Un cliente nos plantea la siguiente duda:
“Somos proveedores de una gran superficie y, en virtud del contrato, cada año puede venir un auditor externo a revisar que cumplimos la legislación y determinados estándares de calidad. En una de esas revisiones, el auditor nos pide la nómina de una trabajadora para comprobar que está cobrando conforme al convenio. La trabajadora se entera, se opone y nos dice que, si entregamos su nómina, nos denunciará ante la AEPD. ¿Estamos obligados a darle al auditor todo lo que nos pida?”
La respuesta es clara: NO. Que exista una cláusula contractual de auditoría no significa que la empresa deba entregar sin más cualquier documento con datos personales. En protección de datos, el criterio no es “si me lo piden, lo doy”, sino si realmente es necesario, proporcionado y limitado a la finalidad perseguida.
El punto de partida está en el principio de minimización de datos, recogido en el artículo 5 del RGPD: los datos deben ser “adecuados, pertinentes y limitados a lo necesario” para la finalidad del tratamiento. La propia AEPD recuerda que este principio obliga a configurar los tratamientos de forma mínimamente intrusiva, con la mínima cantidad de datos, la mínima accesibilidad y la mínima extensión necesarias.
Aplicado al caso, eso significa que el auditor puede tener interés en verificar que la empresa cumple el convenio, pero no por ello queda automáticamente legitimado para acceder a una nómina completa e identificada. Una nómina contiene muchos más datos de los estrictamente necesarios para esa comprobación: nombre y apellidos, DNI, domicilio, número de afiliación, cuenta bancaria, retenciones, posibles embargos y otros extremos que exceden claramente de la finalidad de la auditoría.
Por eso, antes de entregar una nómina íntegra, la empresa debe hacerse una pregunta muy sencilla: ¿puedo demostrar lo mismo con menos datos personales? Si la respuesta es sí, la entrega del documento completo sería excesiva. Y normalmente la respuesta será sí: puede acreditarse el cumplimiento mediante un certificado de asesoría o RR. HH., una tabla comparativa entre categoría profesional, convenio y salario abonado, o, en su caso, una nómina debidamente anonimizada. Ese es justamente el límite que marca la normativa: no comunicar más de lo imprescindible.
La base jurídica que permitiría la entrega de la nómina no nace automáticamente del contrato de suministro. Una cláusula de auditoría no convierte en ilimitado el acceso del auditor a datos personales de la plantilla. El deber de confidencialidad y el respeto a los principios del tratamiento siguen plenamente vigentes. En la LOPDGDD, esto conecta de forma directa con el deber de confidencialidad del artículo 5 y con el tratamiento amparado en obligación legal del artículo 8, que no puede confundirse con una mera exigencia contractual.
En consecuencia, la regla práctica debería ser esta: sí a la auditoría; no al acceso indiscriminado. El auditor puede revisar el cumplimiento, pero la empresa debe facilitarle solo la información estrictamente necesaria para ello, preferentemente en formato agregado, certificado o anonimizado. Y si excepcionalmente hubiera que mostrar documentación individual, habría que suprimir todos los datos irrelevantes para la comprobación.
Dicho de otro modo: no hay que entregar al auditor externo todo lo que pida, sino solo lo que necesite legítimamente y en la forma menos invasiva posible. Ese es el verdadero criterio de minimización.
