RGPD en RH : Tratamiento de Datos de Colaboradores

La gestión de recursos humanos genera, cada día, un volumen considerable de datos personales: contratos de trabajo, recibos de sueldo, datos de salud, evaluaciones de desempeño, coordenadas bancarias... Desde la entrada en vigencia del Reglamento General sobre Protección de Datos (RGPD) en mayo de 2018, los departamentos de RH se han convertido en actores centrales del cumplimiento normativo dentro de las organizaciones. Sin embargo, según el informe de actividad 2024 de la CNIL, el sector de recursos humanos sigue siendo uno de los tres dominios más frecuentemente cuestionados durante los controles. Este artículo te guía a través de las obligaciones clave, buenas prácticas y herramientas disponibles para tratar los datos de tus colaboradores en total conformidad.

¿Qué datos personales tratan los departamentos de RH?

Las categorías de datos comunes

Los servicios de RH manipulan un espectro muy amplio de datos personales. Se distinguen dos grandes familias:

Los datos ordinarios, recopilados en el marco del contrato de trabajo: nombre, apellido, dirección, número de seguridad social, datos bancarios, CV, diplomas, historial profesional, evaluaciones anuales, horarios de trabajo, datos de presencia y ausencia.

Los datos sensibles, sometidos a restricciones reforzadas según el artículo 9 del RGPD: datos de salud (licencias por enfermedad, declaraciones de accidentes laborales, restricciones médicas), datos sindicales (afiliación sindical, mandatos representativos), datos relativos a condenas penales en ciertos contextos de contratación.

Estos últimos solo pueden tratarse bajo reserva de una excepción explícita prevista por el reglamento — como la ejecución de obligaciones legales en materia de derecho laboral, o el consentimiento explícito de la persona afectada.

El caso especial del reclutamiento

La fase de reclutamiento genera tratamientos específicos, a menudo mal regulados. La recopilación de CV, cartas de presentación y resultados de pruebas implica duraciones de conservación precisas: según las recomendaciones de la CNIL, los datos de los candidatos no seleccionados deben ser suprimidos o anonimizados en un plazo máximo de dos años después del último contacto. Conservar CV indefinidamente en un directorio compartido sin protección constituye una violación caracterizada.

El recurso a herramientas de rastreo en los ATS (Sistemas de Seguimiento de Candidatos) o a algoritmos de análisis comportamental debe ser mencionado explícitamente en la política de privacidad transmitida a los candidatos, conforme a los artículos 13 y 14 del RGPD.

Las bases legales del tratamiento en contexto de RH

Identificar la base legal correcta

El RGPD impone que todo tratamiento de datos personales se base en una de las seis bases legales definidas en el artículo 6. En contexto de RH, tres bases son principalmente movilizadas:

• La ejecución del contrato de trabajo (art. 6.1.b): justifica el tratamiento de datos necesarios para la gestión de la nómina, vacaciones o formación.

• La obligación legal (art. 6.1.c): se aplica a las declaraciones sociales obligatorias (DSN), registros del personal o seguimiento de accidentes laborales.

• El interés legítimo (art. 6.1.f): puede invocarse para tratamientos como la gestión de accesos mediante tarjetas o videovigilancia, bajo reserva de una prueba rigurosa de equilibrio.

El consentimiento (art. 6.1.a) es, en cambio, una base legal frágil en contexto laboral: la CNIL y el Comité Europeo de Protección de Datos (CEPD) recuerdan que el desequilibrio estructural entre el empleador y el trabajador dificulta la prueba de un consentimiento libre. No debe utilizarse sino en último recurso.

El registro de tratamientos, obligación innegociable

Toda organización que emplee al menos 250 personas — o que trate datos sensibles a menor escala — debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). En RH, este registro debe documentar, para cada tratamiento: la finalidad, las categorías de datos, los destinatarios, las duraciones de conservación, y las medidas de seguridad implementadas.

Este documento, puesto a disposición de la CNIL en caso de control, es también una herramienta de pilotaje valiosa. Combinado con una solución de firma electrónica dedicada a RH, permite rastrear y marcar con hora cada etapa del ciclo de vida de un documento de RH, reforzando así la auditabilidad de los procesos.

Derechos de los colaboradores y obligaciones del empleador

Informar a los trabajadores: una obligación inmediata

El artículo 13 del RGPD impone informar a las personas afectadas en el momento de la recopilación de sus datos. En la práctica, los departamentos de RH deben proporcionar a los trabajadores — idealmente desde la firma del contrato de trabajo — un aviso de información RGPD detallando: la identidad del responsable del tratamiento, las finalidades y bases legales, la duración de conservación, los derechos disponibles y los contactos del DPO (Delegado de Protección de Datos) si la empresa dispone de uno.

Digitalizar y asegurar este intercambio es esencial. El recurso a la firma electrónica en la empresa para la entrega de este aviso garantiza una prueba de entrega marcada con hora e incontestable, alineada con las exigencias del reglamento eIDAS.

Los derechos de los trabajadores a respetar imperativamente

Los colaboradores disponen de derechos extendidos sobre sus datos:

• Derecho de acceso (art. 15): todo trabajador puede solicitar una copia del conjunto de datos que lo conciernen tratados por el empleador.

• Derecho de rectificación (art. 16): corrección de un dato inexacto (ej.: dirección postal, datos bancarios).

• Derecho al olvido (art. 17): aplicable en ciertos casos, notablemente después del fin del contrato y transcurrido el plazo legal de conservación.

• Derecho de oposición (art. 21): el trabajador puede oponerse a un tratamiento fundamentado en interés legítimo.

• Derecho a la limitación (art. 18): congelación temporal de un tratamiento cuestionado.

El empleador dispone de un plazo de un mes para responder a toda solicitud de ejercicio de derechos, extensible a tres meses en caso de complejidad (art. 12 del RGPD).

Seguridad de datos de RH y gestión de subcontratistas

Medidas técnicas y organizacionales

El artículo 32 del RGPD impone la implementación de medidas de seguridad «apropiadas al riesgo». Para datos de RH, las buenas prácticas incluyen:

• Cifrado de archivos que contienen datos sensibles (recibos de sueldo, dossiers médicos).

• Control de accesos: principio de menor privilegio — un gestor de nómina no tiene acceso a datos disciplinarios.

• Registro de accesos a sistemas de RH (SIRH, herramientas de nómina).

• Plan de respuesta a violaciones: en caso de fuga de datos, el empleador dispone de 72 horas para notificar a la CNIL (art. 33), y potencialmente a las personas afectadas si el riesgo es elevado (art. 34).

Un auditoría completa a través de la guía de firma electrónica puede ayudar a los equipos de RH a identificar tratamientos no asegurados que persisten en soporte papel y a digitalizarlos de manera conforme.

Encuadrar a prestatarios de RH mediante DPA

Los servicios de RH recurren a numerosos subcontratistas: software de nómina, plataformas de formación, herramientas de gestión de tiempos. Todo prestatario que acceda a datos personales debe ser objeto de un acuerdo de tratamiento de datos (Data Processing Agreement — DPA), conforme al artículo 28 del RGPD. Este contrato debe precisar las instrucciones de tratamiento, garantías de seguridad, modalidades de devolución o destrucción de datos, y obligaciones en caso de violación.

Seleccionar prestatarios que alojen sus infraestructuras en la Unión Europea, o encuadrados por cláusulas contractuales tipo (CCT) aprobadas por la Comisión, sigue siendo una exigencia fundamental para evitar transferencias ilícitas fuera de la UE.

Duraciones de conservación: un tema estructurante

Las duraciones legales aplicables al dossier del trabajador

La duración de conservación de datos de RH está encuadrada por una superposición de textos: el RGPD (principio de limitación de la conservación, art. 5.1.e), el Código del Trabajo, y diversas disposiciones fiscales y sociales. En la práctica, los principales plazos a respetar son:

| Tipo de documento | Duración mínima de conservación | |---|---| | Recibo de sueldo | 5 años (prescripción social) | | Contrato de trabajo | 5 años después del fin del contrato | | Datos de nómina (DSN) | 3 años (control URSSAF) | | Registro del personal | 5 años después de la salida del trabajador | | Datos disciplinarios | Duración proporcional a la medida | | Dossier médico (medicina del trabajo) | 50 años (regulación específica) |

La implementación de una política de archivo y purga automatizada en el SIRH, acoplada a flujos de trabajo de firma electrónica que marquen con hora la creación de documentos, constituye hoy la mejor práctica para demostrar conformidad ante la CNIL.

Las trampas a evitar

Los errores más frecuentes observados durante controles CNIL en materia de datos de RH son: la conservación indefinida de CV de candidatos no seleccionados, el mantenimiento de accesos informáticos de antiguos trabajadores, la ausencia de cifrado de archivos de nómina exportados, y la no supresión de datos de acceso más allá de los plazos reglamentarios. Para asegurar estos puntos, consultar la comparación de soluciones de firma electrónica permite identificar herramientas que integren nativamente funciones de archivo probatorio y gestión del ciclo de vida de documentos.

Marco legal aplicable al tratamiento de datos de RH

El tratamiento de datos personales de colaboradores se inscribe en un marco normativo denso, que articula varios niveles de regulación.

El Reglamento (UE) 2016/679 — RGPD constituye la piedra angular. Sus artículos 5 a 11 definen los principios fundamentales (licitud, lealtad, transparencia, limitación de finalidades, minimización de datos, exactitud, limitación de la conservación, integridad y confidencialidad). El artículo 9 establece las condiciones estrictas aplicables a categorías especiales de datos, incluidos datos de salud y sindicales, particularmente frecuentes en RH. El artículo 83 prevé multas que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial en caso de violación grave.

La Ley de Informática y Libertades modificada (ley n° 78-17 del 6 de enero de 1978), en su versión consolidada, adapta el RGPD al derecho francés. Confiere a la CNIL sus poderes de control y sanción, y prevé en particular excepciones sectoriales para datos de salud en medicina del trabajo.

El Código del Trabajo encuadra tratamientos vinculados a vigilancia de trabajadores (art. L. 1121-1 sobre respeto de vida privada), consulta de representantes del personal sobre herramientas numéricas (art. L. 2312-38), y registros obligatorios.

El Reglamento eIDAS (n° 910/2014), complementado por eIDAS 2.0 (Reglamento UE 2024/1183), rige el valor jurídico de firmas electrónicas apuestas en documentos de RH. Una firma electrónica cualificada (FEQ), conforme al anexo I de eIDAS y a las normas ETSI EN 319 132 y ETSI EN 319 122, ofrece la presunción de equivalencia a la firma manuscrita según el artículo 1367 del Código Civil francés.

El artículo 1366 del Código Civil establece que «el documento electrónico tiene el mismo valor probatorio que el documento en soporte papel, bajo reserva de que pueda ser debidamente identificada la persona de cuya emisión procede y que haya sido establecido y conservado en condiciones que garanticen su integridad». Esta disposición es directamente aplicable a contratos de trabajo, adendas, acuerdos de confidencialidad y otros documentos de RH desmaterializados.

La Directiva NIS2 (UE 2022/2555), transpuesta a derecho francés mediante la ley del 26 de febrero de 2025, impone a entidades esenciales e importantes (particularmente grandes empresas industriales y operadores de servicios digitales) exigencias reforzadas en materia de gestión de riesgos vinculados a seguridad de la información, incluyendo protección de datos sensibles de RH.

Las sanciones pronunciadas por la CNIL están en fuerte alza: en 2024, el monto total de multas supera 100 millones de euros, con varias decisiones involucrando directamente incumplimientos en la gestión de datos de trabajadores. El no respeto de duraciones de conservación, la ausencia de DPA con prestatarios de RH, y la insuficiencia de medidas de seguridad figuran entre los cargos más frecuentemente retenidos.

Escenarios de uso: la conformidad RGPD en RH en la práctica

Escenario 1 — Una PYME industrial de 450 trabajadores digitaliza sus procesos de incorporación

Una empresa industrial de tamaño intermedio, distribuida en tres sitios en Francia, gestionaba sus contratos de trabajo y adendas en soporte papel. Los expedientes de nuevos empleados no eran transmitidos al servicio de nómina sino después de un plazo promedio de 12 días hábiles, generando errores de nómina en aproximadamente el 8% de los casos. Además, ningún aviso RGPD era entregado de manera formal a los nuevos empleados: la información figuraba únicamente al pie del reglamento interno, sin firma separada.

Tras el despliegue de una solución de firma electrónica integrada en su SIRH, con entrega simultánea de un aviso RGPD co-firmado por el trabajador y el Director de RH, la empresa redujo el plazo de incorporación documental a 2 días hábiles (reducción del 83%). Los errores de nómina vinculados a datos faltantes bajaron a menos del 1%. Cada documento firmado se archiva con marca de hora calificada, proporcionando una prueba oponible en caso de control CNIL o litigio laboral.

Escenario 2 — Un grupo de distribución de 1 200 colaboradores pone en conformidad su política de conservación

Un grupo operativo en la distribución especializada fue sometido a un control CNIL tras una reclamación de un antiguo trabajador. La inspección reveló que archivos Excel conteniendo datos de nómina de trabajadores que habían abandonado la empresa hace más de 8 años seguían siendo accesibles en un servidor compartido sin protección, sin cifrado. Una amonestación formal fue pronunciada, acompañada de una orden de puesta en conformidad en un plazo de 3 meses.

El grupo emprendió entonces una auditoría completa de sus tratamientos de RH, cartografió sus 23 actividades de tratamiento, e implementó un plan de purga automatizado desencadenado por el SIRH. Los documentos firmados electrónicamente fueron migrados a una caja fuerte digital con duraciones de retención configuradas según obligaciones legales. El DPO produjo un registro de tratamientos de RH completo, presentado durante un segundo control CNIL 18 meses después, que concluyó sin consecuencias. El costo de la puesta en conformidad fue estimado en menos del 60% del monto de una potencial multa.

Escenario 3 — Un consultorio de RH de 35 personas asegura los datos de sus propios consultores y de sus clientes

Un consultorio especializado en recursos humanos gestiona tanto los datos de sus propios consultores como aquellos de candidatos y trabajadores de sus empresas clientes (en el marco de misiones de evaluación u outplacement). Se ve así en doble posición: responsable del tratamiento para su propia RH, y subcontratista (o incluso corresponsable) para datos de terceros.

El consultorio implementó una arquitectura documental diferenciada: firmas electrónicas simples para intercambios internos corrientes, firmas avanzadas para contratos de misión con clientes, y acuerdos de tratamiento de datos (DPA) sistemáticamente integrados a las cartas de encargo. Todos los consultores recibieron una carta RGPD actualizada, firmada electrónicamente y conservada en un registro dedicado. Esta organización permitió al consultorio exhibir su conformidad como argumento comercial ante grandes cuentas sometidas a auditorías de proveedores estrictas, reduciendo el plazo promedio de contractualización de 7 a 2 semanas.

Conclusión

El RGPD impone a las direcciones de recursos humanos una transformación profunda de sus prácticas: identificación rigurosa de bases legales, información efectiva a colaboradores, gestión de derechos, encuadramiento contractual de subcontratistas, aseguramiento de datos y respeto de duraciones de conservación. Estas obligaciones no son simples formalidades administrativas — condicionan la capacidad de la empresa para evitar sanciones que pueden alcanzar varios millones de euros y mantener la confianza de sus equipos.

La digitalización de procesos de RH, a través de soluciones de firma electrónica conformes a eIDAS, constituye uno de los mecanismos más eficaces para conciliar eficiencia operacional y conformidad regulatoria. Certyneo acompaña a los equipos de RH en esta transición, desde la firma del contrato de incorporación hasta el archivo seguro de dossiers de trabajadores.

Descubre cómo Certyneo puede asegurar tus procesos de RH consultando nuestra oferta dedicada a equipos de RH o comenzando gratuitamente para probar la solución sin compromiso.