Durante años, el portal del empleado ha sido una herramienta de gestión administrativa relativamente tranquila desde el punto de vista de la protección de datos. La consulta sobre la nómina, la solicitud de vacaciones y la descarga de certificados, por poner algunos ejemplos, movilizaban datos personales pero con un perfil de riesgo conocido y acotado. La Directiva de Transparencia Retributiva cambia esa ecuación y no porque modifique el RGPD, sino porque introduce nuevas obligaciones que las empresas deberán implementar en algún canal y el portal del empleado es la solución tecnológica más probable para hacerlo de forma escalable. Cuando ese canal empiece a gestionar comparativas salariales desglosadas por sexo y categoría profesional, el perfil de riesgo cambiará cualitativamente.
Qué obliga a hacer la Directiva
La Directiva 2023/970 introduce, entre otras obligaciones, el derecho individual de cualquier trabajador a solicitar información sobre su nivel retributivo y sobre los niveles salariales medios desglosados por sexo para las categorías de empleados que realizan el mismo trabajo o un trabajo de igual valor. Para responderle, la empresa debe facilitar esa información en un plazo razonable y, como máximo, dentro de los dos meses siguientes a la solicitud. Si bien no impone un canal concreto para gestionar esas solicitudes, lo cierto es que el portal del empleado es la respuesta técnica más lógica, pues proporciona un entorno ya desplegado, con autenticación, con acceso controlado y con capacidad para generar respuestas personalizadas.
El problema es que incorporar esa funcionalidad al portal no es solo un proyecto de software. Desde la perspectiva del RGPD, puede suponer una modificación relevante de las finalidades inicialmente previstas —recordemos que el principio de limitación de la finalidad obliga a no usar datos personales para fines distintos de aquellos para los que fueron recogidos—, aunque hay quien argumentará que la gestión retributiva sigue siendo parte de la relación laboral. Sea cual sea la conclusión sobre la finalidad, hay un riesgo muy concreto y poco discutible que es el de identificación indirecta de personas concretas a través de los datos comparativos.
Qué ocurre técnicamente cuando un empleado hace una consulta retributiva
Para entender por qué cambia el perfil de riesgo veamos qué ocurre dentro del sistema cuando un trabajador ejerce su derecho de información salarial a través del portal del empleado:
- Autenticación y trazabilidad: el sistema identifica al solicitante y vincula esa identidad a la solicitud. Queda un registro de quién preguntó, cuándo y qué información recibió.
- Segmentación de colectivos: el portal debe determinar a qué categoría comparable pertenece esa persona. Para ello puede requerir cruzar información sobre puesto, nivel u otros criterios que la organización utilice internamente para definir grupos de trabajo equivalente.
- Generación de la respuesta: el sistema calcula o recupera los valores medios del grupo de referencia y los presenta al empleado en formato individual.
- Conservación de registros de actividad: el registro de solicitudes, respuestas y accesos queda almacenado, con los problemas de retención, acceso y uso secundario que eso implica.
- Acceso de terceros: managers, responsables de RRHH y, en su caso, representantes de los trabajadores pueden tener acceso a partes de esa información, con distintos niveles de granularidad.
Este flujo no equivale a publicar una tabla de valores medios en la intranet, en absoluto. Activarlo significa diseñar un tratamiento individualizado, bajo demanda, que combina datos de naturaleza altamente personal (retribución, categoría profesional, datos identificativos del solicitante) procedentes de distintas fuentes y que genera trazas individuales de consulta.
Dónde acaba la transparencia y empieza la identificación
El registro retributivo, que ya existe en España desde el RD 902/2020, opera con datos agregados de valores medios y medianos, no de salarios individuales. La AEPD dejó claro en su guía de 2021 sobre protección de datos en relaciones laborales que esa agregación es una exigencia que se ha de incluir en el registro salarial de igualdad con los valores medios de la plantilla y no con el salario de cada persona trabajadora. Pero también advirtió que, incluso con datos medios, puede darse el caso de que sean perfectamente identificables por deducción para cualquiera que acceda al registro cuando, por ejemplo, solo haya una o dos personas de distinto sexo en una categoría.
Mientras que la Directiva empuja hacia la transparencia (los trabajadores deben poder saber cómo se retribuyen los puestos comparables al suyo) el RGPD empuja hacia la minimización (los datos personales deben ser los estrictamente necesarios y no deben permitir identificar a personas concretas), y entre ambos surje la duda jurídica de dónde se sitúa el umbral a partir del cual esa transparencia deja de ser colectiva y pasa a revelar información identificable de personas concretas. ¿Cuántas personas deben integrar una categoría para que la media sea publicable? ¿Qué ocurre en colectivos de dos o tres personas? ¿Quién fija ese umbral y con qué criterios?
Muy probablemente -o al menos así cabe esperar- todas estas cuestiones serán debatidas por la AEPD una vez se trasponga la nueva normativa.
Directiva (UE) 2023/970, arts. 7 y 8. Plazo de transposición: 7 de junio de 2026. España no ha completado todavía la transposición, y aunque ello no convierte automáticamente las obligaciones de la Directiva en exigibles frente a empresas privadas, sí condiciona la interpretación del derecho nacional vigente. La base jurídica para el tratamiento de datos exigirá un análisis específico mientras esa norma nacional no esté completada.
Cuándo puede ser necesaria la evaluación de impacto en protección de datos para el portal del empleado
El artículo 35 del RGPD obliga a realizar una Evaluación de Impacto en la Protección de Datos (EIPD o DPIA) cuando el tratamiento supone un alto riesgo para los derechos y libertades de las personas. La AEPD publicó en 2019 una lista orientativa de tipos de tratamiento que requieren EIPD bajo la regla general de que, si un tratamiento cumple dos o más criterios de esa lista, la evaluación es necesaria en la mayoría de los casos.
Extrapolando la filosofía de este listado se podría inferir que, si el portal incorpora funcionalidades de transparencia retributiva, se deberían analizar al menos los siguientes criterios:
| Criterio de la lista AEPD (art. 35.4 RGPD) | ¿Aplica? | Observación |
|---|---|---|
| Criterio 4 — Datos que permitan deducir información financiera o relacionada con categorías especiales | Probable | La retribución no es una categoría especial de datos del artículo 9 RGPD, pero sí información de carácter altamente personal. Combinada con la identidad del solicitante y su categoría profesional, puede facilitar la identificación indirecta de personas concretas en colectivos reducidos. |
| Criterio 8 — Combinación o enlace de registros con finalidades diferentes | Depende | Puede concurrir si el sistema cruza datos del perfil del empleado con datos del registro retributivo procedentes de sistemas distintos; requiere análisis caso por caso. |
| Criterio 7 — Tratamiento a gran escala | Depende | Puede ser relevante en organizaciones con grandes volúmenes de empleados. El concepto de gran escala en el RGPD no se define por un umbral numérico fijo, sino por una combinación de factores: volumen de interesados, cantidad de datos, duración y extensión del tratamiento. El umbral de 250 empleados de la Directiva corresponde a otra norma y no equivale automáticamente a este criterio. |
La necesidad de realizar la evaluación dependerá del volumen de la plantilla, la granularidad de la información, el grado de automatización y la arquitectura del portal. Una empresa con pocos empleados que gestione únicamente datos muy agregados puede concluir razonablemente que no existe alto riesgo, pero en escenarios más complejos los indicios apuntarán en sentido contrario. En cualquier caso, el análisis previo será necesario.
- El proveedor del portal es también encargado del tratamiento porque tiene acceso a los datos, pero la responsabilidad legal ante la AEPD sigue siendo de la empresa empleadora y en ella recae la obligación de analizar si procede una EIDP.
- La evaluación corresponde a la empresa con independencia de quién haya desarrollado la herramienta o quién la aloje.
- Las cláusulas contractuales exigidas por el artículo 28 del RGPD , que regulan qué puede y qué no puede hacer el proveedor con los datos, deben cubrir el nuevo alcance del sistema antes de activar las funcionalidades retributivas.
Qué se debería revisar antes de activar esas funcionalidades
- Análisis de finalidad: hay que determinar si la nueva funcionalidad es compatible con el uso para el que se recogieron originalmente los datos del portal. Si no lo es, se necesita una base jurídica diferenciada. Y tanto en uno como en otro supuesto, el análisis debe quedar siempre documentado.
- Base jurídica: mientras España no complete la transposición de la Directiva, la base jurídica para el tratamiento de datos asociado a estas obligaciones exige un análisis específico. No puede darse por sentado que el RGPD cubre automáticamente este escenario en relaciones entre privados cuando la norma nacional que debería habilitarlo aún no existe. Ese análisis debe hacerse con el DPO.
- Umbral de anonimización: es necesario definir cuántas personas deben componer una categoría para que la media sea publicable sin riesgo de reidentificación. La AEPD no ha fijado un número concreto, pero sí advirtió que las categorías con una o dos personas permiten identificación directa por deducción, por lo que mientras no exista criterio regulatorio específico, la decisión queda en manos de la organización y debe documentarse.
- Control de accesos: es preciso decidir qué nivel de información puede ver cada actor: el trabajador sobre sí mismo, su manager, el responsable de RRHH, el comité de empresa. Cada nivel implica decisiones de diseño con consecuencias en protección de datos.
- Gestión de registros de actividad: si el sistema guarda un log —un registro automático de quién ha consultado qué información comparativa, cuándo y con qué resultado— ese archivo es en sí mismo un dato personal que requiere definir plazos de conservación, quién puede acceder y para qué puede usarse.
- Revisión del contrato con el proveedor: hay que verificar que las cláusulas contractuales cubren el nuevo alcance del sistema y que el proveedor no utiliza esos datos para finalidades propias.
El primer paso · Antes de activar cualquier funcionalidad retributiva en el portal, RRHH debería convocar al DPO —o a quien ejerza esa función— para revisar conjuntamente si la DPIA existente del sistema cubre el nuevo alcance. Si no existe DPIA, o si no se ha revisado desde que se configuró el portal, ese es el momento de hacerlo, no después del despliegue.
RR. HH tiene que estar en esa conversación
La Directiva no crea necesariamente un tratamiento completamente nuevo, lo que hace es modificar el alcance y los riesgos de uno que ya existe, y es precisamente en este tipo de escenarios donde suelen producirse las evaluaciones insuficientes, porque la organización asume que el portal ya estaba evaluado y no reabre el análisis. El sistema cambia, la EIPD, no.
El Área de Personas puede y debe advertir sobre ese desajuste, porque es quien conoce qué va a hacer realmente el sistema con los datos retributivos, qué granularidad tiene, quién accede a ellos y qué trazas genera. Sin ese conocimiento, la evaluación de impacto, si es que se revisa, se quedará en un ejercicio formal que no reflejará el tratamiento real, con los consiguientes riesgos de sanción económica que, en esta materia, son tremendamente elevados.
Y para muestra un botón. En noviembre de 2025, la AEPD impuso a AENA una sanción de 10.043.002 euros por incumplimientos relacionados con el artículo 35 del RGPD. Según la resolución, las EIPD presentadas no cumplían los requisitos del artículo 35.7 porque no describían de forma precisa las operaciones de tratamiento ni sus fines, ni realizaban un análisis sistemático de la necesidad y proporcionalidad. Se habían hecho, sí, pero no como tenían que hacerse.
Por todo lo anterior y otras tantas cuestiones que iremos desgranando en nuevos comentarios, se constata que la transparencia retributiva es, además de un proyecto de compensación, uno de gobernanza de datos, porque lo que la Directiva pone sobre la mesa no es únicamente la obligación de revelar salarios, sino la necesidad de rediseñar cómo circula la información retributiva dentro de la empresa; esto es, quién sabe qué, en qué momento y con qué nivel de detalle. El portal del empleado es el escenario visible de una arquitectura de gestión supeditada a a lo que el RGPD conceptúa como tratamiento de datos personales de alto riesgo.
Referencias normativas: Directiva (UE) 2023/970 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023 · Reglamento (UE) 2016/679 (RGPD), arts. 6, 28 y 35 · AEPD, «La protección de datos en el ámbito de las relaciones laborales», mayo de 2021 · AEPD, «Listas de tipos de tratamientos que requieren EIPD» (art. 35.4 RGPD), 2019 · GT29, Directrices WP248 sobre EIPD, octubre de 2017, ratificadas por el CEPD · Real Decreto 902/2020, de igualdad retributiva entre mujeres y hombres · AEPD, resolución EXP202304532 contra AENA, 28 de noviembre de 2025.
