RGPD en RH: Tratamiento de datos de los colaboradores

La gestión de recursos humanos genera, cada día, un volumen considerable de datos personales: contratos de trabajo, nóminas, datos de salud, evaluaciones de desempeño, coordenadas bancarias… Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, los departamentos de RH se han convertido en actores centrales del cumplimiento normativo dentro de las organizaciones. Sin embargo, según el informe de actividad 2024 de la CNIL, el sector de recursos humanos sigue siendo uno de los tres ámbitos más frecuentemente cuestionados durante inspecciones. Este artículo le guía a través de las obligaciones clave, las mejores prácticas y las herramientas disponibles para tratar los datos de sus colaboradores en total conformidad.

¿Qué datos personales tratan los servicios de RH?

Las categorías de datos comunes

Los servicios de RH manipulan un espectro muy amplio de datos personales. Se distinguen dos grandes familias:

Los datos ordinarios, recopilados en el marco del contrato de trabajo: nombre, apellido, dirección, número de seguridad social, IBAN, CV, diplomas, historial profesional, evaluaciones anuales, horarios de trabajo, datos de presencia y ausencia.

Los datos sensibles, sujetos a restricciones reforzadas en el sentido del artículo 9 del RGPD: datos de salud (bajas médicas, declaraciones de accidentes de trabajo, restricciones médicas), datos sindicales (afiliación sindical, mandatos representativos), datos relativos a condenas penales en ciertos contextos de reclutamiento.

Estos últimos solo pueden ser tratados bajo reserva de una excepción explícita prevista por el reglamento — como el cumplimiento de las obligaciones legales en materia de derecho laboral, o el consentimiento explícito de la persona afectada.

El caso particular del reclutamiento

La fase de reclutamiento genera tratamientos específicos, a menudo mal regulados. La recopilación de CV, cartas de motivación y resultados de pruebas implica duraciones de conservación precisas: según las recomendaciones de la CNIL, los datos de los candidatos no seleccionados deben ser eliminados o anonimizados en un plazo máximo de dos años después del último contacto. Conservar CV indefinidamente en un directorio compartido no asegurado constituye una violación caracterizada.

El recurso a herramientas de seguimiento en los ATS (Sistemas de Seguimiento de Candidatos) o a algoritmos de análisis de comportamiento debe figurar explícitamente en la política de privacidad transmitida a los candidatos, de conformidad con los artículos 13 y 14 del RGPD.

Las bases legales del tratamiento en contexto de RH

Identificar la base legal correcta

El RGPD impone que todo tratamiento de datos personales se base en una de las seis bases legales definidas en el artículo 6. En contexto de RH, tres bases se movilizan principalmente:

• La ejecución del contrato de trabajo (art. 6.1.b): justifica el tratamiento de datos necesarios para la gestión de nómina, vacaciones o formación.

• La obligación legal (art. 6.1.c): se aplica a las declaraciones sociales obligatorias (DSN), registros de personal o seguimiento de accidentes de trabajo.

• El interés legítimo (art. 6.1.f): puede invocarse para tratamientos como la gestión de badges de acceso o videovigilancia, bajo reserva de una prueba de equilibrio rigurosa.

El consentimiento (art. 6.1.a) es, en cambio, una base legal frágil en contexto laboral: la CNIL y el Comité Europeo de Protección de Datos (CEPD) recuerdan que el desequilibrio estructural entre el empleador y el trabajador dificulta la prueba de un consentimiento libre. Solo debe utilizarse como último recurso.

El registro de tratamientos, obligación ineludible

Toda organización que emplea al menos 250 personas — o que trata datos sensibles a menor escala — debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). En RH, este registro debe documentar, para cada tratamiento: la finalidad, las categorías de datos, los destinatarios, las duraciones de conservación, y las medidas de seguridad implementadas.

Este documento, puesto a disposición de la CNIL en caso de inspección, es también una herramienta de gestión valiosa. Combinado con una solución de firma electrónica dedicada a RH, permite rastrear e hidromarcar cada etapa del ciclo de vida de un documento de RH, reforzando así la capacidad de auditoría de los procesos.

Derechos de los colaboradores y obligaciones del empleador

Informar a los salariados: una obligación inmediata

El artículo 13 del RGPD impone informar a las personas afectadas en el momento de la recopilación de sus datos. En la práctica, los departamentos de RH deben proporcionar a los salariados — idealmente al momento de la firma del contrato de trabajo — un aviso de información RGPD detallando: la identidad del responsable del tratamiento, las finalidades y bases legales, la duración de conservación, los derechos disponibles y las coordenadas del DPO (Delegado de Protección de Datos) si la empresa dispone de uno.

Digitalizar y asegurar este intercambio es esencial. El recurso a la firma electrónica en la empresa para la entrega de este aviso garantiza una prueba de entrega marcada con fecha y hora e incontestable, alineada con los requisitos del reglamento eIDAS.

Los derechos de los salariados a respetar imperiosamente

Los colaboradores disponen de derechos amplios sobre sus datos:

• Derecho de acceso (art. 15): todo salarido puede solicitar una copia de todos los datos que le conciernen tratados por el empleador.

• Derecho de rectificación (art. 16): corrección de un dato inexacto (ej.: dirección postal, IBAN).

• Derecho al olvido (art. 17): aplicable en ciertos casos, en particular después del fin del contrato y tras el transcurso de los plazos legales de conservación.

• Derecho de oposición (art. 21): el salarido puede oponerse a un tratamiento basado en el interés legítimo.

• Derecho a la limitación (art. 18): congelación temporal de un tratamiento cuestionado.

El empleador dispone de un plazo de un mes para responder a toda solicitud de ejercicio de derechos, extensible a tres meses en caso de complejidad (art. 12 del RGPD).

Seguridad de datos de RH y gestión de subcontratistas

Medidas técnicas y organizativas

El artículo 32 del RGPD impone la implementación de medidas de seguridad "apropiadas al riesgo". Para los datos de RH, las mejores prácticas incluyen:

• Cifrado de archivos que contienen datos sensibles (nóminas, expedientes médicos).

• Control de acceso: principio del menor privilegio — un gestor de nómina no tiene acceso a datos disciplinarios.

• Registro de accesos a sistemas de RH (SIRH, herramientas de nómina).

• Plan de respuesta a violaciones: en caso de fuga de datos, el empleador dispone de 72 horas para notificar a la CNIL (art. 33), y potencialmente a las personas afectadas si el riesgo es elevado (art. 34).

Una auditoría completa mediante la guía de firma electrónica puede ayudar a los equipos de RH a identificar los tratamientos no asegurados que persisten en soporte papel y digitalizarlos de manera conforme.

Encuadrar los prestadores de RH mediante DPA

Los servicios de RH recurren a numerosos subcontratistas: software de nómina, plataformas de formación, herramientas de gestión de tiempos. Cada prestador que accede a datos personales debe ser objeto de un acuerdo de tratamiento de datos (Data Processing Agreement — DPA), de conformidad con el artículo 28 del RGPD. Este contrato debe precisar las instrucciones de tratamiento, las garantías de seguridad, las modalidades de restitución o destrucción de datos, y las obligaciones en caso de violación.

Seleccionar prestadores que alojen sus infraestructuras en la Unión Europea, o encuadrados por cláusulas contractuales tipo (CCT) aprobadas por la Comisión, sigue siendo un requisito fundamental para evitar cualquier transferencia ilícita fuera de la UE.

Duraciones de conservación: un asunto estructurante

Las duraciones legales aplicables al expediente del salarido

La duración de conservación de datos de RH se encuadra por un apilamiento de textos: el RGPD (principio de limitación de conservación, art. 5.1.e), el Código del Trabajo, y diversas disposiciones fiscales y sociales. En la práctica, los principales plazos a respetar son:

| Tipo de documento | Duración mínima de conservación | |---|---| | Nómina | 5 años (prescripción social) | | Contrato de trabajo | 5 años después del fin del contrato | | Datos de nómina (DSN) | 3 años (control URSSAF) | | Registro de personal | 5 años después de la salida del salarido | | Datos disciplinarios | Duración proporcional a la medida | | Expediente médico (medicina del trabajo) | 50 años (regulación específica) |

Implementación de una política de archivado y purga automatizada en el SIRH, acoplada a flujos de trabajo de firma electrónica que marcan con hora la creación de documentos, constituye hoy la mejor práctica para demostrar conformidad ante la CNIL.

Las trampas a evitar

Los errores más frecuentes observados durante inspecciones de la CNIL en materia de datos de RH son: la conservación indefinida de CV de candidatos no seleccionados, el mantenimiento de accesos informáticos de antiguos salariados, la ausencia de cifrado de archivos de nómina exportados, y la no-eliminación de datos de badgeado más allá de los plazos reglamentarios. Para asegurar estos puntos, consultar la comparativa de soluciones de firma electrónica permite identificar las herramientas que integran nativamente funciones de archivado probatorio y gestión del ciclo de vida de documentos.

Marco legal aplicable al tratamiento de datos de RH

El tratamiento de datos personales de los colaboradores se inscribe en un marco normativo denso, que articula varios niveles de regulación.

El Reglamento (UE) 2016/679 — RGPD constituye la piedra angular. Sus artículos 5 a 11 definen los principios fundamentales (legalidad, lealtad, transparencia, limitación de finalidades, minimización de datos, exactitud, limitación de conservación, integridad y confidencialidad). El artículo 9 establece las condiciones estrictas aplicables a categorías especiales de datos, incluyendo datos de salud y sindicales, particularmente frecuentes en RH. El artículo 83 prevé multas que pueden alcanzar 20 millones de euros o 4% de la facturación mundial en caso de violación grave.

La Ley de Informática y Libertades modificada (Ley n° 78-17 de 6 de enero de 1978), en su versión consolidada, adapta el RGPD al derecho francés. Confiere a la CNIL sus poderes de inspección y sanción, y prevé en particular excepciones sectoriales para datos de salud en medicina del trabajo.

El Código del Trabajo encuadra los tratamientos relacionados con la vigilancia de los salariados (art. L. 1121-1 sobre el respeto de la vida privada), la consulta de representantes del personal sobre herramientas digitales (art. L. 2312-38), y registros obligatorios.

El Reglamento eIDAS (n° 910/2014), complementado por eIDAS 2.0 (Reglamento UE 2024/1183), rige el valor legal de las firmas electrónicas estampadas en documentos de RH. Una firma electrónica calificada (SEQ), conforme al anexo I de eIDAS y a las normas ETSI EN 319 132 y ETSI EN 319 122, ofrece la presunción de equivalencia a la firma manuscrita en el sentido del artículo 1367 del Código Civil francés.

El artículo 1366 del Código Civil establece que "el escrito electrónico tiene la misma fuerza probatoria que el escrito en soporte papel, bajo reserva de que pueda identificarse debidamente la persona de la que emana y de que sea establecido y conservado en condiciones tales que garanticen su integridad". Esta disposición es directamente aplicable a contratos de trabajo, enmiendas, acuerdos de confidencialidad y otros documentos de RH desmaterializados.

La Directiva NIS2 (UE 2022/2555), transpuesta al derecho francés por la Ley de 26 de febrero de 2025, impone a las entidades esenciales e importantes (en particular las grandes empresas industriales y operadores de servicios digitales) requisitos reforzados en materia de gestión de riesgos relacionados con la seguridad de la información, incluyendo la protección de datos sensibles de RH.

Las sanciones pronunciadas por la CNIL están en fuerte alza: en 2024, el monto total de multas supera 100 millones de euros, con varias decisiones que implican directamente incumplimientos en la gestión de datos de salariados. El incumplimiento de duraciones de conservación, la ausencia de DPA con subcontratistas de RH, y la insuficiencia de medidas de seguridad figuran entre los reproches más frecuentemente retenidos.

Escenarios de uso: conformidad RGPD en RH en la práctica

Escenario 1 — Una PYME industrial de 450 salariados digitaliza sus procesos de incorporación

Una empresa industrial de tamaño intermedio, distribuida en tres sedes en Francia, gestionaba sus contratos de trabajo y enmiendas en soporte papel. Los expedientes de nuevos empleados no eran transmitidos al servicio de nómina hasta después de un promedio de 12 días hábiles, generando errores de nómina en aproximadamente 8% de los casos. Además, ningún aviso RGPD era entregado de manera formal a los nuevos empleados: la información figuraba únicamente al pie del reglamento interno, no firmado por separado.

Tras la implementación de una solución de firma electrónica integrada a su SIRH, con entrega simultánea de un aviso RGPD co-firmado por el salarido y el Director de RH, la empresa redujo el plazo de digitalización de incorporación a 2 días hábiles (reducción del 83%). Los errores de nómina debidos a datos faltantes bajaron a menos del 1%. Cada documento firmado se archiva con marcación de hora cualificada, proporcionando una prueba oponible en caso de inspección CNIL o litigio laboral.

Escenario 2 — Un grupo de distribución de 1 200 colaboradores pone en conformidad su política de conservación

Un grupo que opera en la distribución especializada fue objeto de una inspección de la CNIL como consecuencia de una reclamación de un antiguo salarido. La inspección reveló que archivos Excel que contenían datos de nómina de salariados que se fueron hace más de 8 años todavía eran accesibles en un servidor compartido no asegurado, sin cifrado. Se pronunció un apercibimiento formal, acompañado de una orden de puesta en conformidad en 3 meses.

El grupo realizó entonces una auditoría completa de sus tratamientos de RH, cartografió sus 23 actividades de tratamiento, e implementó un plan de purga automatizada activado por el SIRH. Los documentos firmados electrónicamente fueron migrados a una caja fuerte digital con duraciones de retención configuradas según las obligaciones legales. El DPO produjo un registro completo de tratamientos de RH, presentado durante una segunda inspección de la CNIL 18 meses después, que concluyó sin observaciones. El costo de la puesta en conformidad se estimó en menos del 60% del monto de una multa potencial.

Escenario 3 — Un despacho de consultoría de RH de 35 personas asegura los datos de sus propios consultores y de sus clientes

Un despacho especializado en recursos humanos gestiona tanto los datos de sus propios consultores como los de candidatos y salariados de sus empresas clientes (en el marco de misiones de evaluación o recolocación). Se encuentra así en una doble posición: responsable de tratamiento para su propia RH, y subcontratista (o corresponsable) para datos de terceros.

El despacho implementó una arquitectura documental diferenciada: firmas electrónicas simples para intercambios internos comunes, firmas avanzadas para contratos de misión con clientes, y acuerdos de tratamiento de datos (DPA) sistemáticamente integrados a las cartas de encargo. Todos los consultores recibieron una carta RGPD actualizada, firmada electrónicamente y conservada en un registro dedicado. Esta organización permitió al despacho mostrar su conformidad como argumento comercial ante grandes cuentas sometidas a auditorías de proveedores estrictas, reduciendo el plazo medio de contratación de 7 a 2 semanas.

Conclusión

El RGPD impone a los departamentos de recursos humanos una transformación profunda de sus prácticas: identificación rigurosa de bases legales, información efectiva de colaboradores, gestión de derechos, encuadramiento contractual de subcontratistas, aseguramiento de datos y respeto de duraciones de conservación. Estas obligaciones no son simples formalidades administrativas — condicionan la capacidad de la empresa para evitar sanciones que pueden alcanzar varios millones de euros y para mantener la confianza de sus equipos.

La digitalización de procesos de RH, mediante soluciones de firma electrónica conformes a eIDAS, constituye uno de los apalancamientos más efectivos para conciliar eficiencia operativa y conformidad regulatoria. Certyneo acompaña a los equipos de RH en esta transición, desde la firma del contrato de empleo hasta el archivado seguro de expedientes de salariados.

Descubra cómo Certyneo puede asegurar sus procesos de RH consultando nuestra oferta dedicada a equipos de RH o comenzando de forma gratuita para probar la solución sin compromiso.