RGPD en RH: Tratamiento de Datos de Colaboradores

Introducción

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, los servicios de RH están en primera línea de cumplimiento. Las funciones de recursos humanos tratan diariamente datos personales sensibles: CV, nóminas, datos de salud, evaluaciones, coordenadas bancarias. Una gestión deficiente expone a la empresa a sanciones que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial (artículo 83 del RGPD). Este artículo presenta las obligaciones clave y las buenas prácticas para asegurar el tratamiento de datos de colaboradores a lo largo del ciclo de RH.

Los principios fundamentales aplicables a los datos de RH

El RGPD impone seis principios cardinales codificados en el artículo 5: licitud, lealtad, transparencia, limitación de finalidades, minimización, exactitud, limitación de conservación e integridad/confidencialidad. En la práctica, esto significa que el servicio de RH solo puede recopilar datos estrictamente necesarios para una finalidad determinada. Por ejemplo, solicitar el número de seguridad social desde la candidatura es desproporcionado: solo se justifica después de la contratación para la DSN.

La CNIL, a través de su deliberación n° 2019-160 relativa al referencial de gestión de personal, precisa los plazos de conservación recomendados: 2 años para candidaturas rechazadas (salvo consentimiento), 5 años después de la salida para el expediente administrativo, 6 años para las nóminas en versión empleador.

Base legal e información de los colaboradores

Contrariamente a una idea preconcebida, el consentimiento es raramente la base legal adecuada en RH, debido a la relación de subordinación. Las bases pertinentes son más bien la ejecución del contrato de trabajo (artículo 6.1.b), la obligación legal (artículo 6.1.c) o el interés legítimo (artículo 6.1.f). Para datos sensibles (salud, sindicales), el artículo 9 exige una base específica como la obligación en materia de derecho del trabajo.

El empleador debe proporcionar información clara mediante un aviso RGPD entregado en la incorporación, actualizar el registro de tratamientos (artículo 30) y consultar al CSE antes de cualquier nuevo tratamiento que impacte a los empleados (artículo L.2312-38 del Código del Trabajo).

Seguridad y derechos de los colaboradores

La seguridad técnica y organizacional (artículo 32) impone: cifrado de SIRH, control de acceso por perfil, trazabilidad de consultas, cláusulas de confidencialidad con subcontratistas de nómina o reclutamiento (artículo 28). En caso de violación, notificación a la CNIL en 72 horas.

Los colaboradores disponen de derechos reforzados: acceso, rectificación, supresión (limitada por las obligaciones legales de conservación), portabilidad, oposición. Un procedimiento interno debe permitir responder en un máximo de un mes. La denegación de acceso al expediente disciplinario debe estar jurídicamente motivada.

Ejemplos prácticos

Ejemplo 1 – Reclutamiento: Una PYME conserva desde hace 5 años los CV de todos los candidatos en una carpeta compartida. No conforme: duración excesiva, ausencia de securización. Solución: purga automatizada a 2 años, acceso restringido a reclutadores, mención RGPD en la oferta de empleo.

Ejemplo 2 – Videovigilancia: Un almacén logístico filma continuamente los puestos de trabajo. Sanción posible (la CNIL sancionó a Amazon France Logistique con 32 M€ en 2024). Solución: limitar a zonas sensibles, información individual, consulta del CSE, plazo de conservación máximo de un mes.

Ejemplo 3 – Herramientas colaborativas: El despliegue de Microsoft 365 requiere un análisis de impacto (AIPD) si se activan funciones de monitoreo, así como una cláusula de subcontratación conforme con el editor.

Conformidad y sanciones

Además de las multas de la CNIL, el empleador se expone a acciones ante los tribunales de lo social por violación de la vida privada (artículo 9 del Código Civil, artículo L.1121-1 del Código del Trabajo). La designación de un DPO es obligatoria para entidades que traten datos a gran escala. Un mapeo anual de los tratamientos de RH, acoplado con una formación de los directivos, constituye la mejor protección jurídica y operacional.

Conclusión

La conformidad RGPD en RH no es un proyecto puntual sino una aproximación continua de mejora. Entre obligaciones legales, derechos de los empleados y desempeño operacional, los DRH deben pilotar la gobernanza de datos con rigor. Invertir en un SIRH conforme, formar a los equipos y documentar cada tratamiento transforma la restricción reglamentaria en un factor de confianza colaboradora.