RGPD en RH: Tratamiento de datos de empleados

El Reglamento General de Protección de Datos (RGPD) no se aplica únicamente a las relaciones comerciales entre una empresa y sus clientes: también rige, de manera muy precisa, el tratamiento de datos personales de los empleados. Reclutamiento, gestión de nómina, control de acceso, evaluación del desempeño, videovigilancia… cada etapa del ciclo de vida del contrato de trabajo genera datos de carácter personal que el empleador debe tratar en estricto cumplimiento del derecho europeo. Con multas que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial anual, la apuesta es considerable. Este artículo detalla las bases legales aplicables, las obligaciones prácticas de los departamentos de RH y las mejores prácticas para asegurar sus tratamientos, incluyendo la desmaterialización de documentos de RH.

Los fundamentos jurídicos del tratamiento de datos de RH

Las bases legales admitidas en derecho laboral

El RGPD enumera seis bases legales que permiten tratar datos personales (artículo 6). En contexto de RH, tres de ellas se utilizan de manera prácticamente sistemática:

• La ejecución del contrato de trabajo (art. 6.1.b): constituye la base principal para la gestión de nómina, el seguimiento del tiempo de trabajo, la entrega de recibos de salario o la gestión de permisos.

• La obligación legal (art. 6.1.c): justifica los tratamientos impuestos por el Código del Trabajo o la legislación social, como la declaración previa a la contratación (DPAE), la declaración social nominativa (DSN) o el mantenimiento del registro único del personal.

• El interés legítimo (art. 6.1.f): puede fundamentar ciertos tratamientos de seguridad informática o prevención del fraude interno, siempre que este interés no sea superado por los derechos fundamentales de los empleados.

⚠️ La base del consentimiento debe manejarse con extrema cautela en contexto laboral. La CNIL recuerda regularmente que el desequilibrio inherente a la relación empleador-empleado rara vez hace que el consentimiento sea "libre" en el sentido del artículo 7 del RGPD. Recurrir al consentimiento para tratamientos que podrían basarse en otra base legal expone al empleador a riesgo de recalificación.

Las categorías especiales de datos: un régimen reforzado

Ciertos datos recopilados por RH se ajustan al régimen de "datos sensibles" contemplado en el artículo 9 del RGPD, cuyo tratamiento está en principio prohibido salvo excepciones:

• Datos de salud: bajas por enfermedad, inaptitudes pronunciadas por medicina del trabajo, ajustes de puesto por discapacidad.

• Datos sindicales: afiliación sindical, mandatos representativos.

• Datos biométricos: control de acceso por huella dactilar o reconocimiento facial.

• Datos relativos a infracciones: verificación de antecedentes penales, autorizada solo en sectores regulados (seguridad, infancia, etc.).

Para estas categorías, el empleador debe identificar una excepción explícita (art. 9.2), realizar un análisis de impacto sobre la protección de datos (AIPD) en la mayoría de los casos, y a menudo consultar a la CNIL antes del despliegue.

Las obligaciones prácticas de los servicios de RH

El registro de actividades de tratamiento

Toda organización que emplee más de 250 empleados debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). Por debajo de este umbral, la obligación persiste siempre que los tratamientos no sean ocasionales o afecten datos sensibles, lo cual es casi siempre el caso en RH. Este registro debe documentar:

• La finalidad de cada tratamiento (p. ej.: "gestión de recibos de nómina")

• Las categorías de datos concernientes

• Los destinatarios (terceros, subcontratistas, autoridades)

• Las duraciones de conservación

• Las medidas de seguridad implementadas

La CNIL pone a disposición un modelo de registro descargable gratuitamente. Su mantenimiento riguroso constituye la primera línea de defensa en caso de inspección.

Las duraciones de conservación: un punto a menudo descuidado

El artículo 5.1.e del RGPD impone el principio de limitación de la conservación: los datos no deben conservarse más allá de la duración necesaria para la finalidad por la cual fueron recopilados. En RH, las duraciones legales de referencia son las siguientes:

| Tipo de dato | Duración de conservación recomendada | |---|---| | Recibo de nómina | 5 años (prescripción civil) | | Contrato de trabajo | 5 años después de la rescisión del contrato | | Datos de reclutamiento (candidato no seleccionado) | 2 años máximo después del último contacto | | Expediente disciplinario | Duración variable según la sanción (máx. 3 años para un apercibimiento) | | Datos de videovigilancia | 1 mes en general | | DSN y registro del personal | 5 años después de la salida del empleado |

Estas duraciones deben constar en el registro y aplicarse mediante procedimientos de depuración o archivado definitivo.

La información a los empleados: una obligación a menudo subestimada

El artículo 13 del RGPD impone proporcionar un aviso de información completo a las personas concernidas en el momento de la recopilación de sus datos. En RH, este aviso debe proporcionarse idealmente:

• Desde la candidatura: para los datos recopilados durante el proceso de selección.

• En la contratación: integrado en el contrato de trabajo o entregado en anexo en el momento de la firma.

• Durante la relación contractual: cada vez que se implemente un nuevo tratamiento (p. ej.: despliegue de una herramienta de puntaje biométrica).

La desmaterialización del proceso de incorporación, en particular a través de la firma electrónica para RH, facilita la trazabilidad de esta entrega de información: la fecha de lectura y firma del aviso se registra con prueba de hora, lo que constituye un elemento de prueba valioso en caso de disputa.

La seguridad de datos de RH: medidas técnicas y organizativas

Cifrado, control de acceso y segregación

El artículo 32 del RGPD exige la implementación de medidas de seguridad adaptadas al riesgo. Para datos de RH, que por naturaleza son sensibles y objetivo durante intrusiones, las buenas prácticas mínimas incluyen:

• Cifrado de datos en reposo y en tránsito: los archivos de nómina, contratos y expedientes personales deben almacenarse cifrados (AES-256 como mínimo) y transmitirse mediante protocolos seguros (TLS 1.3).

• Gestión de derechos de acceso basada en roles (RBAC): solo los gestores de RH autorizados acceden a datos de nómina; el responsable de equipo solo accede a los datos necesarios para la gestión.

• Registro de acceso: toda consulta o modificación de un expediente de empleado debe rastrearse con el identificador del usuario, fecha y hora.

• Seudonimización para tratamientos analíticos (cuadros de mando de RH, estudios de compensación).

La gestión de subcontratistas de RH

Los servicios de RH recurren a numerosos subcontratistas: proveedores de SIRH, prestadores de nómina externalizada, plataformas de capacitación, herramientas de reclutamiento en línea. Cada uno de estos terceros debe estar sujeto a un contrato de subcontratación conforme al artículo 28 del RGPD, especificando en particular:

• La naturaleza y finalidad de los tratamientos subcontratados

• Las obligaciones del subcontratista en materia de seguridad y confidencialidad

• La prohibición de subcontratar sin autorización previa

• Las modalidades de devolución o destrucción de datos al final del contrato

Al elegir a un prestador, también conviene verificar si sus servidores se encuentran localizados en el Espacio Económico Europeo (EEE) o si existe un mecanismo de transferencia adecuado (cláusulas contractuales estándar, decisión de adecuación) para transferencias fuera del EEE.

La desmaterialización de documentos de RH y la conformidad RGPD

La creciente digitalización de procesos de RH —contratos de trabajo electrónicos, recibos de nómina desmaterializados, avenimientos firmados a distancia— plantea cuestiones RGPD específicas. Si la firma electrónica conforme eIDAS aporta garantías indudables de integridad y autenticidad, el empleador debe asegurarse de que la plataforma utilizada:

• No recopile datos superfluous durante el proceso de firma (principio de minimización, art. 5.1.c)

• Conserve las pruebas de firma (pista de auditoría) en condiciones seguras y durante una duración apropiada

• Permita el ejercicio de derechos de los firmantes (acceso, rectificación, supresión dentro de los límites legales)

Para profundizar en la conformidad de herramientas de firma, la guía completa de firma electrónica de Certyneo detalla los criterios técnicos y jurídicos a verificar antes de cualquier despliegue.

Los derechos de los empleados y su ejercicio efectivo

Panorama de derechos garantizados por el RGPD

Los empleados disfrutan de todos los derechos previstos en los artículos 15 a 22 del RGPD. En contexto de RH, los derechos ejercidos más frecuentemente son:

• Derecho de acceso (art. 15): el empleado puede solicitar una copia de todos los datos que lo conciernen en poder del empleador, incluyendo intercambios de correo electrónico profesional en ciertas condiciones.

• Derecho de rectificación (art. 16): corrección de datos inexactos (error en el número de cuenta, diplomas mal registrados, etc.).

• Derecho al olvido (art. 17): limitado en RH por obligaciones legales de conservación, pero aplicable a datos de reclutamiento de candidatos no seleccionados.

• Derecho de oposición (art. 21): puede ejercerse contra un tratamiento basado en interés legítimo, como ciertos tratamientos de vigilancia.

• Derecho a la portabilidad (art. 20): aplicable a datos proporcionados por el propio empleado en el marco de la ejecución del contrato.

El plazo de respuesta y los procedimientos internos

El empleador tiene un mes para responder a cualquier solicitud de ejercicio de derechos, plazo extensible a tres meses en caso de complejidad o alto volumen de solicitudes (art. 12.3). Para organizar este tratamiento de manera eficiente, se recomienda:

• Designar un punto de contacto único (DPD o referente RGPD) para recibir solicitudes

• Implementar un formulario dedicado accesible a los empleados

• Documentar cada solicitud y su respuesta en un registro de ejercicio de derechos

• Capacitar a los gestores de RH para identificar una solicitud implícita (un empleado que reclama "su expediente personal" está ejerciendo de facto su derecho de acceso)

El papel del DPD en la empresa

El RGPD impone la designación de un Delegado de Protección de Datos (DPD) en tres casos (art. 37): autoridad pública, tratamiento a gran escala de datos sensibles, o vigilancia sistemática a gran escala. Muchas empresas cuyo tratamiento de RH es significativo entran en esta obligación. El DPD puede ser interno o externalizado; debe gozar de independencia funcional y ser asociado a todas las decisiones que impacten la protección de datos, incluyendo el despliegue de nuevas herramientas RH digitales. Su papel es consultivo y no decisional: la responsabilidad final recae en el responsable del tratamiento, es decir, el empleador.

Marco legal aplicable al tratamiento de datos de RH

El RGPD: texto fundador

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) constituye el fundamento regulatorio del tratamiento de datos personales en Europa. Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, se impone a todo empleador que trate datos de empleados residentes en la UE, independientemente de la nacionalidad de la empresa. Los artículos principales aplicables en contexto de RH son:

• Art. 5: principios fundamentales (licitud, lealtad, transparencia, minimización, exactitud, limitación de conservación, integridad y confidencialidad, responsabilidad)

• Art. 6: bases legales de tratamiento

• Art. 9: régimen de datos sensibles

• Art. 12 a 22: derechos de las personas concernidas

• Art. 24 a 32: obligaciones del responsable del tratamiento y del subcontratista

• Art. 33-34: notificación de violaciones de datos (72 horas a la CNIL, e información de personas si riesgo elevado)

• Art. 35: análisis de impacto (AIPD) obligatorio para tratamientos de riesgo elevado

• Art. 83: sanciones administrativas (hasta 20 M€ o 4% del CA mundial)

La Ley de Informática y Libertades modificada

En derecho francés, la Ley n°78-17 de 6 de enero de 1978 relativa a la informática, ficheros y libertades, modificada por la Ley n°2018-493 de 20 de junio de 2018 y la Ordenanza n°2018-1125 de 12 de diciembre de 2018, completa el RGPD abriendo márgenes de maniobra nacionales ("cláusulas de apertura"). Entre las más importantes en RH: la posibilidad de tratar datos sindicales en el marco de la gestión de instituciones representativas del personal (art. 9 de la ley), o las normas específicas para el tratamiento de datos de salud en el trabajo.

El Código del Trabajo y la jurisprudencia social

El Código del Trabajo impone obligaciones de información y consulta previa del Comité Social y Económico (CSE) antes de cualquier despliegue de dispositivo de vigilancia o control de empleados (art. L. 2312-38). La falta de consulta expone al empleador a la inoponibilidad de las pruebas recogidas así como a sanciones penales.

La jurisprudencia de la Corte de Casación recuerda regularmente que las herramientas de control (geolocalización, sistema de fichaje, software de seguimiento de actividad) deben ser proporcionales al objetivo perseguido y no pueden desviarse hacia otros fines que los declarados a los empleados y a la CNIL.

La firma electrónica de documentos de RH: eIDAS y Código Civil

Al desmaterializar contratos de trabajo, avenimientos o documentos disciplinarios, el empleador debe respetar el Reglamento (UE) n°910/2014 eIDAS, que define tres niveles de firma electrónica. Para documentos tan estructurantes como un contrato de trabajo CDI o un documento de ruptura convencional, se recomienda una firma electrónica avanzada (o incluso cualificada) para garantizar la identidad del firmante e integridad del documento. El Código Civil en los artículos 1366 y 1367 consagra el valor probatorio de la escritura electrónica y la firma electrónica, siempre que exista identificación confiable del firmante y garantía de integridad.

Sanciones pronunciadas por la CNIL en materia de RH

La CNIL ha pronunciado varias sanciones significativas en materia de tratamiento de datos de RH: en 2022, una empresa fue condenada a 400 000 € de multa por vigilancia excesiva de empleados en teletrabajo mediante software de captura de pantalla. En 2023, una empresa de seguridad fue sancionada con 200 000 € por recopilación excesiva de datos biométricos sin base legal válida. Estas decisiones ilustran la creciente vigilancia del regulador sobre este perímetro.

Escenarios de uso: RGPD RH en la práctica

Escenario 1 — Una pyme industrial de 450 empleados se adecúa a su proceso de reclutamiento

Una empresa industrial de tamaño intermedio, con aproximadamente 450 empleados en tres sitios, recibía cada año más de 3 000 candidaturas espontáneas y respondía a unos sesenta puestos ofertados. Los currículums y cartas de presentación se almacenaban sin limitación de tiempo en una bandeja de correo compartida entre seis responsables de servicio. Ningún aviso de información se entregaba a los candidatos sobre el uso de sus datos.

Tras una auditoría RGPD, las siguientes acciones se desplegaron en seis meses:

• Migración a un ATS (Sistema de Seguimiento de Candidatos) certificado conforme RGPD, con depuración automática de expedientes después de 24 meses de inactividad

• Inclusión de un aviso de información RGPD en cada formulario de candidatura en línea

• Firma electrónica de cartas de contratación y contratos de trabajo mediante una plataforma conforme eIDAS, reduciendo el plazo de devolución de contratos firmados de 8 días en promedio a menos de 48 horas

• Actualización del registro de actividades de tratamiento con 12 nuevas fichas de tratamiento de RH

Resultado: ninguna solicitud a la CNIL recibida en los 18 meses siguientes; ganancia estimada de 1,2 ETP en gestión administrativa del reclutamiento gracias a la desmaterialización.

Escenario 2 — Un grupo de distribución de 1 200 empleados encuadra su política de videovigilancia

Un grupo especializado en distribución de alimentos había desplegado un sistema de videovigilancia que cubría 34 puntos de venta. Las imágenes se conservaban 45 días en algunos sitios, sin información mostrada a los empleados. Varios captores cubrían los puestos de caja de manera permanente, generando riesgo de vigilancia desproporcionada.

Tras una queja de empleado ante la CNIL, la empresa emprendió una adecuación incluyendo:

• Reducción de la duración de conservación a 30 días máximo en todos los sitios

• Reposicionamiento de cámaras para excluir vigilancia continua de puestos de trabajo individuales

• Consulta y acuerdo del CSE central antes de cualquier nuevo despliegue

• Información sistemática de empleados mediante contratos de trabajo y carta interna afichada

Resultado: cierre de la queja de la CNIL sin sanción; mejora del clima social medida en la siguiente encuesta de satisfacción anual (+11 puntos en el ítem "confianza hacia el empleador").

Escenario 3 — Un gabinete de consultoría de RH externalizado asegura transferencias de datos con sus clientes

Un gabinete especializado en externalización de nómina y administración del personal gestionaba expedientes de empleados para aproximadamente veinte clientes pyme, representando alrededor de 1 800 recibos de nómina mensuales. Los archivos de nómina se transmitían por correo electrónico sin cifrar, sin contrato de subcontratación formalizado en el sentido del artículo 28 del RGPD.

El gabinete emprendió una refundición completa de sus prácticas:

• Firma de Acuerdos de Procesamiento de Datos (DPA) conformes al artículo 28 con cada uno de sus clientes, mediante una plataforma de firma electrónica avanzada permitiendo trazabilidad

• Implementación de un portal de cliente seguro (cifrado TLS + autenticación de dos factores) para depósito y recuperación de archivos de nómina

• Alojamiento de datos en servidores localizados en Francia, certificados HDS para datos de salud en el trabajo

• Redacción de una política de subcontratación encuadrando el recurso a terceros (editor de software de nómina, archivador)

Resultado: reducción del 100% de transmisiones de datos de RH por correo electrónico no seguro; obtención de dos nuevos contratos de clientes que hicieron de la conformidad RGPD un criterio de selección obligatorio en su llamada a licitación.

Conclusión

El RGPD en RH no se resume a una carga administrativa adicional: es un apalancamiento de confianza entre el empleador y sus colaboradores, y un factor de competitividad en un mercado laboral donde la transparencia es cada vez más valorada. Registro de tratamientos mantenido actualizado, duraciones de conservación controladas, información a empleados formalizada, seguridad reforzada de datos sensibles y subcontratistas contractualizados: cada uno de estos pilares contribuye a construir una política de RH a la vez legal y responsable.

La desmaterialización de documentos de RH —contratos, avenimientos, recibos de nómina, avisos de información— ofrece una oportunidad única de combinar conformidad RGPD y eficiencia operativa, siempre que se apoye en herramientas certificadas. Certyneo le acompaña en esta ruta con una solución de firma electrónica conforme eIDAS, diseñada para equipos de RH. Descubra nuestros precios e inicie su prueba gratuita en Certyneo para asegurar sus documentos de RH hoy mismo.