Impacto del RGPD en RRHH

En un mundo abierto y cada vez más conectado, el dato está en todas partes. Se encuentra en el cloud público, privado e híbrido. Pasa por las redes locales y sociales (privadas y profesionales). Se intercambia entre aplicaciones, servicios, dispositivos y objetos conectados. Se acumula en yacimientos de Big Data. Al tener mucho valor, se vende y atrae la codicia. Es el ‘nuevo oro negro’. Los datos personales son cada vez más accesibles para la empresa y los datos profesionales están cada vez más expuestos a las ciber-amenazas. En este contexto, se ha visto rápidamente la necesidad de reforzar el marco normativo.

El Reglamento General de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo de 2018, pretende armonizar y reforzar en la Unión Europea la normativa sobre la protección de datos personales en las empresas y organizaciones. Se trata de la reforma más importante de la legislación europea en temas de protección de datos personales de los veinte últimos años. Esta reforma afecta a todas las funciones de la empresa y, en particular, a las direcciones de todas las organizaciones y, en particular, a las Direcciones de Recursos Humanos (DRH). Aunque en las organizaciones este proyecto es conducido por una dirección distinta de la DRH, ésta se ve directamente implicada en los procesos y soluciones relativos a los datos personales.

La DRH recoge, trata y almacena importantes volúmenes de datos personales o sensibles en el marco de sus procesos RRHH. Esto empieza con la contratación de candidatos y prosigue a lo largo de la vida de los colaboradores que están en la base RRHH, empleados y no empleados (N.B.: se incluyen trabajadores temporales, autónomos, subcontratados…). Los tratamientos que se aplican a estos datos son numerosos: consulta, modificación, difusión, reporting… Los soportes son variados: software, ficheros, documentos impresos…

Nuevos derechos y mayor transparencia

Además de los derechos de acceso o rectificación ya existentes, este nuevo reglamento impone una información clara, inteligible y fácilmente accesible para los tratamientos de datos de las personas implicadas, no solo en el momento de la recogida de sus datos, sino posteriormente también, para que puedan reivindicar sus derechos. Esto significa que todo dato relativo a un colaborador, que guarde la empresa, ha de estar justificado. Por consiguiente, solo los datos estrictamente necesarios para los tratamientos podrán ser recogidos y utilizados. Para utilizar determinados datos, es indispensable el consentimiento previo y explícito del empleado (la foto, por ejemplo) y esta autorización no es definitiva.

En todos los casos, le corresponde a la empresa demostrar que ha obtenido el consentimiento del colaborador. Esta exigencia de mayor transparencia impone también que, en caso de pirateo, el empleado sea informado de la violación de sus datos en un plazo de 72h.

Entre los nuevos derechos, está el derecho a ‘borrar’, denominado también derecho ‘al olvido’, cuando los datos han dejado de ser necesarios para un tratamiento o cuando la persona ha revocado su consentimiento a dicho tratamiento. Por ejemplo, los datos de los candidatos no seleccionados deben ser eliminados rápidamente, excepto si el candidato da su consentimiento de forma explícita. Por otra parte, los datos de los colaboradores que han dejado la empresa solo pueden conservarse por un tiempo limitado.

Otro derecho, el de la ‘portabilidad’, refuerza el control de las personas sobre sus datos personales. Esto significa que deben poder recuperar los datos que han suministrado, en un formato reutilizable, para un uso personal o para transmisión a un tercero.

El nuevo reglamento enmarca también los tratamientos de ‘elaboración de perfiles’. A partir de ahora, la empresa deberá efectuar un análisis de impacto relativo a la protección de datos, siempre que se lleven a cabo actividades de ‘elaboración de perfiles’.

Principales acciones que debe llevar a cabo la función RRHH para cumplir con la norma

Para cumplir con el RGPD, la DRH deberá no solo identificar y localizar los datos personales de los colaboradores (empleados y no empleados) y candidatos, informarles, asegurar esos datos, gestionar las autorizaciones, asegurarse de que las reglas de retención propias de cada tipo de dato son conformes con los requisitos legales y normativos, sino también sensibilizar internamente a las personas llamadas a manipular esos datos. Esto se aplica igualmente a proveedores subcontratistas de la empresa que intervienen en tareas de RRHH (por ejemplo, proveedores RRHH, consultoras de contratación…).

Identificar los datos personales y los tratamientos asociados

Inicialmente, la DRH deberá identificar los datos de carácter personal (DCP) que se encuentran en su poder. Esos datos se refieren principalmente a las personas físicas que estén en situación de asalariados activos, antiguos asalariados (con su historial en las aplicaciones RRHH) o de candidatos. Además, deberá identificar las categorías de datos tratados, como los DCP corrientes (estado civil, situación familiar, CV, escolaridad, formación profesional, datos de conexión, datos de localización). También deberá verificar si determinados datos son susceptibles de generar riesgos en relación, por ejemplo, con la salud (datos sensibles).

Por otra parte, esta primera etapa debe permitir racionalizar el número de datos recogidos. Se trata de verificar que los datos utilizados son realmente indispensables: ¿se recogen y guardan los datos con fines determinados, explícitos y legítimos? ¿Se eliminan debidamente los datos en cuanto el objetivo ha sido alcanzado?

Una vez identificados los datos, hay que censar todos los tratamientos asociados. Para cada tratamiento, el nuevo reglamento exige especificar la finalidad, el lugar de almacenamiento, las categorías de datos implicadas o los actores -internos o externos- que tratan esos datos. Posteriormente, esos datos deben ser documentados en un registro de actividades de tratamiento de los DCP.

Aplicar las medidas necesarias para la protección de los datos personales

El RGPD traduce el paso de un sistema de declaraciones previas obligatorias a un sistema de responsabilización de las empresas que implica el tratamiento de los DCP y de sus subcontratados. La empresa o el organismo deben, por tanto, asegurarse que se han tomado las medidas necesarias para garantizar la confidencialidad de los datos personales de los empleados candidatos, evitando toda divulgación a las personas no autorizadas.

Por su parte, las DRH deben revisar la base jurídica en la que basan los diferentes tratamientos de datos de los empleados y candidatos (consentimiento de la persona, contrato, obligación legal…) así como los documentos de información asociados (contratos de trabajo, reglamento interior…). Si el empleado ha dado explícitamente su consentimiento, es necesario garantizar su conservación.

Las nuevas modalidades de ejercicio de los derechos de las personas afectadas (derechos de acceso, de control, de rectificación de portabilidad, de revocación del consentimiento…) deben estar planificadas. Por último, es necesario especificar para cada tipo de datos los tiempos de retención y los procedimientos de eliminación. Tan pronto como la empresa deja de necesitar determinados datos, debe eliminarlos.

Los servicios informáticos y las DRH deben trabajar para asegurar los sistemas que contienen datos personales, aplicando los principios de privacy by design y privacy by default. Estos principios incluyen acciones como la ‘pseudonimización’ (almacenamiento de los datos en un formato que no permite la identificación directa del individuo sin recurrir a información complementaria) y todo tipo de medidas destinadas a limitar la accesibilidad y la conservación.

Además de las medidas de carácter técnico, la DRH debe también tomar medidas organizativas como, por ejemplo, la accesibilidad a los locales de servicios RRHH, de impresión, etc. Asimismo, cuando el tratamiento de determinados datos sensibles tiene un elevado riesgo de violación de los derechos y libertades de las personas físicas, debe ir obligatoriamente precedido de un análisis de impacto (PIA – Privacy Impact Assessment) y, en su caso, de una consulta a la CNIL[1]. Esta obligación de estudio de impacto previo se refiere principalmente al tratamiento de datos de salud, video-vigilancia de lugares públicos o elaboración de perfiles. Pretende estudiar las condiciones de recogida y tratamiento de datos personales susceptibles de generar un riesgo elevado para los derechos y libertades de las personas afectadas. El estudio de impacto constituye uno de los justificantes que se deben conservar con vista a un posible control por parte de una autoridad que demuestre el cumplimiento de la empresa.

 Documentar, comunicar y formar

La DRH tiene la responsabilidad de informar y formar a los colaboradores de la empresa, tanto empleados como no empleados (personal temporal, autónomos, subcontratados…) en relación con las novedades incluidas en el RGPD. Entre otras cosas, la empresa debe informar del reforzamiento o de la aparición de nuevos derechos a las personas: derechos de borrar los datos, derecho de limitar el tratamiento y derecho a la portabilidad de los datos. También debe anticipar las solicitudes de acceso a los datos individuales puesto que todo empleado podrá solicitar el acceso a los mismos. La empresa deberá dar una respuesta en el plazo de un mes.

Como conclusión, podemos afirmar que son muchos los puntos con respecto a los cuales la DRH debe movilizarse, aunque el proyecto sea gestionado en las organizaciones por otra dirección. Más allá del cumplimiento de los requisitos legales, el RGPD puede ser una oportunidad para dar seguridad a los empleados en cuanto al tratamiento de sus datos y en cuanto a la confianza que merece la evolución digital.