RGPD en RH: Tratamiento de Datos de los Colaboradores

Introducción

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, los servicios de RH están en primera línea de cumplimiento. Las funciones de recursos humanos tratan diariamente datos personales sensibles: CV, nóminas, datos de salud, evaluaciones, coordenadas bancarias. Una mala gestión expone a la empresa a sanciones que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial (artículo 83 del RGPD). Este artículo presenta las obligaciones clave y las buenas prácticas para asegurar el tratamiento de datos de colaboradores a lo largo del ciclo de RH.

Los principios fundamentales aplicables a los datos de RH

El RGPD impone seis principios cardinales codificados en el artículo 5: legalidad, lealtad, transparencia, limitación de finalidades, minimización, exactitud, limitación de conservación e integridad/confidencialidad. En la práctica, esto significa que el servicio de RH solo puede recopilar los datos estrictamente necesarios para una finalidad determinada. Por ejemplo, solicitar el número de seguridad social desde la candidatura es desproporcionado: solo se justifica después de la contratación para la DSN.

La CNIL, a través de su deliberación n° 2019-160 relativa a un referencial sobre gestión de personal, precisa las duraciones de conservación recomendadas: 2 años para candidaturas no seleccionadas (salvo consentimiento), 5 años después de la salida para el expediente administrativo, 6 años para las nóminas en versión empleador.

Base legal e información de los colaboradores

Contrario a una idea preconcebida, el consentimiento es raramente la base legal adecuada en RH, debido a la relación de subordinación. Las bases pertinentes son más bien la ejecución del contrato de trabajo (artículo 6.1.b), la obligación legal (artículo 6.1.c) o el interés legítimo (artículo 6.1.f). Para datos sensibles (salud, sindicales), el artículo 9 exige una base específica como la obligación en materia de derecho del trabajo.

El empleador debe entregar una información clara a través de un aviso RGPD entregado en la contratación, actualizar el registro de tratamientos (artículo 30) y consultar al comité de empresa antes de cualquier nuevo tratamiento que impacte a los empleados (artículo L.2312-38 del Código del Trabajo).

Seguridad y derechos de los colaboradores

La seguridad técnica y organizacional (artículo 32) impone: cifrado de SIRH, control de acceso por perfil, trazabilidad de las consultas, cláusulas de confidencialidad con subcontratistas de nómina o reclutamiento (artículo 28). En caso de violación, notificación a la CNIL dentro de 72 horas.

Los colaboradores disponen de derechos reforzados: acceso, rectificación, supresión (limitado por las obligaciones legales de conservación), portabilidad, oposición. Un procedimiento interno debe permitir responder dentro de un máximo de un mes. El rechazo de acceso al expediente disciplinario debe ser motivado jurídicamente.

Ejemplos prácticos

Ejemplo 1 – Reclutamiento: Una PYME conserva desde hace 5 años los CV de todos los candidatos en una carpeta compartida. No conforme: duración excesiva, ausencia de segurización. Solución: purga automatizada a 2 años, acceso restringido a reclutadores, mención RGPD en la oferta de empleo.

Ejemplo 2 – Videovigilancia: Un almacén logístico filma continuamente los puestos de trabajo. Sanción posible (la CNIL sancionó a Amazon France Logistique con 32 M€ en 2024). Solución: limitar a zonas sensibles, información individual, consulta al comité de empresa, duración de conservación de un máximo de un mes.

Ejemplo 3 – Herramientas colaborativas: El despliegue de Microsoft 365 requiere un análisis de impacto (AIPD) si se activan funciones de monitoreo, así como una cláusula de subcontratación conforme con el editor.

Conformidad y sanciones

Además de las multas de la CNIL, el empleador se expone a acciones ante los tribunales de lo social por vulneración de la vida privada (artículo 9 del Código Civil, artículo L.1121-1 del Código del Trabajo). La designación de un DPO es obligatoria para las entidades que tratan datos a gran escala. Una cartografía anual de los tratamientos de RH, acoplada a una formación de los managers, constituye la mejor protección jurídica y operacional.

Conclusión

La conformidad RGPD en RH no es un proyecto puntual sino una estrategia continua de mejora. Entre obligaciones legales, derechos de los empleados y desempeño operacional, los DRH deben pilotar la gobernanza de datos con rigor. Invertir en un SIRH conforme, formar los equipos y documentar cada tratamiento transforma la restricción reglamentaria en un factor de confianza colaborativa.