RGPD en RH: Tratamiento de datos de empleados

El Reglamento General de Protección de Datos (RGPD) no se aplica únicamente a las relaciones comerciales entre una empresa y sus clientes: también regula, de manera muy precisa, el tratamiento de datos personales de los empleados. Reclutamiento, gestión de nómina, control de acceso, evaluación del desempeño, videovigilancia… cada etapa del ciclo de vida del contrato de trabajo genera datos personales que el empleador debe tratar en estricta conformidad con la ley europea. Con multas que pueden alcanzar 20 millones de euros o el 4% de la facturación anual mundial, la apuesta es considerable. Este artículo detalla las bases legales aplicables, las obligaciones prácticas de los departamentos de RH y las mejores prácticas para asegurar sus tratamientos, incluida la desmaterialización de documentos de RH.

Los fundamentos jurídicos del tratamiento de datos de RH

Las bases legales admitidas en derecho laboral

El RGPD enumera seis bases legales que permiten tratar datos personales (artículo 6). En contexto de RH, tres de ellas se utilizan casi sistemáticamente:

• La ejecución del contrato de trabajo (art. 6.1.b): constituye la base principal para la gestión de nómina, el seguimiento del tiempo de trabajo, la entrega de nóminas o la gestión de permisos.

• La obligación legal (art. 6.1.c): justifica los tratamientos impuestos por el Código del Trabajo o la legislación social, como la declaración previa de contratación (DPAE), la declaración social nominativa (DSN) o el mantenimiento del registro único de personal.

• El interés legítimo (art. 6.1.f): puede fundamentar ciertos tratamientos de seguridad informática o prevención de fraude interno, siempre que este interés no sea superado por los derechos fundamentales de los empleados.

⚠️ La base del consentimiento debe manejarse con extrema prudencia en contexto laboral. La CNIL recuerda regularmente que el desequilibrio inherente a la relación empleador-empleado rara vez hace que el consentimiento sea "libre" en el sentido del artículo 7 del RGPD. Recurrir al consentimiento para tratamientos que podrían fundamentarse en otra base legal expone al empleador a un riesgo de recalificación.

Las categorías especiales de datos: un régimen reforzado

Algunos datos recopilados por RH se enmarcan en el régimen de "datos sensibles" mencionado en el artículo 9 del RGPD, cuyo tratamiento está en principio prohibido salvo excepciones:

• Datos de salud: bajas por enfermedad, incapacidades declaradas por medicina del trabajo, ajustes de puesto para discapacidad.

• Datos sindicales: afiliación sindical, mandatos representativos.

• Datos biométricos: control de acceso por huella dactilar o reconocimiento facial.

• Datos relacionados con infracciones: verificación de antecedentes penales, autorizada solo en sectores regulados (seguridad, infancia, etc.).

Para estas categorías, el empleador debe identificar una excepción explícita (art. 9.2), realizar un análisis de impacto sobre protección de datos (AIPD) en la mayoría de los casos, y frecuentemente consultar a la CNIL antes del despliegue.

Las obligaciones prácticas de los servicios de RH

El registro de actividades de tratamiento

Todo organismo que emplee a más de 250 empleados está obligado a mantener un registro de actividades de tratamiento (art. 30 del RGPD). Por debajo de este umbral, la obligación persiste si los tratamientos no son ocasionales o afectan datos sensibles, lo que es casi siempre el caso en RH. Este registro debe documentar:

• La finalidad de cada tratamiento (ej.: "gestión de nóminas")

• Las categorías de datos involucradas

• Los destinatarios (terceros, subcontratistas, autoridades)

• Los plazos de conservación

• Las medidas de seguridad implementadas

La CNIL pone a disposición un modelo de registro descargable libremente. Su mantenimiento riguroso constituye la primera línea de defensa en caso de inspección.

Los plazos de conservación: un aspecto a menudo descuidado

El artículo 5.1.e del RGPD impone el principio de limitación de conservación: los datos no deben conservarse más allá del tiempo necesario para la finalidad por la cual fueron recopilados. En RH, los plazos legales de referencia son los siguientes:

| Tipo de dato | Plazo de conservación recomendado | |---|---| | Nómina | 5 años (prescripción civil) | | Contrato de trabajo | 5 años después de la ruptura del contrato | | Datos de reclutamiento (candidato no seleccionado) | 2 años máximo después del último contacto | | Expediente disciplinario | Plazo variable según la sanción (máximo 3 años para un apercibimiento) | | Datos de videovigilancia | 1 mes en general | | DSN y registro de personal | 5 años después de la salida del empleado |

Estos plazos deben inscribirse en el registro y aplicarse mediante procedimientos de eliminación o archivo definitivo.

La información a los empleados: una obligación frecuentemente subestimada

El artículo 13 del RGPD impone proporcionar un aviso de información completo a las personas concernidas en el momento de la recopilación de sus datos. En RH, este aviso debe entregarse idealmente:

• Desde la candidatura: para los datos recopilados durante el proceso de reclutamiento.

• Al momento de la contratación: integrado en el contrato de trabajo o entregado en anexo al momento de la firma.

• Durante la relación contractual: ante cada nuevo tratamiento implementado (ej.: despliegue de una herramienta de asistencia biométrica).

La desmaterialización del proceso de incorporación, en particular a través de la firma electrónica para RH, facilita la trazabilidad de esta entrega de información: la fecha de lectura y firma del aviso se registra de manera probatoria, lo que constituye un elemento de prueba valioso en caso de litigio.

La seguridad de los datos de RH: medidas técnicas y organizacionales

Cifrado, control de acceso y compartimentación

El artículo 32 del RGPD exige la implementación de medidas de seguridad adecuadas al riesgo. Para datos de RH, que por naturaleza son sensibles y dirigidos durante intrusiones, las buenas prácticas mínimas incluyen:

• Cifrado de datos en reposo y en tránsito: los archivos de nómina, contratos y expedientes personales deben almacenarse cifrados (AES-256 mínimo) y transmitirse mediante protocolos seguros (TLS 1.3).

• Gestión de derechos de acceso basada en roles (RBAC): solo los gestores de RH autorizados acceden a datos de nómina; el responsable de equipo accede solo a los datos necesarios para la gestión.

• Registro de accesos: toda consulta o modificación de un expediente de empleado debe rastrearse con la identificación del usuario, fecha y hora.

• Seudonimización para tratamientos analíticos (cuadros de mando RH, estudios de remuneración).

La gestión de subcontratistas de RH

Los servicios de RH recurren a numerosos subcontratistas: editores de SIRH, proveedores de nómina externalizada, plataformas de formación, herramientas de reclutamiento en línea. Cada uno de estos terceros debe estar sujeto a un contrato de subcontratación conforme al artículo 28 del RGPD, precisando en particular:

• La naturaleza y finalidad de los tratamientos subcontratados

• Las obligaciones del subcontratista en materia de seguridad y confidencialidad

• La prohibición de subcontratar sin autorización previa

• Las modalidades de restitución o destrucción de datos al final del contrato

Al elegir un proveedor, también conviene verificar si sus servidores están ubicados en el Espacio Económico Europeo (EEE) o si existe un mecanismo de transferencia adecuado (cláusulas contractuales tipos, decisión de adecuación) para transferencias fuera del EEE.

La desmaterialización de documentos de RH y la conformidad RGPD

La creciente digitalización de procesos de RH — contratos de trabajo electrónicos, nóminas desmaterializadas, enmiendas firmadas a distancia — plantea cuestiones RGPD específicas. Aunque la firma electrónica conforme a eIDAS aporta garantías indudables de integridad y autenticidad, el empleador debe asegurar que la plataforma utilizada:

• No recopile datos superfluos durante el proceso de firma (principio de minimización, art. 5.1.c)

• Conserve pruebas de firma (pista de auditoría) en condiciones seguras y durante un plazo apropiado

• Permita el ejercicio de los derechos de los firmantes (acceso, rectificación, eliminación dentro de los límites legales)

Para profundizar en la conformidad de herramientas de firma, la guía completa de firma electrónica de Certyneo detalla los criterios técnicos y jurídicos a verificar antes de cualquier despliegue.

Los derechos de los empleados y su ejercicio efectivo

Panorama de derechos garantizados por el RGPD

Los empleados se benefician de todos los derechos previstos en los artículos 15 a 22 del RGPD. En contexto de RH, los derechos ejercidos más frecuentemente son:

• Derecho de acceso (art. 15): el empleado puede solicitar una copia de todos los datos que lo conciernen retenidos por el empleador, incluyendo intercambios de correos electrónicos profesionales en determinadas condiciones.

• Derecho de rectificación (art. 16): corrección de datos inexactos (error en el número de cuenta, diploma mal registrado, etc.).

• Derecho al olvido (art. 17): limitado en RH por obligaciones legales de conservación, pero aplicable a datos de reclutamiento de un candidato no seleccionado.

• Derecho de oposición (art. 21): puede ejercerse contra un tratamiento fundamentado en interés legítimo, como ciertos tratamientos de vigilancia.

• Derecho a la portabilidad (art. 20): aplicable a datos suministrados por el empleado en el contexto de la ejecución del contrato.

El plazo de respuesta y los procedimientos internos

El empleador dispone de un mes para responder a toda solicitud de ejercicio de derechos, plazo extensible a tres meses en caso de complejidad o volumen elevado de solicitudes (art. 12.3). Para organizar este tratamiento eficientemente, se recomienda:

• Designar un punto de contacto único (DPO o referente RGPD) para recibir solicitudes

• Implementar un formulario dedicado accesible a los empleados

• Documentar cada solicitud y su respuesta en un registro de ejercicio de derechos

• Capacitar a los gerentes de RH para identificar una solicitud implícita (un empleado que reclama "su expediente personal" ejerce de facto su derecho de acceso)

El rol del DPO en la empresa

El RGPD impone la designación de un Delegado de Protección de Datos (DPO) en tres casos (art. 37): autoridad pública, tratamiento a gran escala de datos sensibles, o vigilancia sistemática a gran escala. Muchas empresas cuyo tratamiento de RH es significativo entran en esta obligación. El DPO puede ser interno o externalizado; debe gozar de independencia funcional y estar asociado a todas las decisiones que impacten la protección de datos, incluyendo el despliegue de nuevas herramientas numéricas de RH. Su rol es consultivo y no decisorio: la responsabilidad final recae en el responsable del tratamiento, es decir, el empleador.

Marco legal aplicable al tratamiento de datos de RH

El RGPD: texto fundamental

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 (RGPD) constituye la base reglamentaria del tratamiento de datos personales en Europa. Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, se impone a todo empleador que trate datos de empleados residentes en la UE, independientemente de la nacionalidad de la empresa. Los principales artículos aplicables en contexto de RH son:

• Art. 5: principios fundamentales (legalidad, lealtad, transparencia, minimización, exactitud, limitación de conservación, integridad y confidencialidad, responsabilidad)

• Art. 6: bases legales de tratamiento

• Art. 9: régimen de datos sensibles

• Art. 12 a 22: derechos de las personas concernidas

• Art. 24 a 32: obligaciones del responsable de tratamiento y del subcontratista

• Art. 33-34: notificación de brechas de datos (72 horas a la CNIL, e información a las personas si riesgo elevado)

• Art. 35: análisis de impacto (AIPD) obligatorio para tratamientos de riesgo elevado

• Art. 83: sanciones administrativas (hasta 20 M€ o 4% de la facturación anual mundial)

La Ley Informática y Libertades modificada

En derecho francés, la Ley n°78-17 del 6 de enero de 1978 relativa a la informática, archivos y libertades, modificada por la Ley n°2018-493 del 20 de junio de 2018 y la Ordenanza n°2018-1125 del 12 de diciembre de 2018, complementa el RGPD abriendo márgenes de maniobra nacionales ("cláusulas abiertas"). Entre las más importantes en RH: la posibilidad de tratar datos sindicales en el contexto de la gestión de instituciones representativas de personal (art. 9 de la Ley), o las reglas específicas para el tratamiento de datos de salud laboral.

El Código del Trabajo y la jurisprudencia laboral

El Código del Trabajo impone obligaciones de información y consulta previa del Comité Social y Económico (CSE) antes de cualquier despliegue de dispositivo de vigilancia o control de empleados (art. L. 2312-38). La ausencia de consulta expone al empleador a la inoposabilidad de las pruebas recogidas así como a sanciones penales.

La jurisprudencia de la Corte de Casación recuerda regularmente que herramientas de control (geolocalización, sistemas de entrada, software de seguimiento de actividad) deben ser proporcionadas al objetivo perseguido y no pueden desviarse a otros fines que los declarados a los empleados y a la CNIL.

La firma electrónica de documentos de RH: eIDAS y Código Civil

Al desmaterializar contratos de trabajo, enmiendas o documentos disciplinarios, el empleador debe respetar el Reglamento (UE) n°910/2014 eIDAS, que define tres niveles de firma electrónica. Para documentos tan estructurantes como un contrato de trabajo indefinido o un documento de ruptura convencional, se recomienda una firma electrónica avanzada (o incluso cualificada) para garantizar la identidad del firmante y la integridad del documento. El Código Civil en los artículos 1366 y 1367 consagra el valor probatorio de la escritura electrónica y la firma electrónica, bajo el requisito de identificación fiable del firmante y aseguramiento de integridad.

Sanciones pronunciadas por la CNIL en materia de RH

La CNIL ha pronunciado varias sanciones significativas en materia de tratamiento de datos de RH: en 2022, una empresa fue condenada a 400.000 € de multa por vigilancia excesiva de empleados en teletrabajo mediante software de captura de pantalla. En 2023, una empresa de seguridad recibió una sanción de 200.000 € por recopilación excesiva de datos biométricos sin base legal válida. Estas decisiones ilustran la creciente vigilancia del regulador en este ámbito.

Escenarios de uso: RGPD RH en práctica

Escenario 1 — Una PYMEs industrial de 450 empleados se ajusta a su proceso de reclutamiento

Una empresa industrial de tamaño intermedio, que emplea aproximadamente 450 personas en tres sitios, recibía anualmente más de 3.000 candidaturas espontáneas y respondía a sesenta ofertas de empleo. Los CV y cartas de presentación se almacenaban sin límite de tiempo en una bandeja de correo electrónico compartida entre seis responsables de servicio. Ningún aviso de información se proporcionaba a los candidatos sobre el uso de sus datos.

Tras una auditoría RGPD, se implementaron las siguientes acciones en seis meses:

• Migración a un ATS (Applicant Tracking System) certificado conforme RGPD, con purga automática de expedientes después de 24 meses de inactividad

• Adición de un aviso de información RGPD en cada formulario de candidatura en línea

• Firma electrónica de cartas de contratación y contratos de trabajo mediante una plataforma conforme a eIDAS, reduciendo el plazo de retorno de contratos firmados de 8 días en promedio a menos de 48 horas

• Actualización del registro de actividades de tratamiento con 12 nuevas fichas de tratamiento de RH

Resultado: ninguna solicitud CNIL recibida en los 18 meses siguientes; ganancia estimada de 1,2 ETP en la gestión administrativa del reclutamiento gracias a la desmaterialización.

Escenario 2 — Un grupo de distribución de 1.200 empleados enmarca su política de videovigilancia

Un grupo especializado en distribución alimentaria había desplegado un sistema de videovigilancia cubriendo 34 puntos de venta. Las imágenes se conservaban 45 días en algunos sitios, sin información mostrada para los empleados. Varios captores cubrían puestos de caja de manera permanente, generando un riesgo de vigilancia desproporcionada.

Tras una queja de empleado ante la CNIL, la empresa inició un ajuste a la conformidad incluyendo:

• Reducción de plazo de conservación a máximo 30 días en todos los sitios

• Reposicionamiento de cámaras para excluir vigilancia continua de puestos de trabajo individuales

• Consulta y acuerdo del CSE central antes de cualquier nuevo despliegue

• Información sistemática de empleados mediante contratos de trabajo y una carta interna mostrada

Resultado: cierre de la queja CNIL sin sanción; mejora del clima social medida en la encuesta de satisfacción anual siguiente (+11 puntos en el ítem "confianza hacia el empleador").

Escenario 3 — Un gabinete de consultoría RH externalizado asegura transferencias de datos con sus clientes

Un gabinete especializado en externalización de nómina y administración de personal gestionaba expedientes de empleados para aproximadamente veinte clientes PYMEs, representando aproximadamente 1.800 nóminas mensuales. Los archivos de nómina se transmitían por correo electrónico sin cifrar, sin contrato de subcontratación formalizado en el sentido del artículo 28 del RGPD.

El gabinete inició una revisión completa de sus prácticas:

• Firma de Acuerdos de Procesamiento de Datos (DPA) conformes al artículo 28 con cada uno de sus clientes, mediante una plataforma de firma electrónica avanzada permitiendo trazabilidad

• Implementación de un portal cliente seguro (cifrado TLS + autenticación de doble factor) para depósito y recuperación de archivos de nómina

• Alojamiento de datos en servidores ubicados en Francia, certificados HDS para datos de salud laboral

• Redacción de una política de subcontratación encuadrando el recurso a terceros (editor de software de nómina, archivador)

Resultado: reducción del 100% de transmisiones de datos de RH por correo electrónico no seguro; obtención de dos nuevos contratos clientes que habían hecho de la conformidad RGPD un criterio de selección obligatorio en su convocatoria de ofertas.

Conclusión

El RGPD en RH no se resume a una restricción administrativa adicional: es un mecanismo de confianza entre el empleador y sus colaboradores, y un factor de competitividad en un mercado laboral donde la transparencia es cada vez más valorada. Registro de tratamientos mantenido actualizado, plazos de conservación dominados, información a empleados formalizada, seguridad reforzada de datos sensibles y subcontratistas contractualizados: cada uno de estos pilares contribuye a construir una política de RH que sea simultáneamente legal y responsable.

La desmaterialización de documentos de RH — contratos, enmiendas, nóminas, avisos de información — ofrece una oportunidad única de combinar conformidad RGPD y eficiencia operacional, siempre que se recurra a herramientas certificadas. Certyneo le acompaña en esta iniciativa con una solución de firma electrónica conforme eIDAS, diseñada para equipos de RH. Descubra nuestros precios e inicie su prueba gratuita en Certyneo para asegurar sus documentos de RH a partir de hoy.