RGPD en RH: Tratamiento de Datos de Colaboradores

Introducción

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, los servicios de RH están en primera línea del cumplimiento normativo. Las funciones de recursos humanos tratan diariamente datos personales sensibles: currículums, nóminas, datos de salud, evaluaciones, coordenadas bancarias. Una mala gestión expone a la empresa a sanciones que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial (artículo 83 del RGPD). Este artículo presenta las obligaciones clave y las mejores prácticas para asegurar el tratamiento de datos de colaboradores a lo largo del ciclo de RH.

Los principios fundamentales aplicables a los datos de RH

El RGPD impone seis principios cardinales codificados en el artículo 5: licitud, lealtad, transparencia, limitación de finalidades, minimización, exactitud, limitación de conservación e integridad/confidencialidad. En la práctica, esto significa que el servicio de RH solo puede recopilar los datos estrictamente necesarios para una finalidad determinada. Por ejemplo, solicitar el número de seguridad social desde la candidatura es desproporcionado: solo se justifica después de la contratación para la declaración de afiliación.

La CNIL, a través de su deliberación n° 2019-160 que establece el referencial relativo a la gestión del personal, precisa las duraciones de conservación recomendadas: 2 años para las candidaturas no seleccionadas (excepto consentimiento), 5 años después del desvinculación para el expediente administrativo, 6 años para las nóminas en versión empleador.

Base legal e información de los colaboradores

Contrariamente a una idea preconcebida, el consentimiento es rara vez la base legal adecuada en RH, debido a la relación de subordinación. Las bases pertinentes son más bien la ejecución del contrato de trabajo (artículo 6.1.b), la obligación legal (artículo 6.1.c) o el interés legítimo (artículo 6.1.f). Para los datos sensibles (salud, sindicales), el artículo 9 exige una base específica como la obligación en materia de derecho laboral.

El empleador debe entregar una información clara mediante un aviso RGPD entregado al ingreso, actualizar el registro de tratamientos (artículo 30) y consultar al comité de empresa antes de cualquier nuevo tratamiento que impacte a los empleados (artículo L.2312-38 del Código del Trabajo).

Seguridad y derechos de los colaboradores

La seguridad técnica y organizacional (artículo 32) impone: cifrado de sistemas de información de RH, control de acceso por perfil, trazabilidad de consultas, cláusulas de confidencialidad con subcontratistas de nómina o reclutamiento (artículo 28). En caso de violación, notificación a la CNIL en 72 horas.

Los colaboradores disponen de derechos reforzados: acceso, rectificación, supresión (limitada por las obligaciones legales de conservación), portabilidad, oposición. Un procedimiento interno debe permitir responder en un máximo de un mes. La negativa de acceso al expediente disciplinario debe estar justificada jurídicamente.

Ejemplos prácticos

Ejemplo 1 – Reclutamiento: Una PYME conserva desde hace 5 años los currículums de todos los candidatos en una carpeta compartida. No conforme: duración excesiva, ausencia de segurización. Solución: purga automatizada a 2 años, acceso restringido a los reclutadores, mención RGPD en la oferta de empleo.

Ejemplo 2 – Videovigilancia: Un almacén logístico graba continuamente los puestos de trabajo. Sanción posible (la CNIL sancionó a Amazon France Logistique con 32 M€ en 2024). Solución: limitar a zonas sensibles, información individual, consulta con el comité de empresa, duración de conservación de un máximo de un mes.

Ejemplo 3 – Herramientas colaborativas: El despliegue de Microsoft 365 requiere un análisis de impacto (AIPD) si se activan funciones de monitoreo, así como una cláusula de subcontratación conforme con el editor.

Conformidad y sanciones

Además de las multas de la CNIL, el empleador se expone a acciones ante los tribunales laborales por vulneración de la privacidad (artículo 9 del Código Civil, artículo L.1121-1 del Código del Trabajo). La designación de un DPD es obligatoria para las entidades que tratan datos a gran escala. Un mapeo anual de los tratamientos de RH, acoplado con una formación de los directivos, constituye la mejor protección jurídica y operacional.

Conclusión

La conformidad RGPD en RH no es un proyecto puntual sino una estrategia continua de mejora. Entre obligaciones legales, derechos de los empleados y desempeño operacional, los directores de RH deben pilotar la gobernanza de datos con rigor. Invertir en un sistema de información de RH conforme, formar a los equipos y documentar cada tratamiento transforma la restricción reglamentaria en un apalancamiento de confianza colaborativa.