GDPR en RRHH: Tractament de dades dels empleats

Introducció

Des de l'entrada en vigor del Reglament General de Protecció de Dades (GDPR) el 25 de maig de 2018, els departaments de RRHH han estat en primera línia de compliment. Les funcions de recursos humans tracten diàriament dades personals sensibles: currículums, nòmines, dades de salut, avaluacions, dades bancàries. La mala gestió exposa l'empresa a sancions de fins a 20 milions d'euros o el 4% de la facturació global (article 83 del GDPR). Aquest article presenta les obligacions clau i les millors pràctiques per assegurar el processament de les dades dels empleats al llarg del cicle de recursos humans.

Els principis fonamentals aplicables a les dades de RRHH

El GDPR imposa sis principis cardinals codificats a l'article 5: licitud, lleialtat, transparència, limitació de finalitats, minimització, exactitud, limitació de retenció i integritat/confidencialitat. A la pràctica, això significa que el departament de recursos humans només pot recollir les dades estrictament necessàries per a una finalitat concreta. Per exemple, demanar el número de la seguretat social a l'hora de sol·licitar és desproporcionat: només es justifica després de la contractació pel DSN.

La CNIL, mitjançant la seva deliberació núm. 2019-160, relatiu a la gestió de personal, especifica els terminis de conservació recomanats: 2 anys per a sol·licituds no acceptades (excepte consentiment), 5 anys després de la sortida per a l'expedient administratiu, 6 anys per a les nòmines en la versió de l'empresari.

Base legal i informació per als empleats

Contràriament a la creença popular, el consentiment rarament és la base legal adequada en RRHH, a causa de la relació de subordinació. Les bases rellevants són més aviat l'execució del contracte de treball (article 6.1.b), l'obligació legal (article 6.1.c) o l'interès legítim (article 6.1.f). Per a les dades sensibles (sanitàries, sindicals), l'article 9 exigeix ​​una base específica com l'obligació en matèria de dret laboral.

L'empresari ha d'aportar una informació clara a través d'un avís del GDPR en el moment de la contractació, actualitzar el registre de tramitació (article 30) i consultar el CSE davant qualsevol nova tramitació que afecti als treballadors (article L.2312-38 del Codi de Treball).

Seguretat i drets dels empleats

La seguretat tècnica i organitzativa (article 32) requereix: xifrat de SIRH, control d'accés per perfil, traçabilitat de consultes, clàusules de confidencialitat amb nòmines o subcontractistes de contractació (article 28). En cas d'incompliment, notificació a la CNIL en un termini de 72 hores.

Els empleats tenen drets reforçats: accés, rectificació, supressió (limitat per obligacions legals de retenció), portabilitat, oposició. Un procediment intern ha de permetre una resposta en el termini màxim d'un mes. La denegació d'accés a l'expedient disciplinari s'ha de justificar legalment.

Exemples pràctics

Exemple 1 – Contractació:Una PIME ha conservat els currículums de tots els candidats en una carpeta compartida durant 5 anys. Incompliment: durada excessiva, manca de seguretat. Solució: depuració automatitzada després de 2 anys, accés restringit als reclutadors, menció GDPR a l'oferta de feina.

Exemple 2 – Videovigilància:Un magatzem logístic filma contínuament les estacions de treball. Possible sanció (la CNIL va sancionar Amazon France Logistique per 32 milions d'euros el 2024). Solució: limitació a àrees sensibles, informació individual, consulta al CSE, termini de conservació d'un mes màxim.

Exemple 3 – Eines col·laboratives:El desplegament de Microsoft 365 requereix una anàlisi d'impacte (AIPD) si les funcions de monitorització estan activades, així com una clàusula de subcontractació compatible amb l'editor.

Compliment i sancions

A més de les multes de la CNIL, l'empresari està exposat a accions judicials laborals per invasió de la intimitat (article 9 del Codi Civil, article L.1121-1 del Codi de Treball). La designació d'un DPD és obligatòria per a les entitats que tracten dades a gran escala. Un mapeig anual del processament de RRHH, juntament amb la formació dels directius, constitueix la millor protecció legal i operativa.

Conclusió

El compliment del RGPD en RRHH no és un projecte puntual sinó un procés continu de millora. Entre les obligacions legals, els drets dels empleats i el rendiment operatiu, els gestors de recursos humans han de gestionar amb rigor el govern de les dades. Invertir en un HRIS compatible, formar equips i documentar cada processament transforma les limitacions normatives en una palanca de confiança dels empleats.