RGPD en RH : Tractament de dades dels treballadors

El Reglament General sobre la Protecció de Dades (RGPD) no s'aplica únicament a les relacions comercials entre una empresa i els seus clients : també regula, de manera molt precisa, el tractament de dades personals dels treballadors. Reclutament, gestió de nòmina, control d'accés, avaluació del rendiment, videovigilància… cada etapa del cicle de vida del contracte de treball genera dades de caràcter personal que l'empresari ha de tractar seguint estrictament la normativa europea. Amb multes que poden arribar fins a 20 milions d'euros o el 4 % de la facturació mundial anual, l'aposta és considerable. Aquest article detalla les bases legals aplicables, les obligacions pràctiques dels serveis de RH i les millors pràctiques per a asegurar els vostres tractaments — incloent-hi la desmaterialització dels documents de RH.

Els fonaments jurídics del tractament de dades de RH

Les bases legals admeses en dret laboral

El RGPD enumera sis bases legals que permeten tractar dades personals (article 6). En context de RH, tres d'elles s'utilitzen gairebé sistemàticament :

• L'execució del contracte de treball (art. 6.1.b) : constitueix la base principal per a la gestió de nòmina, el seguiment del temps de treball, la tramesa dels butlletins de sou o bé la gestió de vacacions.

• L'obligació legal (art. 6.1.c) : justifica els tractaments imposats pel Codi del Treball o la legislació social, com ara la declaració prèvia a la contractació (DPAE), la declaració social nominativa (DSN) o la testa del registre únic del personal.

• L'interès legítim (art. 6.1.f) : pot fonamentar certs tractaments de seguretat informàtica o de prevenció de frau intern, sempre que aquest interès no sigui suplantant pels drets fonamentals dels treballadors.

⚠️ La base del consentiment s'ha de manejar amb extrema prudència en context laboral. La CNIL recorda regularment que el desequilibri inherent a la relació empresari-treballador fa que el consentiment rarament sigui « lliure » al sentit de l'article 7 del RGPD. Recórrer al consentiment per a tractaments que podrien reposar en una altra base legal exposa l'empresari a un risc de requalificació.

Les categories especials de dades : un règim reforçat

Algunes dades que recopila RH estan subjectes al règim de « dades sensibles » esmentat a l'article 9 del RGPD, el tractament de les quals és en principi prohibit excepte excepcions :

• Dades de salut : baixes per malaltia, incapacitats declarades per la medicina del treball, adaptacions de lloc per a discapacitat.

• Dades sindicals : afiliació sindical, mandats representatius.

• Dades biomètriques : control d'accés per empremta digital o reconeixement facial.

• Dades relatives a infraccions : verificació de registres de penals, autoritzada únicament en sectors regulats (seguretat, infància, etc.).

Per a aquestes categories, l'empresari ha d'identificar una excepció explícita (art. 9.2), realitzar una anàlisi d'impacte sobre la protecció de dades (AIPD) en la majoria dels casos, i sovint consultar la CNIL abans del desplegament.

Les obligacions pràctiques dels serveis de RH

El registre de les activitats de tractament

Tota organització que emplei més de 250 treballadors està obligada a mantenir un registre de les activitats de tractament (art. 30 del RGPD). Per sota d'aquest llindar, l'obligació subsisteix si els tractaments no són ocasionals o es refereixen a dades sensibles — el qual és gairebé sempre el cas en RH. Aquest registre ha de documentar :

• La finalitat de cada tractament (ex. : « gestió de butlletins de sou »)

• Les categories de dades implicades

• Els destinataris (tercers, subcontractants, autoritats)

• Les durades de conservació

• Les mesures de seguretat implementades

La CNIL posa a disposició un model de registre lliurement descargable. La seva testa minuciosa constitueix la primera línia de defensa en cas de control.

Les durades de conservació : un punt sovint neglígit

L'article 5.1.e del RGPD imposa el principi de limitació de conservació : les dades no s'han de conservar més enllà de la durada necessària a la finalitat per a la qual van ser recol·lectades. En RH, les durades legals de referència són les següents :

| Tipus de dada | Durada de conservació recomanada | |---|---| | Butlletí de sou | 5 anys (prescripció civil) | | Contracte de treball | 5 anys després de la ruptura del contracte | | Dades de reclutament (candidat no retingut) | Màxim 2 anys després del darrer contacte | | Expedient disciplinari | Durada variable segons la sanció (màx. 3 anys per a una amonestació) | | Dades de videovigilància | 1 mes per regla general | | DSN i registre del personal | 5 anys després de la sortida del treballador |

Aquestes durades han de constar en el registre i aplicar-se a través de procediments de purga o arxiu definitiu.

L'informació dels treballadors : una obligació sovint subestimada

L'article 13 del RGPD imposa proporcionar una notificació d'informació completa a les persones interessades en el moment de la recol·lecció de les seves dades. En RH, aquesta notificació hauria de remetre's idealment :

• Des de la candidatura : per a les dades recol·lectades durant el procés de reclutament.

• En la contractació : integrada en el contracte de treball o remesa en annex en la signatura.

• Durante la relació contractual : a cada nou tractament implementat (ex. : desplegament d'una eina de marcar biomètrica).

La desmaterialització del procés d'incorporació, particularment via signatura electrònica per a RH, facilita la traçabilitat d'aquesta remesa d'informació : la data de lectura i signatura de la notificació queda estampada de manera probant, la qual cosa constitueix un element de prova valuós en cas de litigi.

La seguretat de les dades de RH : mesures tècniques i organitzacionals

Xifrat, control d'accés i compartimentalització

L'article 32 del RGPD exigeix la implementació de mesures de seguretat adaptades al risc. Per a les dades de RH, que són per naturalesa sensibles i objectiu d'intrusions, les bones pràctiques mínimes inclouen :

• Xifrat de dades en repòs i en trànsit : els fitxers de nòmina, els contractes i els expedients personals s'han de conservar xifrats (AES-256 com a mínim) i transmetre a través de protocols segurs (TLS 1.3).

• Gestió de drets d'accés basada en rols (RBAC) : només els gestors de RH autoritzats accedeixen a les dades de nòmina ; el responsable d'equip accedeix només a les dades necessàries per a la gestió.

• Registre dels accessos : tota consulta o modificació d'un expedient de treballador ha de quedar traçada amb l'identificador de l'usuari, la data i l'hora.

• Pseudonimització per a tractaments analítics (quadres de comandament de RH, estudis de remuneració).

La gestió dels subcontractants de RH

Els serveis de RH fan ús de nombreosos subcontractants : editors de SIRH, prestadors de nòmina externalitzada, plataformes de formació, eines de reclutament en línia. Cadascun d'aquests tercers ha de ser objecte d'un contracte de subcontractació conforme a l'article 28 del RGPD, especificant especialment :

• La naturalesa i la finalitat dels tractaments subcontractats

• Les obligacions del subcontractant en matèria de seguretat i confidencialitat

• La prohibició de sub-subcontratar sense autorització prèvia

• Les modalitats de restitució o destrucció de dades en fi de contracte

En triar un prestador, convé també verificar si els seus servidors estan localitzats a l'Espai Econòmic Europeu (EEE) o si existeix un mecanisme de transferència adequat (clàusules contractuals tipus, decisió d'adequació) per als transferiments fora de l'EEE.

La desmaterialització dels documents de RH i la conformitat RGPD

La digitalització creixent dels processos de RH — contractes de treball electrònics, butlletins de sou desmaterialitzats, avenç signats a distància — planteja qüestions RGPD específiques. Si la signatura electrònica conforme eIDAS aporta garanties indiscutibles d'integritat i autenticitat, l'empresari ha d'assegurar-se que la plataforma utilitzada :

• No recopila dades superflues durant el procés de signatura (principi de minimització, art. 5.1.c)

• Conserva les proves de signatura (pista d'auditoria) en condicions segures i durant una durada apropiada

• Permet l'exercici dels drets dels signants (accés, rectificació, esborrat dins dels límits legals)

Per a aprofundir en la conformitat de les eines de signatura, la guia completa de la signatura electrònica de Certyneo detalla els criteris tècnics i jurídics a verificar abans de qualsevol desplegament.

Els drets dels treballadors i el seu exercici efectiu

Panoràmica dels drets garantits pel RGPD

Els treballadors gaudeixen de tots els drets previstos als articles 15 a 22 del RGPD. En context de RH, els drets més freqüentment exercits són :

• Dret d'accés (art. 15) : el treballador pot demanar una còpia de totes les dades que el concerneixen que tingui l'empresari, incloent-hi els intercanvis de correus electrònics professionals en certes condicions.

• Dret de rectificació (art. 16) : correcció de dades inexactes (error en l'RIB, diploma mal registrat, etc.).

• Dret a l'esborrat (art. 17) : limitat en RH per les obligacions legals de conservació, però aplicable a les dades de reclutament d'un candidat no retingut.

• Dret d'oposició (art. 21) : pot exercir-se contra un tractament basat en l'interès legítim, com ara certs tractaments de vigilància.

• Dret a la portabilitat (art. 20) : aplicable a les dades proporcionades pel treballador en el context de l'execució del contracte.

El termini de resposta i els procediments interns

L'empresari disposa d'un mes per a respondre a qualsevol sol·licitud d'exercici de drets, termini extensible a tres mesos en cas de complexitat o volum elevat de sol·licituds (art. 12.3). Per a organitzar aquest tractament eficaçment, es recomana :

• Designar un punt de contacte únic (DPO o referent RGPD) per a rebre sol·licituds

• Implementar un formulari dedicat accessible als treballadors

• Documentar cada sol·licitud i la seva resposta en un registre de sol·licituds d'exercici de drets

• Formar els gestors de RH a identificar una sol·licitud implícita (un treballador que demana « el seu expedient personal » està exercint de facto el seu dret d'accés)

El paper del DPO en l'empresa

El RGPD imposa la designació d'un Delegat de la Protecció de Dades (DPO) en tres casos (art. 37) : autoritat pública, tractament a gran escala de dades sensibles, o vigilància sistemàtica a gran escala. Moltes empreses el tractament de RH de les quals és significatiu entren en aquesta obligació. El DPO pot ser intern o externalitzat ; ha de disposar d'una independència funcional i ha d'estar associat a totes les decisions que impactin la protecció de dades, incloent-hi el desplegament de nous outils de RH digital. El seu paper és consultiu i no decisori : la responsabilitat final correspon al responsable del tractament, és a dir, l'empresari.

Marc legal applicable al tractament de dades de RH

El RGPD : text fundacional

El Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d'abril de 2016 (RGPD) constitueix el sòl regulador del tractament de dades personals a Europa. Directament aplicable en tots els Estats membres des del 25 de maig de 2018, s'imposa a tot empresari que tracti dades de treballadors residents a la UE, sigui quina sigui la nacionalitat de l'empresa. Els articles principals aplicables en context de RH són :

• Art. 5 : principis fonamentals (legalitat, lleialtat, transparència, minimització, exactitud, limitació de conservació, integritat i confidencialitat, responsabilitat)

• Art. 6 : bases legals de tractament

• Art. 9 : règim de dades sensibles

• Art. 12 a 22 : drets de les persones interessades

• Art. 24 a 32 : obligacions del responsable del tractament i del subcontractant

• Art. 33-34 : notificació de violacions de dades (72 hores a la CNIL, i informació de les persones si risc elevat)

• Art. 35 : anàlisi d'impacte (AIPD) obligatòria per a tractaments d'alt risc

• Art. 83 : sancions administratives (fins a 20 M€ o 4 % de la facturació mundial)

La Llei d'Informàtica i Llibertats modificada

En dret francès, la llei n°78-17 de 6 de gener de 1978 sobre informàtica, fitxers i llibertats, modificada per la llei n°2018-493 de 20 de juny de 2018 i l'ordenança n°2018-1125 de 12 de desembre de 2018, complementa el RGPD obrint marges de maniobra nacionals (« clàusules d'obertura »). Entre les més importants en RH : la possibilitat de tractar dades sindicals en el marc de la gestió de les institucions representatives del personal (art. 9 de la llei), o bé les regles específiques al tractament de dades de salut ocupacional.

El Codi del Treball i la jurisprudència social

El Codi del Treball imposa obligacions d'informació i consulta prèvia del Comitè Social i Econòmic (CSE) abans de qualsevol desplegament de dispositiu de vigilància o control dels treballadors (art. L. 2312-38). L'absència de consulta exposa l'empresari a una inoposabilitat de les proves recollides i a sancions penals.

La jurisprudència de la Cort de Cassació recorda regularment que les eines de control (geolocalització, marcador, programari de seguiment d'activitat) han de ser proporcionals a l'objectiu perseguit i no es poden desviar cap a altres fins que les declarades als treballadors i a la CNIL.

La signatura electrònica dels documents de RH : eIDAS i Codi Civil

En desmaterialitzar contractes de treball, avenços o documents disciplinaris, l'empresari ha de respectar el Reglament (UE) n°910/2014 eIDAS, que defineix tres nivells de signatura electrònica. Per a documents tan estructurants com un contracte de treball CDI o un document de ruptura convencional, es recomana una signatura electrònica avançada (fins i tot qualificada) per a garantir l'identitat del signant i la integritat del document. El Codi Civil als articles 1366 i 1367 consagra el valor probant de l'escrit electrònic i de la signatura electrònica, sota reserva d'identificació fiable del signant i d'assegurança d'integritat.

Sancions imposades per la CNIL en matèria de RH

La CNIL ha imposat diverses sancions significatives en matèria de tractament de dades de RH : el 2022, una empresa va ser condemnada a 400 000 € de multa per vigilància excessiva de treballadors en teletreball mitjançant programari de captura de pantalla. El 2023, una empresa de seguretat va rebre una sanció de 200 000 € per recol·lecció excessiva de dades biomètriques sense base legal vàlida. Aquestes decisions il·lustren la vigilància creixent del regulador en aquest perímetre.

Escenaris d'ús : RGPD RH a la pràctica

Escenari 1 — Una ETI industrial de 450 treballadors es posa en conformitat amb el seu procés de reclutament

Una empresa industrial de mida mitjana, que emplea aproximadament 450 persones en tres llocs, rebia cada any més de 3 000 candidatures espontànies i responia a una seixantena d'ofertes de treball. Els CV i cartes de presentació es conservaven sense limitació de durada en una bústia de correu compartida entre sis responsables de servei. Cap notificació d'informació no es remeia als candidats sobre l'ús de les seves dades.

Després d'una auditoria RGPD, les accions següents es van implementar en sis mesos :

• Migració cap a un ATS (Applicant Tracking System) certificat conforme RGPD, amb purga automàtica dels expedients després de 24 mesos d'inactivitat

• Afegiment d'una notificació d'informació RGPD en cada formulari de candidatura en línia

• Signatura electrònica de les cartes de contractació i dels contractes de treball via una plataforma conforme eIDAS, reduint el termini de retorn dels contractes signats de 8 dies de mitjana a menys de 48 hores

• Actualització del registre de les activitats de tractament amb 12 noves fitxes de tractament de RH

Resultat : cap sol·licitud CNIL rebuda en els 18 mesos següents ; guany estimat de 1,2 ETP en la gestió administrativa del reclutament gràcies a la desmaterialització.

Escenari 2 — Un grup de distribució de 1 200 treballadors enquadra la seva política de videovigilància

Un grup especialitzat en la distribució alimentària havia desplegat un sistema de videovigilància que cobria 34 punts de venda. Les imatges es conservaven 45 dies en alguns llocs, sense informació mostrada pels treballadors. Diversos sensors cobrien permanentment els llocs de caixa, generant un risc de vigilància desproporcionada.

Després d'una queixa del treballador a la CNIL, l'empresa va emprendre una posada en conformitat que inclou :

• Reducció de la durada de conservació a 30 dies màxim en tots els llocs

• Reposicionament de les càmeres per excloure la vigilància contínua dels llocs de treball individuals

• Consulta i acord del CSE central abans de qualsevol nou desplegament

• Informació sistemàtica dels treballadors a través dels contractes de treball i una carta interna mostrada

Resultat : tancament de la queixa CNIL sense sanció ; millora del clima social mesurada en l'enquesta de satisfacció anual següent (+11 punts en l'ítem « confiança envers l'empresari »).

Escenari 3 — Un gabinet de consultoría de RH externalitzada assegura les transferències de dades amb els seus clients

Un gabinet especialitzat en l'externalització de nòmina i administració de personal gestionava els expedients de treballadors per a una vintena de clientela PYMEs, representant aproximadament 1 800 butlletins de sou mensuals. Els fitxers de nòmina es transmeten per correu electrònic sense xifrar, sense contracte de subcontractació formalitzat al sentit de l'article 28 del RGPD.

El gabinet va emprendre una reforma completa de les seves pràctiques :

• Signatura de Data Processing Agreements (DPA) conformes a l'article 28 amb cadascun dels seus clients, via una plataforma de signatura electrònica avançada que permet la traçabilitat

• Implementació d'un portal de client segur (xifrat TLS + autenticació de doble factor) per al dipòsit i recuperació de fitxers de nòmina

• Allotjament de les dades en servidors localitzats a França, certificats HDS per a dades de salut ocupacional

• Redacció d'una política de subcontractació que enquadra el recurs a tercers (editor de programari de nòmina, arxivador)

Resultat : reducció del 100 % de les transmissions de dades de RH per correu electrònic no segur ; obtenció de dos nous contractes de client que van fer de la conformitat RGPD un criteri de selecció obligatori en la seva convocatòria de concurs.

Conclusió

El RGPD en RH no es redueix a una restricció administrativa més : és una palanqueta de confiança entre l'empresari i els seus col·laboradors, i un factor de competitivitat en un mercat laboral on la transparència és cada vegada més valorada. Registre de tractaments mantingut al dia, durades de conservació controlades, informació dels treballadors formalitzada, seguretat reforçada de dades sensibles i subcontractants contractualitzats : cadascun d'aquests pilars contribueix a construir una política de RH que sigui legítima i responsable.

La desmaterialització dels documents de RH — contractes, avenços, butlletins de sou, notificacions d'informació — ofereix una oportunitat única de combinar conformitat RGPD i eficàcia operacional, sempre que es recolzi en eines certificades. Certyneo t'acompanya en aquesta demarxa amb una solució de signatura electrònica conforme eIDAS, dissenyada per als equips de RH. Descobreix els nostres preus i comença el teu assaig gratuït a Certyneo per a asegurar els teus documents de RH des d'avui.