar el acceso, rectificación o supresión de sus datos personales. Esto les permite cerrar cuentas, recuperar información o gestionar los activos digitales según la voluntad del difunto.

Sin embargo, la normativa impone ciertas restricciones:

• Si el titular dejó instrucciones específicas sobre sus datos, estas prevalecen.
• No se permite el acceso si el usuario lo prohibió expresamente en vida.
• En el caso de menores o personas con discapacidad, la gestión recae en sus representantes legales o herederos.

Además, en Cataluña, la Ley 10/2017 permite designar a un administrador digital, una figura clave para garantizar el cumplimiento de la voluntad del fallecido en la gestión de su legado digital.

Te puede interesar: El testamento digital en la nueva Ley Orgánica 3/2018

Importancia del testamento digital

Para evitar problemas en la gestión de la herencia digital, cada vez más expertos recomiendan la elaboración de un testamento digital. Este documento permite:

• Especificar qué debe hacerse con nuestras cuentas y datos tras el fallecimiento.
• Designar a una persona de confianza para gestionar nuestra herencia digital.
• Indicar qué servicios deben cerrarse y cuáles deben transferirse.
• Facilitar el proceso para los herederos, evitando conflictos y asegurando una transición ordenada.

El testamento digital no solo simplifica la gestión de los bienes digitales, sino que también protege la privacidad del fallecido y previene el uso indebido de sus datos personales. Sin una planificación adecuada, los herederos pueden encontrarse con barreras legales y técnicas que dificulten el acceso a cuentas importantes, como correos electrónicos, almacenamiento en la nube o, incluso, monederos de criptomonedas.

Además, muchas plataformas digitales tienen sus propias normativas sobre cuentas inactivas o de personas fallecidas. En algunos casos, esto puede derivar en la eliminación automática de cuentas, lo que podría suponer la pérdida de documentos personales, fotografías familiares y otros archivos de valor sentimental o económico.

Un testamento digital bien estructurado también ayuda a evitar disputas entre herederos sobre el destino de activos digitales. Esto es especialmente relevante en el caso de ingresos generados en plataformas digitales, derechos de autor o contenidos monetizados.

Por ello, la planificación del testamento digital es esencial. No solo garantiza que los deseos del fallecido se cumplan, sino que también reduce la carga emocional y administrativa de los herederos en un momento difícil.

Te puede interesar: Herencia 2.0. Explorando los límites legales del testamento digital

¿Cómo gestionar la herencia digital de forma efectiva?

Para asegurar que nuestros datos y activos digitales sean gestionados según nuestra voluntad, es fundamental seguir estos pasos:

1 | Haz un inventario digital

Elabora una lista detallada de todas tus cuentas, activos y servicios digitales, con sus respectivas credenciales de acceso. Si es posible, indica dónde se almacenan los archivos o datos importantes y qué se debe hacer con ellos tras el fallecimiento.

2 | Redacta un testamento digital

Este documento debe contener directrices específicas sobre qué hacer con cada cuenta: ¿Deben eliminarse, transferirse o mantenerse activas? ¿Qué ocurre con información confidencial o cuentas con valor económico? ¿Cómo se gestionarán los ingresos de plataformas digitales?

3 | Nombra un albacea digital

Designa una persona de confianza que se encargue de ejecutar tu testamento digital. Puede ser el mismo albacea de tu testamento tradicional o alguien con conocimientos en el ámbito digital.

4 | Revisa las políticas de cada plataforma

Algunas plataformas como Facebook, Google o Apple permiten designar un contacto de legado o establecer preferencias sobre qué sucede con la cuenta tras el fallecimiento del usuario. Consultar y configurar estas opciones puede facilitar la gestión posterior.

5 | Utiliza herramientas de almacenamiento seguro

Para proteger contraseñas y documentos importantes relacionados con la herencia digital, se pueden utilizar gestores de contraseñas o servicios de almacenamiento encriptado que permitan compartir el acceso de manera segura con los herederos o albaceas.

6 | Informa a los familiares y al asesor legal

Es clave que tus familiares o asesores de confianza sepan que existe un testamento digital y qué procedimiento deben seguir para ejecutarlo sin complicaciones.

7 | Actualiza regularmente el testamento digital

A medida que adquieras nuevos activos digitales o crees nuevas cuentas, revisa y actualiza tu testamento digital para que refleje tu situación actual.

Planificar la gestión de la herencia digital es clave para proteger nuestro legado online y asegurar que nuestros deseos se cumplan tras nuestra muerte.

Aún hay poca conciencia sobre la importancia de incluir los activos digitales en los testamentos tradicionales, lo que puede generar problemas para los herederos en el futuro. Gracias al artículo 96 de la LOPDGDD, la legislación española ofrece un marco que permite a los familiares gestionar el acceso y la eliminación de datos del fallecido.

Si quieres más información, no dudes en contactar con nosotras.

La entrada Testamento y herencia digital: cómo gestionar tus datos tras la muerte s'ha publicat primer a On4.

Imagina que un cliente te solicita información sobre tus servicios y, meses después, recibe un correo promocional tuyo sin haber dado su consentimiento. O que un trabajador ve su foto en la página web de la empresa sin que nadie le haya pedido permiso. Son situaciones más comunes de lo que parece y pueden derivar en sanciones importantes.

Para evitar riesgos innecesarios, es fundamental tener claro cómo gestionar correctamente los datos personales de clientes, trabajadores y colaboradores, según establece el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos.

A continuación, te detallamos los puntos clave para garantizar el cumplimiento normativo y proteger la información con la que trabajas.

¿Qué debes tener en cuenta al tratar datos personales?

Cuando se trata de información personal, no todo vale. Cada dato que recojas, almacenes o utilices debe estar justificado y protegido. Estos son los aspectos más importantes a considerar:

1 | Tratamiento de datos de clientes

Gestionar los datos de los clientes no solo implica tenerlos almacenados correctamente, sino también garantizar que su uso sea legítimo y transparente.

• Base de legitimación: La ejecución del contrato de Servicios justifica el tratamiento de los datos necesarios para la prestación del Servicio autorizado.
• Consentimiento: Si se quieren utilizar los datos para fines adicionales, como comunicaciones comerciales, envío de promociones, felicitaciones navideñas o invitaciones a eventos, es necesario obtener el consentimiento explícito del cliente.
• Duración del tratamiento: Los datos deben conservarse durante el tiempo necesario para la gestión del servicio y, posteriormente, solo durante el tiempo que exija la legislación fiscal o de responsabilidades legales.

Caso real: Un centro estético fue sancionado con 10.000 euros por publicar imágenes de una clienta sin su consentimiento. Un recordatorio claro de que, antes de compartir cualquier información personal, es imprescindible contar con la autorización correspondiente. Más información aquí.

2 | Tratamiento de datos laborales de los trabajadores

Las empresas tratan diariamente datos personales de sus empleados para su gestión laboral y administrativa. Sin embargo, esto no significa que puedan utilizarse sin control.

• Información y transparencia: Los trabajadores deben ser informados sobre qué datos se recopilan, con qué finalidad, quién tendrá acceso a estos datos y durante cuánto tiempo se conservarán.
• Legitimación: No es necesario el consentimiento del trabajador para tratar los datos laborales, ya que la base de legitimación es la ejecución del contrato laboral y el cumplimiento de las obligaciones legales (Seguridad Social, Hacienda, etc.).
• Seguridad y confidencialidad: Los datos de los trabajadores deben estar protegidos con medidas de seguridad adecuadas para evitar accesos no autorizados.

Caso real: La AEPD multó a Uniqlo con 270.000 euros por equivocarse con un PDF y enviar los datos personales y las nóminas de 447 empleados. Lee la noticia.

3 | Captación y uso de imágenes de los trabajadores y control laboral

La empresa debe gestionar con cuidado la captación y uso de imágenes y la supervisión de la actividad laboral, ya que pueden afectar la privacidad de los trabajadores.

• Videovigilancia: Para el control laboral mediante cámaras de seguridad, no se requiere el consentimiento del trabajador, pero debe proporcionarse información previa clara sobre la captación de imágenes. Su base de legitimación es el interés de la empresa en el cumplimiento de las obligaciones laborales.

Te puede interesar: Videovigilancia y protección de datos: ¿Cómo preservar la privacidad en un mundo cada vez más vigilado?

• Publicación de imágenes: En caso de que se quieran utilizar imágenes de los trabajadores para fines como la web de la empresa, redes sociales o vídeos corporativos, es imprescindible obtener el consentimiento del trabajador. Esto va más allá de los datos mínimos necesarios para llevar a cabo la relación laboral y, por tanto, requiere el consentimiento, al igual que el uso del teléfono móvil o correo electrónico personal del trabajador.

Te puede interesar: ¿Puedo añadir una persona a un grupo de WhatsApp sin su consentimiento?

• Control de dispositivos: Como medida excepcional, la empresa puede supervisar el ordenador o el móvil laboral de un trabajador solo si hay sospecha de incumplimiento de sus tareas y obligaciones laborales, habiendo informado previamente y siempre respetando su privacidad.

Te puede interesar: ¿Es legal controlar el ordenador o el móvil de un trabajador?

Caso real: Un despacho de abogados fue multado con 5.000 euros por no obtener el consentimiento expreso para publicar la fotografía de uno de sus abogados en la web. Consulta el cas aquí.

4 | Transferencia o comunicación de los datos

Los datos personales pueden compartirse con terceros bajo determinadas condiciones:

1. Sin necesidad de consentimiento: Cuando se comunican datos a asesorías, servicios de prevención de riesgos laborales (PRL) o administraciones públicas para cumplir con obligaciones legales.
2. Fusiones y adquisiciones: En casos de fusiones, absorciones o adquisiciones de empresas, los datos pueden transferirse sin necesidad de consentimiento, siempre garantizando su protección.
3. Cuándo sí es necesario el consentimiento: Por ejemplo, si la empresa quiere publicar el nombre o cargo de un trabajador en la página web o en la intranet corporativa, debe obtener su consentimiento previo.

¿Cuáles son los primeros pasos para asegurar el cumplimiento de la normativa de protección de datos?

Para garantizar el cumplimiento de la normativa, las empresas deben seguir estos pasos:

1. Determinar la necesidad del tratamiento de datos personales y su finalidad.
2. Escoger la base de legitimación más adecuada y, si es el consentimiento, asegurarse de que sea informado, libre, especifico, inequívoco y que pueda ser revocado.
3. Garantizar el derecho de información a los interesados, incluyendo la explicación de los derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y el derecho a no ser objeto de decisiones automatizadas.
4. Implementar las medidas de seguridad adecuadas según el nivel de riesgo identificado (bajo, medio o alto), para evitar accesos no autorizados o pérdidas de datos.

El cumplimiento de la normativa de protección de datos es esencial para evitar sanciones y garantizar la seguridad y confidencialidad de la información. Cada empresa debe asegurarse de que solamente trata datos personales con una justificación válida, aplicando medidas de seguridad adecuadas y respetando los derechos de los interesados. Además, protocolizar las actuaciones en materia de protección de datos y determinar el riesgo según la tipología de datos tratados, el volumen y el número de afectados permitirá garantizar el cumplimiento normativo y evitar posibles sanciones.

La protección de datos no solo es una exigencia legal, sino también un compromiso con la transparencia y la seguridad de la información que, a su vez, genera confianza entre clientes, trabajadores y colaboradores. Adoptar una cultura de protección de datos en la organización refuerza la reputación corporativa y minimiza riesgos frente a posibles sanciones o incidentes de seguridad.

La entrada ¿Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio? s'ha publicat primer a On4.

La domótica ha transformado nuestras casas en hogares más inteligentes y eficientes a través de dispositivos conectados que permiten controlar luces, cámaras de seguridad, termostatos y electrodomésticos desde nuestros teléfonos móviles o mediante comandos de voz. Sin embargo, la conectividad que facilita este control también trae consigo riesgos significativos para la seguridad de nuestros datos personales.

En este artículo, exploramos los principales riesgos de la domótica y compartimos algunas medidas para proteger tu privacidad.

¿Qué datos recopilan los dispositivos de domótica?

Los dispositivos de domótica recopilan una amplia gama de información sobre nuestras rutinas y hábitos diarios.

• Cámaras y sistemas de seguridad: Graban imágenes y vídeos que pueden revelar cuándo estamos en casa y cuándo no.
• Altavoces inteligentes: Capturan comandos de voz y, en algunos casos, almacenan conversaciones.

Te puede interesar: Lo que tu asistente de voz sabe y almacena sobre ti: cómo consultar qué conversaciones ha grabado, cómo borrarlas y cómo configurarlo para que no las guarde

• Termostatos y dispositivos de iluminación: Registran nuestras preferencias y horarios de uso.
• Electrodomésticos conectados: Monitorean el uso diario de frigoríficos, lavadoras o televisores. Esta información permite deducir aspectos de tu rutina diaria, como tus horarios o hábitos de consumo.

Esta información, aunque útil para personalizar servicios, puede ser vulnerable a ciberataques o incluso ser mal gestionada por los fabricantes, comprometiendo tu privacidad.

Uno de los casos más recientes es una vulnerabilidad detectada en la serie de robots aspiradores Ecovacs Deebot X2 que permitía a ciberdelincuentes controlar estos dispositivos de forma remota. Los atacantes podían espiar a los propietarios, manipular los robots e incluso emitir insultos a través de ellos.

5 riesgos principales de la domótica para tu privacidad

Aunque los dispositivos de domótica pueden hacer tu vida más fácil, también presentan riesgos significativos. Aquí te mostramos los más importantes:

1. Acceso no autorizado: Los ciberdelincuentes pueden acceder a los dispositivos si no están bien protegidos, lo que permitiría espiar o incluso manipular los sistemas​.
2. Uso indebido de datos: Algunos fabricantes pueden compartir tus datos con terceros, como anunciantes, sin informarte de manera clara ni pedir tu consentimiento explícito.
3. Actualizaciones de seguridad insuficientes: Muchos dispositivos no reciben actualizaciones de seguridad regulares, lo que los deja expuestos a ataques. Mantener el software actualizado es crucial para evitar vulnerabilidades​.
4. Rastreo de rutinas: Los dispositivos de domótica registran patrones de uso que podrían ser utilizados para rastrear el comportamiento del usuario o su rutina sin su consentimiento.​
5. Espionaje mediante dispositivos: Algunos métodos avanzados pueden captar conversaciones privadas a través de, por ejemplo, bombillas,​ como en el caso del espionaje mediante lámparas inteligentes.

Te puede interesar: ‘Comando Actualidad 5.0’ analiza si la domótica pone en riesgo la intimidad, en ‘¿Mi casa me espía?’

6 claves para proteger tu privacidad en un hogar inteligente

Para disfrutar de los beneficios de la domótica sin comprometer la privacidad, es fundamental seguir una serie de recomendaciones:

1. Elige fabricantes de confianza: Opta por dispositivos de empresas que ofrezcan garantías claras sobre la gestión de datos y políticas de privacidad​.
2. Configura correctamente los dispositivos: Cambia las contraseñas predeterminadas, desactiva funciones no esenciales (como la grabación constante de voz) y ajusta las configuraciones de privacidad para limitar la recopilación de datos​.
3. Fortalece tu red y cifrado: Protege tu red Wi-Fi con cifrado WPA3 y utiliza contraseñas fuertes. Considera el uso de una VPN para añadir una capa extra de seguridad​.
4. Actualiza regularmente el firmware: Asegúrate de mantener tus dispositivos al día con las últimas actualizaciones de seguridad para corregir vulnerabilidades​.
5. Controla qué compartes: Desactiva la recopilación de datos no esenciales y revisa periódicamente los permisos de los dispositivos para asegurarte de que no acceden a más información de la necesaria​.
6. Utiliza de sistemas de bloqueo y antivirus: Implementar sistemas de bloqueo con PIN o contraseñas para los dispositivos y utilizar programas antivirus puede prevenir ataques​.

Por otro lado, como recomienda la AEPD, es fundamental que los fabricantes y desarrolladores apliquen medidas de seguridad desde el diseño para proteger la privacidad en sistemas de domótica. Esto implica recoger solo los datos necesarios e informar claramente a los usuarios sobre su uso. Además, usar protocolos seguros, actualizar los dispositivos, establecer contraseñas robustas y gestionar la información de forma responsable ayuda a disfrutar de un hogar inteligente sin riesgos para tu privacidad. Puedes consultar más información en este enlace.

Por último, recuerda: la domótica puede transformar tu hogar, pero es importante no subestimar los riesgos para tu privacidad. Con las medidas adecuadas, podrás proteger tus datos y mantener un entorno más seguro.

La entrada ¿Es seguro un hogar inteligente? Riesgos de la domótica y cómo protegerte s'ha publicat primer a On4.

Así lo afirman numerosos estudios que señalan el acceso a contenido pornográfico en una franja de edad de entre los 9 y 11 años ante la falta de controles.

¿Qué dice la ley actualmente?

Si bien la Ley de Comunicación Audiovisual señala que los proveedores de servicios tienen que establecer y operar sistemas de verificación de edad para los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores, lo cierto es que, en la práctica, se ha optado en muchos casos por una simple “casilla de verificación de mayoría de edad”. Esto provoca:

• Por una parte, la imposibilidad de comprobación de la edad real del usuario.
• Y, por otro, el acceso indebido por parte de los menores de edad a contenidos no adecuados.

¿Cuál es la posible solución?

Ante esta situación, la AEPD (Agencia Española de Protección de Datos) ha ideado un sistema de verificación de edad que proteja a los usuarios menores a la vez que se garantice el acceso libre y universal a internet, tal como señala la LOPDGDD.

Los principales requisitos que tiene que cumplir la implementación de un sistema de verificación son los siguientes:

• Garantizar que no se producirá la identificación del menor, ni siquiera la publicidad de esta condición, así como que tampoco existirá un seguimiento, localización o perfilado de los usuarios.
• La identidad de la persona autorizada al acceso del contenido también tiene que ser anónima para el prestador de servicios.
• No puede haber una catalogación extensiva de “contenidos inadecuados”, sino que tiene que ser limitada y exigirse solo la verificación de edad para estos, para garantizar el libre acceso a todo el resto de información.
• El sistema de verificación de edad tiene que garantizar el ejercicio de la potestad parental.

¿Cómo funciona este sistema de verificación de edad?

Este sistema funcionará básicamente con dos aplicaciones de trabajo: la que se cree para verificar la identidad de forma fiable (intermediando DNI electrónico, certificado digital, etc.) y la aplicación que aloje los contenidos a los cuales se quiere acceder (juego en línea, red social, página web, etc.)

Una vez el usuario intente acceder a cualquiera de los recursos mencionados y catalogados como contenido inadecuado para menores, la app de verificación de la edad le proporcionará un código QR, por ejemplo, para que se pueda enlazar con la página o al servicio al que pretenda acceder. De este modo, el contenido solo se mostrará a quién haya obtenido la condición de “persona autorizada”.

El funcionamiento de la app de verificación, que ha obtenido la identificación fehaciente del usuario, tiene que impedir, mediante la correspondiente encriptación, que esta sea visible por parte del proveedor de servicios o de terceras entidades. Ni tan solo se facilitará la edad o la fecha de nacimiento efectiva, sino solo la condición de persona autorizada o no autorizada.

Sin embargo, el hecho de haber sido etiquetado como “persona no autorizada” para acceder al servicio no siempre tiene que implicar que sea un menor, sino que puede ser que sea alguien que no tenga instalada esta aplicación, que no se haya querido autentificar, etc.

¿Quién creará la aplicación de verificación de edad?

Según las FAQ de la AEPD, la FNMT (Fábrica Nacional de Moneda y Timbre), como entidad que puede acreditar la identificación de las personas, se ha comprometido a crear una aplicación que funcione con este esquema propuesto por la AEPD. Sin embargo, también se menciona que puede ser creado por entidades privadas y que tiene que garantizar su transparencia y auditoría.

¿Este sistema de verificación de edad sustituye el control parental?

Esta medida en ningún caso tendría que sustituir el control parental, sino que es un complemento para verificar que el acceso a contenidos se realiza de acuerdo con la edad con la que han sido clasificados. En cambio, el control parental permitiría utilizar otros parámetros como, por ejemplo, el horario de conexión de las apps, bloqueo de llamadas a números desconocidos, control de la geolocalización, etc.

Ahora que ya lo sabes, puedes explicarlo a los más pequeños. ¡Proteger los menores es responsabilidad de todos!

Enlaces de interés:

• Decálogo de principios: Verificación de edad y protección de personas menores de edad ante contenidos inadecuados
• Preguntas frecuentes (FAQ) sobre las pruebas de concepto (PoC) de sistemas de verificación de edad y protección de personas menores de edad ante contenido inadecuado
• Nota técnica: Descripción de las pruebas de concepto sobre sistemas de verificación de edad y protección de personas menores ante contenidos inadecuados

La entrada ¿Cómo proteger los menores del contenido adulto en internet? Hablamos sobre la verificación de edad s'ha publicat primer a On4.

¿Por qué?

Porque, además de poder perder validez con el paso del tiempo, contienen datos personales o información sensible y su acumulación puede suponer un problema para la empresa.

Según la Ley Orgánica de Protección de Datos (LOPDGDD), las empresas deben hacerse responsables de la confidencialidad de la información. Por este motivo, esta tipo de documentos no se pueden tirar a la basura, sino que se deben destruir correctamente y de manera legal.

La destrucción de los documentos conforme al RGPD

Desde 2018, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el proceso de destrucción de documentos que pueden contener datos personales o sensibles ha ganado importancia.

Te puede interesar: ¿Qué es y por qué tu empresa tiene que cumplir con la ley de protección de datos?

Y es que la destrucción de documentos confidenciales se debe realizar conforme a la normativa y las empresas pueden verse afectadas con graves problemas legales si no los destruyen de forma segura.

¿Qué documentos se tienen que destruir?

Los documentos que pueden contener datos confidenciales y, por tanto, deben destruirse son:

• Datos fiscales y números de cuentas bancarias sea de la empresa o de los clientes.
• Listado de clientes, proveedores, trabajadores de la empresa, etc., que contengan números de teléfono, direcciones, DNI, datos económicos…
• Operaciones financieras y comerciales como, por ejemplo, la declaración de la renta, datos bancarios, pagos de facturas…
• Documentos de desplazamiento como billetes de avión, de tren, etc., que contengan datos personales de la persona o de la entidad.

¿Cómo realizar la destrucción de los documentos?

Según indica la ley y la normativa vigente, una vez haya pasado un periodo de conservación de los documentos y que, por tanto, dejen de ser útiles, deben destruirse de manera segura todos aquellos que puedan contener datos personales. Si estos informes ya no son necesarios, es hora de eliminarlos. De esta manera, se garantiza que nadie pueda analizar o extraer datos privados de los documentos.

A la hora de realizar la destrucción documental, se puede hacer de tres formas diferentes:

1 | Destructora de papel

Cuando se trata de documentos de particulares, pymes, gestiones, etc., y, por tanto, el volumen de los documentos es pequeño, lo ideal es usar una destructora de papel. Con este aparato puede variarse la medida del folio cortado y asegurarnos de la eliminación segura de información privada y confidencial de los usuarios.

2 | Incinerar los documentos

Otra opción es incinerar los documentos, un método que garantiza la ilegibilidad de los datos. No se pueden quemar en cualquier sitio, sino que es necesario trasladarlos a unas instalaciones preparadas donde hacerlo correctamente.

3 | Empresas especializadas

En caso de tener un gran volumen de documentos para destruir, la mejor opción es contactar con empresas especializadas que entregan contenedores cerrados para depositar la documentación confidencial y llevan a cabo la destrucción en sus instalaciones cumpliendo todas las normas de seguridad.

No hacerlo correctamente puede suponer graves sanciones y, si todavía dudas, mira todos estos casos de abogados que han dejado al descubierto datos sensibles de sus representados. Uno de los casos con más difusión fue en 2020, cuando se encontraron bolsas llenas de documentos confidenciales sin destruir al lado de unos contenedores.

¿Qué es y qué información contiene un certificado de destrucción de documentación?

Las empresas que tratan con información confidencial (médica, legal, financias, etc.) deben contar con un certificado de destrucción de documentos confidenciales, como el que puedes ver en este enlace. El certificado de destrucción de documentos es un informe detallado de todas les etapas de destrucción de documentación que garantiza que la empresa ha destruido los documentos de forma legal.

Este certificado debe contener la siguiente información:

• Fecha de destrucción: detallar qué día se realizó la recogida de documentos y la fecha de su destrucción.
• Lugar de la destrucción y hora: para poder certificar que los documentos se han destruido correctamente, sea en la misma entidad o por parte de una empresa externa especializada en este ámbito.
• Método de destrucción y maquinaria utilizada: de esta forma, se garantiza que la destrucción de los datos se ha realizado de manera legal en las instalaciones donde se le ha dado el certificado al usuario y a la empresa.
• Nivel de corte del documento: indicar en qué medida se ha hecho el corte de la hoja (en caso del uso de una destructora de papel), de esta manera aseguramos que los datos de las terceras personas no se puedan recuperar.

7 beneficios de la destrucción de documentos confidenciales

Como empresa, y por ley, eres responsable de la confidencialidad de la información de tus clientes y proveedores. Ahora bien, ¿cuáles son los principales beneficios de la destrucción documental?

Te los explicamos:

1. Protección de datos personales: La destrucción segura de documentos confidenciales impide que la información confidencial (como los datos personales, detalles financieros, datos médicos, etc.) caiga en manos equivocadas. Esto es especialmente importante en el contexto actual, donde la fuga de información puede tener consecuencias devastadoras tanto para los particulares como para las empresas.
2. Cumplimiento de normativas: Con el aumento de las regulaciones sobre la protección de datos, como el RGPD en la Unión Europea, la destrucción adecuada de documentos ayuda a cumplir con estas leyes, evitando multas y sanciones.
3. Prevención de fugas de información: En un mundo donde la información es poder, proteger la confidencialidad mediante la destrucción de documentos ayuda a prevenir el espionaje corporativo y la fuga de información interna.
4. Reducción de riesgos de seguridad: Eliminando documentos que ya no son necesarios, reduces la cantidad de material susceptible de ser robado, perdido o utilizado con fines maliciosos.
5. Optimización del espacio de almacenamiento: La destrucción regular de documentos irrelevantes u obsoletos libera espacio de almacenamiento, tanto físico como digital.
6. Responsabilidad ambiental: Si la destrucción de documentos se realiza de manera ambientalmente responsable, como a través del reciclaje, también contribuye al compromiso de la empresa con la sostenibilidad.
7. Aumento de la confianza de los clientes: Cuando una empresa demuestra un compromiso firme con la protección de la información confidencial, mejora su reputación y gana confianza entre sus clientes.

Si te interesa conocer otros temas de protección de datos, en nuestro blog te hablamos sobre:

• ¿Es legal controlar el ordenador o el móvil de un trabajador?
• ¿Puedo añadir una persona a un grupo de WhatsApp sin su consentimiento?
• Videovigilancia y protección de datos: ¿Cómo preservar la privacidad en un mundo cada vez más vigilado?
• Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?
• Sharenting: ¿qué es y como pone en riesgo a nuestros hijos?

La entrada ¿Por qué es importante la destrucción de documentos confidenciales? s'ha publicat primer a On4.

Pero, ¿qué dice esta nueva guía y cómo hemos llegado aquí?

Te lo explicamos a continuación:

Antecedentes

Este año, el Consejo Europeo de Protección de Datos (CEPD), como órgano interpretativo del RGPD, ha consolidado directrices definitivas (Guidelines 5/2022) sobre el uso de las huellas y reconocimiento facial en el ámbito de seguridad pública. En esencia, estas directrices determinan que las operaciones de tratamiento consistentes en la identificación y la autenticación biométricas necesariamente tienen que ser consideradas tratamientos de categorías especiales de datos – es decir, datos más sensibles.

Te puede interesar: Datos biométricos: ¿Qué son y cómo tratarlos según la ley de protección de datos?

Antes de esta decisión, la AEPD argumentaba que la comparación de la identidad afirmada por un individuo (autenticación) no constituía un tratamiento de datos sensibles, ya que no se realizaba una identificación per se del sujeto (uno-a-varios), sino que solo se comprobaba que realmente era quien decía ser, tal como pasa cuando introducimos una contraseña después de nuestro usuario que ya nos identifica.

Después de la revisión de esta postura por parte del CEPD, el Informe 98/2022 del Gabinete Jurídico de la AEPD ya se apuntó este cambio en la aproximación al tratamiento de los datos biométricos, incidiendo particularmente en su aplicación en el ámbito laboral.

Pero, ¿qué ha dicho la AEPD exactamente?

Conoce la Guía de la AEPD sobre el uso de los datos biométricos para el control de acceso en el entorno laboral y no laboral

1 | Principio de minimización de datos

Siguiendo los preceptos de la normativa de protección de datos, hay que recoger solo los datos estrictamente necesarios para el objetivo perseguido.

Respecto a esto, la AEPD indica en su Guía que “los nuevos sistemas (biométricos) aumentan el detalle de la información recogida, permiten la posibilidad de recoger información sin la cooperación de la persona, a veces sin ser consciente” como, por ejemplo, la temperatura o la presión sanguínea.

Por lo tanto, el objetivo principal del registro de la jornada laboral tiene que centrarse en contabilizar las horas efectivamente trabajadas, pero no en el tratamiento de datos biométricos en sí mismo. Además, se tienen que priorizar, siempre que sea posible, alternativas menos intrusivas para los derechos y libertades de los trabajadores.

2 | Licitud del tratamiento

Para considerar lícito un tratamiento de datos, tenemos que disponer de una justificación bastante sólida para hacerlo (obligación legal, consentimiento del interesado, ejecución de contrato, etc.).

En cuanto al registro de la jornada laboral, a pesar de estar apoyado por el Real Decreto Ley 8/2019 y la posibilidad de pedir consentimiento para el uso de datos biométricos, la AEPD subraya:

• Actualmente, no existe ninguna ley en el Estado que exija explícitamente el uso de datos biométricos para el control de la jornada, así que esta razón no es suficiente para justificar el tratamiento.
• Del mismo modo, aunque se pida consentimiento, este puede considerarse inválido en el contexto laboral, donde no hay equilibrio de poder entre empresa y trabajador. Según la AEPD, si se ofrece al trabajador varias opciones de fichaje (huella o tarjeta magnética, por ejemplo) para conseguir un consentimiento libre y válido, se estará afirmando inevitablemente que existen otras opciones menos invasivas, y, por lo tanto, aplicará otra vez el principio de minimización de datos.

3 | Análisis de necesidad y proporcionalidad

En caso de existir alguna justificación (licitud) para recoger solo los datos biométricos esenciales (minimización), el tratamiento también tendría que superar el análisis de proporcionalidad y necesidad. Es decir, se tiene que demostrar que no hay ninguna otra alternativa más adecuada para lograr el objetivo propuesto, garantizando que la medida sea proporcionada respecto al impacto que tiene sobre los datos de carácter especial.

4 | Datos biométricos fuera del ámbito laboral

¿Y qué pasa en caso de tratamientos de datos biométricos para finalidades no laborales? La respuesta de la AEPD es simple: debemos atenernos a los mismos criterios.

Conclusión

Desde la óptica actual de la AEPD, se recomienda evitar el tratamiento de datos biométricos, especialmente en relación con el registro de jornada laboral. Esto se debe a que, en gran parte de los casos, no se encuentra una justificación adecuada o una base legal suficiente para la gestión de estos datos, considerados sensibles.

La entrada La AEPD publica una nueva guía sobre el uso de los datos biométricos s'ha publicat primer a On4.