RGPD en RH: Tratamiento de datos de empleados

El Reglamento General de Protección de Datos (RGPD) no se aplica únicamente a las relaciones comerciales entre una empresa y sus clientes: también regula, de manera muy precisa, el tratamiento de datos personales de los empleados. Contratación, gestión de nómina, control de acceso, evaluación del desempeño, videovigilancia… cada etapa del ciclo de vida del contrato de trabajo genera datos personales que el empleador debe tratar en estricto cumplimiento con el derecho europeo. Con multas que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial anual, el desafío es considerable. Este artículo detalla las bases legales aplicables, las obligaciones prácticas de los servicios de RH y las mejores prácticas para asegurar sus tratamientos, incluyendo la desmaterialización de documentos de RH.

Los fundamentos jurídicos del tratamiento de datos de RH

Las bases legales admitidas en derecho laboral

El RGPD enumera seis bases legales que permiten tratar datos personales (artículo 6). En contexto de RH, tres de ellas se utilizan casi sistemáticamente:

• La ejecución del contrato de trabajo (art. 6.1.b): constituye la base principal para la gestión de nómina, el seguimiento de la jornada laboral, la entrega de nóminas o la gestión de vacaciones.

• La obligación legal (art. 6.1.c): justifica los tratamientos impuestos por el Código del Trabajo o la legislación social, como la declaración previa a la contratación, la declaración social nominativa o el mantenimiento del registro único del personal.

• El interés legítimo (art. 6.1.f): puede fundamentar ciertos tratamientos de seguridad informática o prevención de fraude interno, siempre que este interés no sea suplantado por los derechos fundamentales de los empleados.

⚠️ La base del consentimiento debe manejarse con extrema precaución en contexto laboral. La CNIL recuerda regularmente que el desequilibrio inherente a la relación empleador-empleado hace que el consentimiento raramente sea «libre» en el sentido del artículo 7 del RGPD. Recurrir al consentimiento para tratamientos que podrían basarse en otra base legal expone al empleador a un riesgo de recalificación.

Las categorías especiales de datos: un régimen reforzado

Ciertos datos recopilados por RH están sujetos al régimen de «datos sensibles» contemplado en el artículo 9 del RGPD, cuyo tratamiento está en principio prohibido salvo excepciones:

• Datos de salud: bajas por enfermedad, incapacidades declaradas por medicina laboral, adaptaciones de puesto por discapacidad.

• Datos sindicales: afiliación sindical, mandatos representativos.

• Datos biométricos: control de acceso por huella digital o reconocimiento facial.

• Datos relativos a infracciones: verificación de antecedentes penales, autorizada solo en sectores regulados (seguridad, infancia, etc.).

Para estas categorías, el empleador debe identificar una excepción explícita (art. 9.2), realizar un análisis de impacto sobre la protección de datos (AIPD) en la mayoría de los casos, y frecuentemente consultar a la CNIL antes del despliegue.

Las obligaciones prácticas de los servicios de RH

El registro de las actividades de tratamiento

Todo organismo que emplea a más de 250 empleados debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). Por debajo de este umbral, la obligación subsiste si los tratamientos no son ocasionales o afectan a datos sensibles, lo que casi siempre es el caso en RH. Este registro debe documentar:

• La finalidad de cada tratamiento (por ejemplo: «gestión de nóminas»)

• Las categorías de datos afectadas

• Los destinatarios (terceros, subcontratistas, autoridades)

• Los plazos de conservación

• Las medidas de seguridad implementadas

La CNIL pone a disposición un modelo de registro descargable libremente. Su mantenimiento riguroso constituye la primera línea de defensa en caso de inspección.

Los plazos de conservación: un punto frecuentemente descuidado

El artículo 5.1.e del RGPD impone el principio de limitación de conservación: los datos no deben conservarse más allá de la duración necesaria para la finalidad por la que fueron recopilados. En RH, los plazos legales de referencia son los siguientes:

| Tipo de dato | Plazo de conservación recomendado | |---|---| | Nómina | 5 años (prescripción civil) | | Contrato de trabajo | 5 años después de la rescisión del contrato | | Datos de selección (candidato no seleccionado) | 2 años máximo después del último contacto | | Expediente disciplinario | Plazo variable según la sanción (máx. 3 años para amonestación) | | Datos de videovigilancia | 1 mes en regla general | | Registro del personal y DSN | 5 años después de la salida del empleado |

Estos plazos deben constar en el registro y aplicarse mediante procedimientos de depuración o archivo definitivo.

La información a los empleados: una obligación frecuentemente subestimada

El artículo 13 del RGPD impone proporcionar una notificación de información completa a las personas concernidas en el momento de la recopilación de sus datos. En RH, esta notificación idealmente debe entregarse:

• Desde la candidatura: para datos recopilados durante el proceso de selección.

• En la contratación: integrada en el contrato de trabajo o entregada en anexo al momento de la firma.

• Durante la relación contractual: cada vez que se implemente un nuevo tratamiento (por ejemplo: despliegue de una herramienta de control de asistencia biométrica).

La desmaterialización del proceso de incorporación, en particular mediante firma electrónica para RH, facilita la trazabilidad de esta entrega de información: la fecha de lectura y firma de la notificación está marcada con hora de forma probante, lo que constituye un elemento de prueba valioso en caso de disputa.

La seguridad de los datos de RH: medidas técnicas y organizacionales

Cifrado, control de acceso y compartimentalización

El artículo 32 del RGPD exige la implementación de medidas de seguridad adaptadas al riesgo. Para datos de RH, que por naturaleza son sensibles y objetivo en intrusiones, las buenas prácticas mínimas incluyen:

• Cifrado de datos en reposo y en tránsito: los archivos de nómina, contratos y expedientes personales deben almacenarse cifrados (AES-256 como mínimo) y transmitirse mediante protocolos seguros (TLS 1.3).

• Gestión de derechos de acceso basada en roles (RBAC): solo los gestores de RH autorizados acceden a datos de nómina; el responsable de equipo accede solo a los datos necesarios para la gestión.

• Registro de accesos: todo acceso o modificación de un expediente de empleado debe quedar registrado con el identificador del usuario, la fecha y la hora.

• Seudonimización para tratamientos analíticos (cuadros de mando de RH, estudios de remuneración).

La gestión de subcontratistas de RH

Los servicios de RH recurren a numerosos subcontratistas: proveedores de SIRH, prestadores de nómina externalizada, plataformas de formación, herramientas de selección en línea. Cada uno de estos terceros debe estar sujeto a un contrato de subcontratación conforme al artículo 28 del RGPD, especificando particularmente:

• La naturaleza y finalidad de los tratamientos subcontratados

• Las obligaciones del subcontratista en materia de seguridad y confidencialidad

• La prohibición de sub-subcontratar sin autorización previa

• Las modalidades de devolución o destrucción de datos al término del contrato

Al elegir un proveedor, también debe verificarse si sus servidores están ubicados en el Espacio Económico Europeo (EEE) o si existe un mecanismo de transferencia adecuado (cláusulas contractuales tipo, decisión de adecuación) para transferencias fuera del EEE.

La desmaterialización de documentos de RH y conformidad RGPD

La creciente digitalización de procesos de RH —contratos de trabajo electrónicos, nóminas desmaterializadas, adendas firmadas a distancia— suscita cuestiones RGPD específicas. Si la firma electrónica conforme eIDAS aporta garantías innegables de integridad y autenticidad, el empleador debe asegurar que la plataforma utilizada:

• No recopile datos superfluos durante el proceso de firma (principio de minimización, art. 5.1.c)

• Conserve las pruebas de firma (pista de auditoría) en condiciones seguras y durante un plazo apropiado

• Permita el ejercicio de los derechos de los firmantes (acceso, rectificación, supresión dentro de los límites legales)

Para profundizar en la conformidad de herramientas de firma, la guía completa de firma electrónica de Certyneo detalla los criterios técnicos y jurídicos a verificar antes de cualquier despliegue.

Los derechos de los empleados y su ejercicio efectivo

Panorama de los derechos garantizados por el RGPD

Los empleados gozan de todos los derechos previstos en los artículos 15 a 22 del RGPD. En contexto de RH, los derechos más frecuentemente ejercidos son:

• Derecho de acceso (art. 15): el empleado puede solicitar una copia de todos los datos que le conciernen en poder del empleador, incluyendo intercambios de correo electrónico profesional en ciertas condiciones.

• Derecho de rectificación (art. 16): corrección de datos inexactos (error en la cuenta bancaria, diploma mal registrado, etc.).

• Derecho al olvido (art. 17): limitado en RH por obligaciones legales de conservación, pero aplicable a datos de selección de un candidato no contratado.

• Derecho de oposición (art. 21): puede ejercerse contra un tratamiento basado en interés legítimo, como ciertos tratamientos de vigilancia.

• Derecho de portabilidad (art. 20): aplicable a datos proporcionados por el mismo empleado en el contexto de la ejecución del contrato.

El plazo de respuesta y los procedimientos internos

El empleador dispone de un mes para responder a cualquier solicitud de ejercicio de derechos, plazo extensible a tres meses en caso de complejidad o volumen elevado de solicitudes (art. 12.3). Para organizar este tratamiento eficientemente, se recomienda:

• Designar un punto de contacto único (DPD o referente RGPD) para recibir solicitudes

• Implementar un formulario dedicado accesible a los empleados

• Documentar cada solicitud y su respuesta en un registro de ejercicio de derechos

• Formar a los gestores de RH para identificar una solicitud implícita (un empleado que reclama «su expediente personal» ejerce de facto su derecho de acceso)

El papel del DPD en la empresa

El RGPD impone la designación de un Delegado de Protección de Datos (DPD) en tres casos (art. 37): autoridad pública, tratamiento a gran escala de datos sensibles, o vigilancia sistemática a gran escala. Muchas empresas cuyo tratamiento de RH es significativo entran en esta obligación. El DPD puede ser interno o externalizado; debe contar con independencia funcional y estar asociado a todas las decisiones que impacten la protección de datos, incluyendo el despliegue de nuevas herramientas numéricas de RH. Su papel es consultivo y no decisional: la responsabilidad final sigue siendo la del responsable del tratamiento, es decir, el empleador.

Marco legal aplicable al tratamiento de datos de RH

El RGPD: texto fundacional

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) constituye la base regulatoria del tratamiento de datos personales en Europa. Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, se impone a todo empleador que trate datos de empleados residentes en la UE, independientemente de la nacionalidad de la empresa. Los principales artículos aplicables en contexto de RH son:

• Art. 5: principios fundamentales (licitud, lealtad, transparencia, minimización, exactitud, limitación de conservación, integridad y confidencialidad, responsabilidad)

• Art. 6: bases legales de tratamiento

• Art. 9: régimen de datos sensibles

• Art. 12 a 22: derechos de las personas concernidas

• Art. 24 a 32: obligaciones del responsable del tratamiento y del subcontratista

• Art. 33-34: notificación de violaciones de datos (72 horas a la CNIL, e información de las personas si riesgo elevado)

• Art. 35: análisis de impacto (AIPD) obligatorio para tratamientos de riesgo elevado

• Art. 83: sanciones administrativas (hasta 20 M€ o 4% del volumen de negocios mundial)

La Ley Informática y Libertades modificada

En derecho francés, la Ley n°78-17 de 6 de enero de 1978 relativa a informática, ficheros y libertades, modificada por la Ley n°2018-493 de 20 de junio de 2018 y la Ordenanza n°2018-1125 de 12 de diciembre de 2018, complementa el RGPD abriendo márgenes de maniobra nacional (« cláusulas de apertura »). Entre las más importantes en RH: la posibilidad de tratar datos sindicales en el contexto de la gestión de instituciones representativas del personal (art. 9 de la ley), o las reglas específicas para el tratamiento de datos de salud en el trabajo.

El Código del Trabajo y la jurisprudencia social

El Código del Trabajo impone obligaciones de información y consulta previa del Comité Social y Económico (CSE) antes de cualquier despliegue de dispositivo de vigilancia o control de empleados (art. L. 2312-38). La ausencia de consulta expone al empleador a la inoponibilidad de las pruebas recopiladas así como a sanciones penales.

La jurisprudencia del Tribunal de Casación recuerda regularmente que las herramientas de control (geolocalización, reloj marcador, software de seguimiento de actividad) deben ser proporcionadas al objetivo perseguido y no pueden ser desviadas a otras finalidades que las declaradas a los empleados y a la CNIL.

La firma electrónica de documentos de RH: eIDAS y Código Civil

Cuando se desmaterializan contratos de trabajo, adendas o documentos disciplinarios, el empleador debe respetar el Reglamento (UE) n°910/2014 eIDAS, que define tres niveles de firma electrónica. Para documentos tan estructurantes como un contrato de trabajo CDI o un documento de rescisión convencional, se recomienda una firma electrónica avanzada (incluso calificada) para garantizar la identidad del firmante y la integridad del documento. El Código Civil en los artículos 1366 y 1367 consagra el valor probatorio del escrito electrónico y de la firma electrónica, bajo reserva de identificación fiable del firmante y garantía de integridad.

Sanciones pronunciadas por la CNIL en materia de RH

La CNIL ha pronunciado varias sanciones significativas en materia de tratamiento de datos de RH: en 2022, una empresa fue condenada a 400 000 € de multa por vigilancia excesiva de empleados en teletrabajo mediante software de captura de pantalla. En 2023, una empresa de seguridad fue sancionada con 200 000 € por recopilación excesiva de datos biométricos sin base legal válida. Estas decisiones ilustran la vigilancia creciente del regulador en este ámbito.

Escenarios de uso: RGPD RH en la práctica

Escenario 1 — Una empresa mediana de 450 empleados se pone en conformidad en su proceso de selección

Una empresa mediana industrial, que emplea aproximadamente 450 personas en tres sitios, recibía cada año más de 3 000 candidaturas espontáneas y respondía a una sesenta de ofertas de empleo. Los currículums y cartas de presentación se almacenaban sin limitación de duración en una bandeja de entrada compartida entre seis responsables de servicio. Ninguna notificación de información se proporcionaba a los candidatos sobre el uso de sus datos.

Tras una auditoría RGPD, se desplegaron las siguientes acciones en seis meses:

• Migración a un ATS (Sistema de Seguimiento de Candidatos) certificado conforme RGPD, con depuración automática de expedientes tras 24 meses de inactividad

• Adición de una notificación de información RGPD en cada formulario de candidatura en línea

• Firma electrónica de cartas de contratación y contratos de trabajo mediante una plataforma conforme eIDAS, reduciendo el plazo de devolución de contratos firmados de 8 días en promedio a menos de 48 horas

• Actualización del registro de actividades de tratamiento con 12 nuevas fichas de tratamiento de RH

Resultado: ninguna solicitud CNIL recibida en los 18 meses siguientes; ganancia estimada de 1,2 equivalentes a tiempo completo en la gestión administrativa de la selección gracias a la desmaterialización.

Escenario 2 — Un grupo de distribución de 1 200 empleados regula su política de videovigilancia

Un grupo especializado en distribución de alimentos había desplegado un sistema de videovigilancia que cubría 34 puntos de venta. Las imágenes se conservaban 45 días en algunos sitios, sin información mostrada a los empleados. Varios sensores cubrían las cajas registradoras de manera permanente, generando un riesgo de vigilancia desproporcionada.

Tras una queja de empleado ante la CNIL, la empresa inició una puesta en conformidad incluyendo:

• Reducción del plazo de conservación a máximo 30 días en todos los sitios

• Reposicionamiento de cámaras para excluir la vigilancia continua de puestos de trabajo individuales

• Consulta y acuerdo del CSE central antes de cualquier nuevo despliegue

• Información sistemática de empleados mediante contratos de trabajo y una carta interna visible

Resultado: cierre de la queja CNIL sin sanción; mejora del clima laboral medida en la encuesta de satisfacción anual siguiente (+11 puntos en el elemento « confianza en el empleador »).

Escenario 3 — Un gabinete de consultoría de RH externalizado asegura las transferencias de datos con sus clientes

Un gabinete especializado en externalización de nómina y administración de personal gestionaba expedientes de empleados de veinte pequeñas y medianas empresas clientes, representando aproximadamente 1 800 nóminas mensuales. Los archivos de nómina se transmitían por correo electrónico sin cifrar, sin contrato de subcontratación formalizado en el sentido del artículo 28 del RGPD.

El gabinete inició una refundición completa de sus prácticas:

• Firma de Contratos de Tratamiento de Datos (DPA) conformes al artículo 28 con cada uno de sus clientes, mediante una plataforma de firma electrónica avanzada que permite la trazabilidad

• Implementación de un portal cliente seguro (cifrado TLS + autenticación de doble factor) para la carga y recuperación de archivos de nómina

• Alojamiento de datos en servidores ubicados en Francia, certificados HDS para datos de salud en el trabajo

• Redacción de una política de subcontratación que regule el recurso a terceros (proveedor de software de nómina, archivador)

Resultado: reducción del 100% de transmisiones de datos de RH por correo electrónico no seguro; obtención de dos nuevos contratos de clientes que habían hecho de la conformidad RGPD un criterio de selección obligatorio en su proceso de licitación.

Conclusión

El RGPD en RH no se resume a una restricción administrativa adicional: es un mecanismo de confianza entre el empleador y sus colaboradores, y un factor de competitividad en un mercado laboral donde la transparencia es cada vez más valorada. Registro de tratamientos actualizado, plazos de conservación controlados, información a empleados formalizada, seguridad reforzada de datos sensibles y subcontratistas contratados: cada uno de estos pilares contribuye a construir una política de RH que sea legal y responsable.

La desmaterialización de documentos de RH —contratos, adendas, nóminas, notificaciones de información— ofrece una oportunidad única de combinar conformidad RGPD y eficiencia operacional, siempre que se apoye en herramientas certificadas. Certyneo le acompaña en esta iniciativa con una solución de firma electrónica conforme eIDAS, diseñada para equipos de RH. Descubra nuestros precios y lance su prueba gratuita en Certyneo para asegurar sus documentos de RH hoy mismo.