¿Puede una empresa acceder a la información corporativa de un empleado de baja médica?

Escrito por Víctor López Jr.

Cuando un trabajador inicia una baja médica, muchas empresas se enfrentan de inmediato a una situación incómoda pero habitual: contratos, documentación administrativa o archivos esenciales quedan concentrados en una sola persona. En ese momento surge la duda inevitable: ¿puede la empresa acceder a esa información sin vulnerar el RGPD?

La respuesta no es binaria. No todo acceso es ilegal, pero tampoco todo vale. El problema no está tanto en el acceso en sí, sino en cómo se hace, con qué finalidad y bajo qué límites.

Acceder no es lo mismo que invadir

Uno de los errores más frecuentes es asumir que el RGPD prohíbe cualquier acceso a la información vinculada a un trabajador ausente. Esto no es cierto. El Reglamento no impide que una empresa acceda a información corporativacuando existe una necesidad organizativa real. Lo que sí sanciona es el acceso indiscriminado, desproporcionado o carente de justificación, especialmente cuando se invade la esfera personal del trabajador o se revisan contenidos ajenos a su función profesional.

La clave está en distinguir entre información corporativa necesaria y contenidos personales o irrelevantes.

Cuándo puede ser legítimo el acceso

Desde el punto de vista de protección de datos, el acceso puede considerarse legítimo cuando responde a una finalidad clara, como garantizar la continuidad del servicio, cumplir obligaciones legales o atender requerimientos administrativos inaplazables. También es relevante que exista una necesidad real, por ejemplo, cuando no hay otra persona con acceso a documentación esencial y la actividad de la empresa no puede detenerse.

Otro elemento determinante es que el acceso se produzca en un entorno corporativo, es decir, en carpetas, drives o sistemas que son titularidad de la empresa, no en cuentas privadas del trabajador. A ello debe añadirse que el acceso sea puntual, limitado a lo estrictamente necesario y que no exista un uso posterior de la información para fines distintos a los que justificaron la actuación.

Cuando estos criterios se respetan, no estamos ante un acceso “no autorizado” en sentido RGPD, sino ante una medida organizativa excepcional, razonable y defendible.

Lo que nunca debería hacerse

Tan importante como saber cuándo se puede acceder es tener claro cuándo no. Acceder por simple curiosidad, revisar contenidos personales, mantener accesos abiertos de forma indefinida o actuar sin ningún tipo de criterio interno son prácticas que sí pueden generar problemas serios. El RGPD no exige parálisis, pero sí exige control y responsabilidad.

El papel real del Delegado de Protección de Datos

En este tipo de situaciones suele aparecer otra confusión habitual: pensar que es el Delegado de Protección de Datos quien decide. No es así. El DPO asesora, evalúa riesgos y recomienda medidas, pero no sustituye a la dirección de la empresa ni asume decisiones organizativas. La empresa decide y asume la responsabilidad; el DPO acompaña técnicamente y supervisa.

Confundir estos planos suele ser el origen de muchos conflictos innecesarios y de expectativas mal planteadas.

Prevención antes que conflicto

La mayoría de estos problemas se evitarían con una gobernanza mínima del dato: sistemas de carpetas compartidas por roles y no por personas, protocolos claros para bajas médicas o ausencias prolongadas y una revisión periódica de accesos. No es una cuestión tecnológica ni burocrática, sino de organización y previsión.

Conclusión

El RGPD no está diseñado para bloquear la actividad empresarial, sino para obligar a actuar con criterio, proporcionalidad y trazabilidad. Acceder a información corporativa en situaciones excepcionales puede ser perfectamente legítimo, pero hacerlo sin asesoramiento adecuado puede convertir una decisión razonable en un riesgo evitable.

En LBO Legal prestamos asesoramiento recurrente en materia de protección de datos y gobernanza del dato a empresas privadas con estructuras complejas y alto volumen de tratamiento, entre ellas Blue Banana Brand, Editorial MAD o Yago School lo que nos permite trasladar a nuestros clientes criterios prácticos y realistas, alineados con la operativa diaria del negocio y no con interpretaciones teóricas alejadas de la realidad empresarial.

Víctor López
Director de LBO Legal

Víctor López Jr.

35 años. Víctor López es fundador de LBO Legal y especialista en Derecho de las Nuevas Tecnologías y Derecho Internacional Privado. Tras su paso por escuelas de Londres y Edimburgo, se formó en la Universidad Pablo de Olavide donde estudió dos Masters Universitarios: Derecho de las Nuevas Tecnologías y Derecho Patrimonial Privado en el Mercado Global.

https://www.lbo.legal
Anterior

Caso práctico: cómo estructurar incentivos en startups sin generar un problema fiscal futuro
Siguiente

Mi asesoría ha hecho mal las nóminas o ha presentado mal los impuestos. ¿Qué debo hacer?