RGPD en RH: Tratamiento de Datos de Colaboradores

La gestión de recursos humanos genera, cada día, un volumen considerable de datos personales: contratos de trabajo, nóminas, datos de salud, evaluaciones de desempeño, coordenadas bancarias… Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, los departamentos de RH se han convertido en actores centrales del cumplimiento normativo dentro de las organizaciones. Sin embargo, según el informe de actividad 2024 de la CNIL, el sector de recursos humanos sigue siendo uno de los tres ámbitos más frecuentemente señalados durante inspecciones. Este artículo le guía a través de las obligaciones clave, las buenas prácticas y las herramientas disponibles para tratar los datos de sus colaboradores en total conformidad.

¿Qué datos personales tratan los departamentos de RH?

Las categorías de datos comunes

Los servicios de RH manipulan un espectro muy amplio de datos personales. Se distinguen dos grandes familias:

Los datos ordinarios, recogidos en el marco del contrato de trabajo: nombre, apellido, domicilio, número de seguridad social, RIB, CV, diplomas, historial profesional, evaluaciones anuales, horarios de trabajo, datos de presencia y ausencia.

Los datos sensibles, sujetos a restricciones reforzadas en el sentido del artículo 9 del RGPD: datos de salud (bajas médicas, declaraciones de accidentes laborales, restricciones médicas), datos sindicales (afiliación sindical, mandatos representativos), datos relativos a condenas penales en ciertos contextos de selección.

Estos últimos solo pueden tratarse bajo reserva de una excepción explícita prevista por el reglamento — como el cumplimiento de obligaciones legales en materia de derecho laboral, o el consentimiento explícito de la persona interesada.

El caso particular de la selección de personal

La fase de selección genera tratamientos específicos, a menudo mal regulados. La recopilación de CV, cartas de presentación y resultados de pruebas implica duraciones de conservación precisas: según las recomendaciones de la CNIL, los datos de candidatos no seleccionados deben suprimirse o anonimizarse en un plazo máximo de dos años después del último contacto. Conservar indefinidamente CVs en un directorio compartido no asegurado constituye una violación caracterizada.

El recurso a herramientas de seguimiento en los ATS (Applicant Tracking Systems) o a algoritmos de análisis de comportamiento debe ser objeto de una mención explícita en la política de privacidad transmitida a los candidatos, conforme a los artículos 13 y 14 del RGPD.

Las bases legales del tratamiento en contexto de RH

Identificar la base legal correcta

El RGPD impone que todo tratamiento de datos personales se base en una de las seis bases legales definidas en el artículo 6. En contexto de RH, tres bases se movilizan principalmente:

• La ejecución del contrato de trabajo (art. 6.1.b): justifica el tratamiento de datos necesarios para la gestión de nómina, vacaciones o formación.

• La obligación legal (art. 6.1.c): se aplica a las declaraciones sociales obligatorias (DSN), a los registros de personal o al seguimiento de accidentes laborales.

• El interés legítimo (art. 6.1.f): puede invocarse para tratamientos como la gestión de tarjetas de acceso o la videovigilancia, bajo reserva de un test de equilibrio riguroso.

El consentimiento (art. 6.1.a) es en cambio una base legal frágil en contexto laboral: la CNIL y el Comité Europeo de Protección de Datos (CEPD) recuerdan que el desequilibrio estructural entre el empleador y el trabajador dificulta la prueba de un consentimiento libre. Solo debe utilizarse en último recurso.

El registro de tratamientos, obligación ineludible

Toda organización que emplea al menos 250 personas — o que trata datos sensibles a menor escala — debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). En RH, este registro debe documentar, para cada tratamiento: la finalidad, las categorías de datos, los destinatarios, las duraciones de conservación, y las medidas de seguridad implementadas.

Este documento, puesto a disposición de la CNIL en caso de inspección, es también una herramienta de pilotaje valiosa. Combinado con una solución de firma electrónica dedicada a RH, permite rastrear y registrar con marca de tiempo cada etapa del ciclo de vida de un documento de RH, reforzando así la trazabilidad de los procesos.

Derechos de los colaboradores y obligaciones del empleador

Informar a los trabajadores: una obligación inmediata

El artículo 13 del RGPD impone informar a las personas interesadas en el momento de la recogida de sus datos. En la práctica, los departamentos de RH deben proporcionar a los trabajadores — idealmente en el momento de la firma del contrato de trabajo — un aviso de información RGPD detallando: la identidad del responsable del tratamiento, las finalidades y bases legales, la duración de conservación, los derechos disponibles y los datos de contacto del DPD (Delegado de Protección de Datos) si la empresa dispone de uno.

Digitalizar y asegurar este intercambio es esencial. El recurso a la firma electrónica en empresa para la entrega de este aviso garantiza una prueba de entrega registrada con marca de tiempo e indiscutible, alineada con los requisitos del reglamento eIDAS.

Los derechos de los trabajadores a respetar imperativamente

Los colaboradores disponen de derechos extensos sobre sus datos:

• Derecho de acceso (art. 15): todo trabajador puede solicitar una copia de todos los datos concernientes tratados por el empleador.

• Derecho de rectificación (art. 16): corrección de un dato inexacto (ej.: domicilio postal, RIB).

• Derecho al olvido (art. 17): aplicable en ciertos casos, notablemente después del fin del contrato y el transcurso de los plazos legales de conservación.

• Derecho de oposición (art. 21): el trabajador puede oponerse a un tratamiento fundamentado en el interés legítimo.

• Derecho a la limitación (art. 18): congelación temporal de un tratamiento impugnado.

El empleador dispone de un plazo de un mes para responder a cualquier solicitud de ejercicio de derechos, prorrogable a tres meses en caso de complejidad (art. 12 del RGPD).

Seguridad de datos de RH y gestión de subcontratistas

Medidas técnicas y organizativas

El artículo 32 del RGPD impone la implementación de medidas de seguridad «apropiadas al riesgo». Para datos de RH, las buenas prácticas incluyen:

• Cifrado de ficheros que contienen datos sensibles (nóminas, expedientes médicos).

• Control de accesos: principio de menor privilegio — un gestor de nómina no accede a datos disciplinarios.

• Registro de accesos a sistemas de RH (SIRH, herramientas de nómina).

• Plan de respuesta a vulneraciones: en caso de fuga de datos, el empleador dispone de 72 horas para notificar a la CNIL (art. 33), y potencialmente a las personas interesadas si el riesgo es elevado (art. 34).

Una auditoría completa a través de la guía de la firma electrónica puede ayudar a los equipos de RH a identificar tratamientos no asegurados persistentes en soporte papel y digitalizarlos de manera conforme.

Enmarcar los prestatarios de RH mediante DPA

Los servicios de RH recurren a numerosos subcontratistas: software de nómina, plataformas de formación, herramientas de gestión de tiempos. Cada prestatario que acceda a datos personales debe ser objeto de un acuerdo de tratamiento de datos (Data Processing Agreement — DPA), conforme al artículo 28 del RGPD. Este contrato debe especificar las instrucciones de tratamiento, las garantías de seguridad, las modalidades de restitución o destrucción de datos, y las obligaciones en caso de vulneración.

Seleccionar prestatarios que alojen sus infraestructuras en la Unión Europea, o que estén regulados por cláusulas contractuales tipo (CCT) aprobadas por la Comisión, sigue siendo una exigencia fundamental para evitar cualquier transferencia ilícita fuera de la UE.

Duraciones de conservación: un desafío estructurante

Las duraciones legales aplicables al expediente del trabajador

La duración de conservación de datos de RH está regulada por un apilamiento de textos: el RGPD (principio de limitación de conservación, art. 5.1.e), el Código del Trabajo, y diversas disposiciones fiscales y sociales. En la práctica, los principales plazos a respetar son:

| Tipo de documento | Duración mínima de conservación | |---|---| | Nómina | 5 años (prescripción social) | | Contrato de trabajo | 5 años después del fin del contrato | | Datos de nómina (DSN) | 3 años (control URSSAF) | | Registro de personal | 5 años después de la salida del trabajador | | Datos disciplinarios | Duración proporcional a la medida | | Expediente médico (medicina del trabajo) | 50 años (regulación específica) |

La implementación de una política de archivado y purga automatizada en el SIRH, acoplada con flujos de trabajo de firma electrónica que registren con marca de tiempo la creación de documentos, constituye hoy la mejor práctica para demostrar conformidad a la CNIL.

Las trampas a evitar

Los errores más frecuentes observados durante inspecciones CNIL en materia de datos de RH son: la conservación indefinida de CV de candidatos no seleccionados, el mantenimiento de accesos informáticos de antiguos trabajadores, la ausencia de cifrado de ficheros de nómina exportados, y la no supresión de datos de badgeado más allá de los plazos reglamentarios. Para asegurar estos puntos, consultar el comparativo de soluciones de firma electrónica permite identificar herramientas que integren nativamente funciones de archivado probatorio y gestión del ciclo de vida de documentos.

Marco legal aplicable al tratamiento de datos de RH

El tratamiento de datos personales de colaboradores se inscribe en un marco normativo denso, que articula varios niveles de regulación.

El Reglamento (UE) 2016/679 — RGPD constituye la piedra angular. Sus artículos 5 a 11 definen los principios fundamentales (licitud, lealtad, transparencia, limitación de finalidades, minimización de datos, exactitud, limitación de conservación, integridad y confidencialidad). El artículo 9 establece las condiciones estrictas aplicables a categorías particulares de datos, incluidos datos de salud y sindicales, particularmente frecuentes en RH. El artículo 83 prevé multas que pueden alcanzar 20 millones de euros o el 4 % de la facturación mundial en caso de infracción grave.

La Ley Informática y Libertades modificada (Ley n° 78-17 de 6 de enero de 1978), en su versión consolidada, adapta el RGPD al derecho francés. Confiere a la CNIL sus poderes de control y sanción, y prevé notablemente excepciones sectoriales para datos de salud en medicina del trabajo.

El Código del Trabajo regula los tratamientos relacionados con la vigilancia de trabajadores (art. L. 1121-1 sobre el respeto de la vida privada), la consulta de representantes de personal sobre herramientas numéricas (art. L. 2312-38), y los registros obligatorios.

El Reglamento eIDAS (n° 910/2014), completado por eIDAS 2.0 (Reglamento UE 2024/1183), rige el valor jurídico de firmas electrónicas apuestas en documentos de RH. Una firma electrónica cualificada (SEQ), conforme al Anexo I de eIDAS y a las normas ETSI EN 319 132 y ETSI EN 319 122, ofrece la presunción de equivalencia a la firma manuscrita en el sentido del artículo 1367 del Código Civil francés.

El artículo 1366 del Código Civil establece que «el escrito electrónico tiene la misma fuerza probatoria que el escrito en soporte papel, bajo reserva de que pueda identificarse debidamente la persona de la que emana y que esté establecido y conservado en condiciones que garanticen su integridad». Esta disposición es directamente aplicable a contratos de trabajo, anexos, acuerdos de confidencialidad y otros documentos de RH desmaterializados.

La Directiva NIS2 (UE 2022/2555), transpuesta al derecho francés por la Ley de 26 de febrero de 2025, impone a entidades esenciales e importantes (notablemente grandes empresas industriales y operadores de servicios digitales) requisitos reforzados en materia de gestión de riesgos relacionados con la seguridad de la información, incluyendo la protección de datos de RH sensibles.

Las sanciones pronunciadas por la CNIL están en fuerte aumento: en 2024, el monto total de multas supera 100 millones de euros, con varias decisiones que implican directamente incumplimientos en la gestión de datos de trabajadores. El incumplimiento de duraciones de conservación, la ausencia de DPA con subcontratistas de RH, y la insuficiencia de medidas de seguridad figuran entre los cargos más frecuentemente retenidos.

Escenarios de uso: la conformidad RGPD en RH en la práctica

Escenario 1 — Una ETI industrial de 450 trabajadores digitaliza sus procesos de incorporación

Una empresa industrial de tamaño mediano, distribuida en tres sedes en Francia, gestionaba sus contratos de trabajo y anexos en soporte papel. Los expedientes de nuevos empleados se transmitían al servicio de nómina solo después de un promedio de 12 días hábiles, generando errores de nómina en aproximadamente 8 % de los casos. Además, ningún aviso RGPD se entregaba formalmente a los nuevos empleados: la información figuraba solo al pie del reglamento interno, sin firma separada.

Tras desplegar una solución de firma electrónica integrada a su SIRH, con entrega simultánea de un aviso RGPD co-firmado por el trabajador y el DRH, la empresa redujo el plazo de incorporación documental a 2 días hábiles (reducción del 83 %). Los errores de nómina relacionados con datos faltantes bajaron a menos del 1 %. Cada documento firmado se archiva con marca de tiempo cualificada, proporcionando una prueba oponible en caso de inspección CNIL o litigio laboral.

Escenario 2 — Un grupo de distribución de 1 200 colaboradores pone en conformidad su política de conservación

Un grupo que opera en distribución especializada sufrió una inspección CNIL a consecuencia de una reclamación de un antiguo trabajador. La inspección reveló que ficheros Excel que contenían datos de nómina de trabajadores que se fueron hace más de 8 años seguían siendo accesibles en un servidor compartido no asegurado, sin cifrado. Se pronunció un aviso formal, acompañado de una orden de conformidad bajo 3 meses.

El grupo entonces realizó una auditoría completa de sus tratamientos de RH, cartografió sus 23 actividades de tratamiento, e implementó un plan de purga automatizada desencadenado por el SIRH. Los documentos firmados electrónicamente se migraron a un cofre digital con duraciones de retención configuradas según las obligaciones legales. El DPD produjo un registro de tratamientos de RH completo, presentado durante una segunda inspección CNIL 18 meses después, que concluyó sin incidentes. El costo de la conformidad se estimó en menos del 60 % del monto de una potencial multa.

Escenario 3 — Un gabinete de consultoría de RH de 35 personas asegura los datos de sus propios consultores y de sus clientes

Un gabinete especializado en recursos humanos gestiona tanto datos de sus propios consultores como datos de candidatos y trabajadores de sus empresas clientes (en el marco de misiones de evaluación o recolocación). Se encuentra así en una doble posición: responsable del tratamiento para sus propios RH, y subcontratista (o incluso coresponsable) para datos de terceros.

El gabinete implementó una arquitectura documental diferenciada: firmas electrónicas simples para intercambios internos corrientes, firmas avanzadas para contratos de misión con clientes, y acuerdos de tratamiento de datos (DPA) sistemáticamente integrados en cartas de misión. Los consultores todos recibieron una carta RGPD actualizada, firmada electrónicamente y conservada en un registro dedicado. Esta organización permitió al gabinete demostrar su conformidad como argumento comercial ante grandes cuentas sometidas a auditorías de proveedores estrictas, reduciendo el plazo promedio de contratación de 7 a 2 semanas.

Conclusión

El RGPD impone a los departamentos de recursos humanos una transformación profunda de sus prácticas: identificación rigurosa de bases legales, información efectiva de colaboradores, gestión de derechos, regulación contractual de subcontratistas, aseguramiento de datos y respeto de duraciones de conservación. Estas obligaciones no son simples formalidades administrativas — condicionan la capacidad de la empresa para evitar sanciones que pueden alcanzar varios millones de euros y para mantener la confianza de sus equipos.

La digitalización de procesos de RH, mediante soluciones de firma electrónica conforme a eIDAS, constituye uno de los palancas más eficaces para conciliar eficiencia operativa y conformidad regulatoria. Certyneo acompaña a equipos de RH en esta transición, desde la firma del contrato de empleo hasta el archivado seguro de expedientes de trabajadores.

Descubra cómo Certyneo puede asegurar sus procesos de RH consultando nuestra oferta dedicada a equipos de RH o comenzando gratuitamente para probar la solución sin compromiso.