RGPD: Etapas de cumplimiento normativo en el ámbito de Nómina y RRHH

Recordemos que sigue en curso la interpretación de la nueva normativa, con vista a su aplicación, y que los controladores europeos (autoridades de control desde diferentes países) están trabajando para ayudar a las empresas en la aplicación de este nuevo texto.

El RGPD no es sólo un proyecto puntual con fecha de obligatoriedad, sino un área de trabajo permanente puesto que el cumplimiento normativo no es una obligación puntual. Hay que enmarcar el RGPD en un principio de necesidad y proporcionalidad del uso de los datos con respecto a las finalidades de los tratamientos RRHH. Por ello, la función RRHH debe movilizarse en torno a tres grandes áreas de trabajo para la empresa: las que están relacionadas con los deberes de la empresa; las que se refieren a los derechos del ciudadano; y las relativas a la gestión de riesgos de los datos personales.

1 – Los deberes de la empresa

Los deberes de la empresa están organizados en torno a dos ejes

Eje 1: La organización que debe implementar la empresa

  • Nombrar a un delegado de protección de datos o ‘Data Protection Officer’ (DPO).
  • Aplicar procesos internos.
  • Documentar el uso de los datos para demostrar la conformidad de un ‘Registro de tratamientos’ para responsables y encargados de los tratamientos.
  • Verificar el uso de los datos: legitimidad y finalidad.
  • Verificar la integración de la lógica de ‘privacy’ en el tratamiento de los datos: ‘privacy by design’ (desde su diseño, se debe aplicar un nuevo tratamiento con las correspondientes medidas técnicas y organizativas) y ‘privacy by default’ (por defecto, sólo deben tratarse los datos personales necesarios para cada tratamiento).

Eje 2: Acciones de comunicación a los colaboradores

  • Informar formar a los colaboradores, asalariados o no (personal temporal, autónomos, freelances, proveedores con contrato por obras) en relación con las novedades del RGPD.
  • Informar de los procedimientos a seguir para solicitar acceso a los datos individuales, puesto que, a partir de ahora, cualquier colaborador podrá solicitar el acceso y deberá obtener respuesta en el mes siguiente.

Sopra HR proporciona a sus clientes un análisis de modelos de dato RRHH con una guía explicativa del enfoque y de las hipótesis tomadas, de acuerdo con dos cuestionamientos: ¿Cuáles son las categorías de los datos presentes en los sistemas de información RRHH? ¿Cuál es la finalidad de los datos, para qué sirven?

Zoom sobre las categorías de datos

En primer lugar, hay que separar todos los datos que no son datos personales: referente de organización, de empleo, de puestos… También hay que descartar todo lo relacionado con la descripción de los procesos: procesos de contratación, gestión de planes de formación, en los que no interviene ningún dato personal. Por último, hay que dejar de lado las reglas de gestión, la parametrización de la nómina y lo datos técnicos.

Ahora ya quedan los datos personales de colaboradores y candidatos, en el módulo de contratación, que se clasificarán en 4 categorías:

  • La primera categoría se refiere a todos los datos que están justificados por la existencia de un contrato laboral entre el colaborador y la empresa y, por tanto, respetan las obligaciones legales que se derivan del mismo. Dichos datos, que se entienden como datos ‘lícitos’, representan la gran mayoría de los datos que se utilizan en el SIRH y en los tratamientos, esto es más del 97% (*).
  • La segunda categoría está relacionada con la identificación de los datos personales considerados ‘sensibles’ que no son necesarios para el SIR y deben ser eliminados del mismo. Es necesario afinar para tener una valoración del dato personal puesto que las obligaciones pueden ser diferentes según el país europeo. Es el caso, por ejemplo, de los daos referentes a la religión que son obligatorios en Alemania y, en cambio, no lo son enotros países o están incluso prohibidos. Por consiguiente, según el país, habrá que retirar esos datos de los SIRH. Esto afecta únicamente a unos pocos datos.
  • La tercera categoría incluye los datos ‘sensibles’ que requieren el consentimiento del colaborador. En nuestro software, esto sólo afecta a la fotografía. El uso de la misma requiere el consentimiento del colaborador. Éste es el derecho a la imagen, que ya existía anteriormente.
  • La cuarta categoría se refiere a los datos personales respecto de los cuales se debe tomar una decisión pues Sopra HR no puede decidir por defecto. El uso de los mismos puede depender del sector de actividad o del contexto de la empresa. Se identifican como talespara que el cliente preste especial atención a esas temáticas. El 2% aproximadamente de los datos forman parte de esta categoría.

(*) Estas cifras son una estimación efectuada por Sopra HR en base a soluciones estándar e internacionales.

Un último punto se refiere a los campos de texto libre del SIRH. A partir de ahora, el gestor RH o el manager deberá prestar atención a la forma en que redacta los textos o los comentarios para respetar el nuevo RGPD, recordando que estos textos pueden ser leídos por los colaboradores o por los candidatos y, en caso de auditoría, pueden ser comunicados a la Autoridad de control.  Sopra HR ofrece a sus clientes ejemplos de modelos de recomendaciones sobre el uso de los campos libres del SIRH.

Zoom sobre las finalidades de los datos

Para ayudar a los responsables de los tratamientos en la elaboración de los registros de los tratamientos, hemos analizado y clasificado todos los datos con respecto a cuatro finalidades de tratamiento. Hemos indicado la finalidad que nos parece la más importante, sin olvidar que un mismo dato puede participar algunas veces en varias finalidades. Hemos definido cuatro finalidades después de trabajar con la autoridad de control de Francia -el CNIL- pero atención: puede haber cambios.

  • La nómina y el declarativo, que incluye también la gestión administrativa, la gestión del contrato y las asignaciones.
  • La gestión del talento, de las carreras, el desarrollo de los colaboradores, las evaluaciones.
  • Los desplazamientos y las notas de gastos correspondientes.
  • Las ausencias y la gestión del tiempo y de las actividades.

2 – Los deberes del ciudadano

En términos de derechos del ciudadano, los cinco siguientes se refieren más específicamente al SIRH:

  1. Derecho de información
  2. Derecho de acceso
  3. Derecho a eliminar
  4. Derecho de rectificación
  5. Derecho de portabilidad

Según el contexto del cliente, Sopra HR recomienda revisar o reforzar estos derechos, sobre todo lo relativo con la gestión de la confidencialidad y la gestión de la seguridad. El cumplimiento normativa del RGPD requiere verificar si las autorizaciones de acceso a las soluciones son pertinentes.

A partir de ahora, el SIRH debe poder gestionar el derecho a la información y la recogida del consentimiento. Es necesario disponer de una ‘estructura de acogida’ que permita identificar cuándo ha dado la empresa información sobre el RGPD. Puede ser información general para la comprensión del RGPD, o información más específica sobre la forma en que la empresa debe integrar el RGPD. De forma especial, hay que indicar claramente n precisión al colaborador qué acciones puede llevar a cabo y a qué entidades puede dirigirse para ejercer sus diferentes derechos: derecho de acceso a sus datos, derecho a eliminar, derecho a rectificar y derecho a la portabilidad.

Además, es necesario recoger el hecho de que los colaboradores han sido debidamente informados. En su caso, esta comunicación deberá ser revisada en función de los cambios organizativos o, por ejemplo, si un colaborador es transferido a otra filial. Hay que comunicarle de nuevo la información relativa al RGPD porque las personas que deberá contactar a la hora de ejercer sus derechos pueden ser diferentes en la nueva organización. Se debe trazar todos estos comunicados.

En términos de recogida del consentimiento, hay que hacer una lista de todos los datos que requieren el consentimiento del colaborador, y se debe poder recoger el consentimiento. Conviene recordar que éste puede negarse a dar su consentimiento y puede posteriormente cambiar de parecer. Todo ello debe poder ser gestionado.

En términos de petición de acceso por parte de un colaborador a sus datos personales, el SIRH debe disponer de un procedimiento de extracción. Los resultados pueden estar disponibles en diferentes formatos y deben responder también al derecho de portabilidad cuando el colaborador solicita que sus datos sean transferidos a otro responsable de tratamiento. En este último caso, se tratará únicamente a los datos que él transmitió.

3 – La gestión de riesgos de los datos personales

La última área se refiere a la gestión de los riesgos que pueden generar los tratamientos de los datos personales.

Los riesgos elevados deben ser tratados y analizados de forma prioritaria. El análisis de categorización de los datos personales y su finalidad ayudará a definir esos registros de tratamiento, a identificar los riesgos y a realizar las acciones necesarias para disminuir dichos riesgos. Todos estos datos podrán ser comunicados a la autoridad de control en caso de auditoría.

En el marco de la gestión del riesgo, se puede actuar también mediante protección física de los datos, utilizando determinados dispositivos: encriptado de datos o anonimización de datos.

Otras herramientas se refieren a la posibilidad de gestionar de forma más detallada los accesos a los privilegios como los de los administradores de bases de datos. El objetivo es poder separar la gestión del continente de la base de datos, del contenido, es decir, de los valores registrados en las bases. Estas herramientas pueden ayudar a disminuir los riesgos evitando los accesos no autorizados y, en caso de robo, evitando que los datos puedan ser utilizados fácilmente.

En conclusión

El proyecto de cumplimiento normativo es un proyecto a largo plazo. La aplicación precisa de este nuevo reglamento sigue siendo objeto de interpretación y, por tanto, es importante que las empresas estén atentas a los comunicados de la autoridad de control de sus respectivos países. Podrán disponer así de elementos que facilitarán la aplicación del mismo en su empresa.

Sopra HR, por su posicionamiento en el mercado europeo y por sus diferentes actividades en el ámbito de la gestión de los RRHH y la nómina, está implicada en los trabajos que realizan las autoridades de control. Por ello, puede ayudar a la empresa de la esfera tanto privada como pública en la implementación de las acciones necesarias para el cumplimiento normativo.