RGPD en RH: Tratamiento de Datos de Colaboradores

La gestión de recursos humanos genera, cada día, un volumen considerable de datos personales: contratos de trabajo, nóminas, datos de salud, evaluaciones de desempeño, coordenadas bancarias… Desde la entrada en vigor del Reglamento General sobre Protección de Datos (RGPD) en mayo de 2018, los departamentos de RH se han convertido en actores centrales de la conformidad dentro de las organizaciones. Sin embargo, según el informe de actividades 2024 de la CNIL, el sector de recursos humanos sigue siendo uno de los tres ámbitos más frecuentemente cuestionados durante los controles. Este artículo te guía a través de las obligaciones clave, buenas prácticas y herramientas disponibles para tratar los datos de tus colaboradores con total conformidad.

¿Qué datos personales tratan las RH?

Las categorías de datos comunes

Los servicios RH manipulan un espectro muy amplio de datos personales. Se distinguen dos grandes familias:

Los datos ordinarios, recopilados en el marco del contrato de trabajo: nombre, apellido, domicilio, número de seguridad social, IBAN, CV, diplomas, historial profesional, evaluaciones anuales, horarios de trabajo, datos de presencia y ausencia.

Los datos sensibles, sujetos a restricciones reforzadas en el sentido del artículo 9 del RGPD: datos de salud (bajas por enfermedad, declaraciones de accidentes de trabajo, restricciones médicas), datos sindicales (afiliación sindical, mandatos representativos), datos relativos a condenas penales en ciertos contextos de contratación.

Estos últimos solo pueden ser tratados bajo reserva de una excepción explícita prevista por el reglamento — como el cumplimiento de obligaciones legales en materia de derecho laboral, o el consentimiento explícito de la persona interesada.

El caso particular de la contratación

La fase de contratación genera tratamientos específicos, a menudo mal regulados. La recopilación de CV, cartas de presentación y resultados de pruebas implica plazos de conservación precisos: según las recomendaciones de la CNIL, los datos de candidatos no seleccionados deben ser suprimidos o anonimizados en un plazo máximo de dos años después del último contacto. Conservar indefinidamente CVs en un directorio compartido no asegurado constituye una violación caracterizada.

El uso de herramientas de seguimiento en los ATS (Sistemas de Seguimiento de Candidatos) o algoritmos de análisis de comportamiento debe ser mencionado explícitamente en la política de privacidad transmitida a los candidatos, conforme a los artículos 13 y 14 del RGPD.

Las bases legales del tratamiento en contexto RH

Identificar la base legal correcta

El RGPD impone que todo tratamiento de datos personales se base en una de las seis bases legales definidas en el artículo 6. En contexto RH, tres bases son principalmente utilizadas:

• La ejecución del contrato de trabajo (art. 6.1.b): justifica el tratamiento de datos necesarios para la gestión de nómina, permisos o formación.

• La obligación legal (art. 6.1.c): se aplica a las declaraciones sociales obligatorias (DSN), registros de personal o seguimiento de accidentes de trabajo.

• El interés legítimo (art. 6.1.f): puede invocarse para tratamientos como la gestión de insignias de acceso o videovigilancia, bajo reserva de una prueba de equilibrio rigurosa.

El consentimiento (art. 6.1.a) es en cambio una base legal frágil en contexto de trabajo: la CNIL y el Comité Europeo de Protección de Datos (CEPD) recuerdan que el desequilibrio estructural entre empleador y trabajador dificulta la prueba de un consentimiento libre. Solo debe ser utilizado como último recurso.

El registro de tratamientos, obligación ineludible

Toda organización que emplea al menos 250 personas — o que trata datos sensibles a menor escala — debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). En RH, este registro debe documentar, para cada tratamiento: la finalidad, las categorías de datos, los destinatarios, los plazos de conservación y las medidas de seguridad implementadas.

Este documento, disponible para la CNIL en caso de control, es también una herramienta de gestión valiosa. Combinado con una solución de firma electrónica dedicada a RH, permite rastrear y registrar cada etapa del ciclo de vida de un documento RH, reforzando así la auditabilidad de los procesos.

Derechos de los colaboradores y obligaciones del empleador

Informar a los empleados: una obligación inmediata

El artículo 13 del RGPD impone informar a las personas interesadas en el momento de la recopilación de sus datos. En la práctica, las RH deben proporcionar a los empleados — idealmente desde la firma del contrato de trabajo — un aviso de información RGPD detallando: la identidad del responsable del tratamiento, las finalidades y bases legales, la duración de conservación, los derechos disponibles y las coordenadas del DPD (Delegado de Protección de Datos) si la empresa dispone de uno.

Digitalizar y asegurar este intercambio es esencial. El recurso a la firma electrónica en empresa para la entrega de este aviso garantiza una prueba de entrega con marca de tiempo e incontestable, alineada con los requisitos del reglamento eIDAS.

Los derechos de los empleados a respetar imperativamente

Los colaboradores disponen de derechos extendidos sobre sus datos:

• Derecho de acceso (art. 15): todo empleado puede solicitar una copia de todos los datos que le conciernen tratados por el empleador.

• Derecho de rectificación (art. 16): corrección de un dato inexacto (p. ej.: domicilio, IBAN).

• Derecho al olvido (art. 17): aplicable en ciertos casos, en particular después del fin del contrato y el transcurso de los plazos legales de conservación.

• Derecho de oposición (art. 21): el empleado puede oponerse a un tratamiento basado en interés legítimo.

• Derecho de limitación (art. 18): congelación temporal de un tratamiento controvertido.

El empleador dispone de un plazo de un mes para responder a cualquier solicitud de ejercicio de derechos, extensible a tres meses en caso de complejidad (art. 12 del RGPD).

Seguridad de datos RH y gestión de subcontratistas

Medidas técnicas y organizacionales

El artículo 32 del RGPD impone la implementación de medidas de seguridad "apropiadas al riesgo". Para datos RH, las buenas prácticas incluyen:

• Cifrado de archivos que contienen datos sensibles (nóminas, expedientes médicos).

• Control de accesos: principio de menor privilegio — un gestor de nómina no tiene acceso a datos disciplinarios.

• Registro de accesos a sistemas RH (SIRH, herramientas de nómina).

• Plan de respuesta a violaciones: en caso de fuga de datos, el empleador dispone de 72 horas para notificar a la CNIL (art. 33), y potencialmente a las personas interesadas si el riesgo es elevado (art. 34).

Una auditoría completa a través de la guía de firma electrónica puede ayudar a los equipos RH a identificar tratamientos inseguros persistentes en soporte papel y digitalizarlos de manera conforme.

Encuadrar los proveedores RH mediante DPA

Los servicios RH recurren a numerosos subcontratistas: software de nómina, plataformas de formación, herramientas de gestión de tiempos. Cada proveedor que acceda a datos personales debe ser objeto de un acuerdo de procesamiento de datos (Data Processing Agreement — DPA), conforme al artículo 28 del RGPD. Este contrato debe precisar las instrucciones de tratamiento, garantías de seguridad, modalidades de restitución o destrucción de datos, y obligaciones en caso de violación.

Seleccionar proveedores que alojan sus infraestructuras en la Unión Europea, o encuadrados por cláusulas contractuales tipo (CCT) aprobadas por la Comisión, sigue siendo un requisito fundamental para evitar cualquier transferencia ilícita fuera de la UE.

Plazos de conservación: un enjuego estructurante

Los plazos legales aplicables al expediente laboral

La duración de conservación de datos RH está regulada por un conjunto de textos: el RGPD (principio de limitación de conservación, art. 5.1.e), el Código de Trabajo, y diversas disposiciones fiscales y sociales. En la práctica, los principales plazos a respetar son:

| Tipo de documento | Duración de conservación mínima | |---|---| | Nómina | 5 años (prescripción social) | | Contrato de trabajo | 5 años después del fin del contrato | | Datos de nómina (DSN) | 3 años (control URSSAF) | | Registro de personal | 5 años después de la salida del empleado | | Datos disciplinarios | Duración proporcional a la medida | | Expediente médico (medicina del trabajo) | 50 años (regulación específica) |

La implementación de una política de archivo y purga automatizada en el SIRH, coupled a flujos de trabajo de firma electrónica que registren la creación de documentos con marca de tiempo, constituye hoy la mejor práctica para demostrar conformidad a la CNIL.

Las trampas a evitar

Los errores más frecuentes observados durante los controles CNIL en materia de datos RH son: la conservación indefinida de CV de candidatos no seleccionados, el mantenimiento de accesos informáticos de antiguos empleados, la ausencia de cifrado en archivos de nómina exportados, y la no supresión de datos de control de acceso más allá de los plazos reglamentarios. Para asegurar estos puntos, consultar el comparativo de soluciones de firma electrónica permite identificar herramientas que integren nativamente funciones de archivo probatorio y gestión del ciclo de vida de documentos.

Marco legal aplicable al tratamiento de datos RH

El tratamiento de datos personales de colaboradores se inscribe en un marco normativo denso, que articula varios niveles de regulación.

El Reglamento (UE) 2016/679 — RGPD constituye la piedra angular. Sus artículos 5 a 11 definen los principios fundamentales (licitud, lealtad, transparencia, limitación de finalidades, minimización de datos, exactitud, limitación de conservación, integridad y confidencialidad). El artículo 9 establece las condiciones estrictas aplicables a categorías particulares de datos, incluyendo datos de salud y sindicales, particularmente frecuentes en RH. El artículo 83 prevé multas que pueden alcanzar 20 millones de euros o 4% de la facturación mundial en caso de violación grave.

La Ley de Informática y Libertades modificada (ley n° 78-17 del 6 de enero de 1978), en su versión consolidada, adapta el RGPD al derecho francés. Confiere a la CNIL sus poderes de control y sanción, y prevé en particular excepciones sectoriales para datos de salud en medicina del trabajo.

El Código de Trabajo encuadra los tratamientos relacionados con la vigilancia de empleados (art. L. 1121-1 sobre respeto de vida privada), consulta de representantes del personal sobre herramientas digitales (art. L. 2312-38), y registros obligatorios.

El Reglamento eIDAS (n° 910/2014), completado por eIDAS 2.0 (Reglamento UE 2024/1183), regula el valor jurídico de las firmas electrónicas apuestas en documentos RH. Una firma electrónica cualificada (SEQ), conforme al anexo I de eIDAS y a las normas ETSI EN 319 132 y ETSI EN 319 122, ofrece la presunción de equivalencia a firma manuscrita en el sentido del artículo 1367 del Código Civil francés.

El artículo 1366 del Código Civil establece que "el escrito electrónico tiene el mismo valor probatorio que el escrito en soporte papel, bajo reserva de que pueda identificarse debidamente la persona de quien emana y que esté establecido y conservado en condiciones que garanticen su integridad". Esta disposición es directamente aplicable a contratos de trabajo, adendas, acuerdos de confidencialidad y otros documentos RH desmaterializados.

La directiva NIS2 (UE 2022/2555), transpuesta a derecho francés por la ley del 26 de febrero de 2025, impone a entidades esenciales e importantes (en particular grandes empresas industriales y operadores de servicios digitales) requisitos reforzados en materia de gestión de riesgos relacionados con seguridad de la información, incluyendo protección de datos RH sensibles.

Las sanciones impuestas por la CNIL están en fuerte alza: en 2024, el importe total de multas supera 100 millones de euros, con varias decisiones implicando directamente incumplimientos en la gestión de datos de empleados. El no respeto de plazos de conservación, ausencia de DPA con subcontratistas RH, e insuficiencia de medidas de seguridad figuran entre los cargos más frecuentemente retenidos.

Escenarios de uso: la conformidad RGPD en RH en la práctica

Escenario 1 — Una ETI industrial de 450 empleados digitaliza sus procesos de incorporación

Una empresa industrial de tamaño intermedio, distribuida en tres sitios en Francia, gestionaba sus contratos de trabajo y adendas en soporte papel. Los expedientes de nuevos empleados eran transmitidos al servicio de nómina solo después de un promedio de 12 días hábiles, generando errores de nómina en aproximadamente el 8% de los casos. Además, ningún aviso RGPD era entregado formalmente a los nuevos empleados: la información figuraba solo en el pie del reglamento interno, no firmado por separado.

Tras el despliegue de una solución de firma electrónica integrada a su SIRH, con entrega simultánea de un aviso RGPD co-firmado por el empleado y el Director de RH, la empresa redujo el plazo de incorporación documental a 2 días hábiles (reducción del 83%). Los errores de nómina relacionados con datos faltantes cayeron a menos del 1%. Cada documento firmado es archivado con marca de tiempo cualificada, proporcionando una prueba oponible en caso de control CNIL o litigio laboral.

Escenario 2 — Un grupo de distribución de 1.200 colaboradores pone en conformidad su política de conservación

Un grupo operando en distribución especializada sufrió un control CNIL como consecuencia de una reclamación de un antiguo empleado. La inspección reveló que archivos Excel conteniendo datos de nómina de empleados partido hace más de 8 años seguían siendo accesibles en un servidor compartido no asegurado, sin cifrado. Se pronunció un aviso formal, acompañado de una orden de cumplimiento en un plazo de 3 meses.

El grupo entonces emprendió una auditoría completa de sus tratamientos RH, cartografió sus 23 actividades de tratamiento, e implementó un plan de purga automatizada activado por el SIRH. Los documentos firmados electrónicamente fueron migrados a una bóveda digital con duraciones de retención configuradas según obligaciones legales. El DPD produjo un registro completo de tratamientos RH, presentado en un segundo control CNIL 18 meses después, que concluyó sin incidencias. El costo de puesta en conformidad se estimó en menos del 60% del importe de una potencial multa.

Escenario 3 — Un consultorio de RH de 35 personas asegura los datos de sus propios consultores y clientes

Un consultorio especializado en recursos humanos gestiona tanto los datos de sus propios consultores como los de candidatos y empleados de sus empresas clientes (en el marco de misiones de evaluación u outplacement). Se encuentra así en doble posición: responsable de tratamiento para sus propias RH, y subcontratista (o coresponsable) para datos de terceros.

El consultorio implementó una arquitectura documental diferenciada: firmas electrónicas simples para intercambios internos habituales, firmas avanzadas para contratos de misión con clientes, y acuerdos de procesamiento de datos (DPA) sistemáticamente integrados en cartas de misión. Los consultores recibieron todos una carta RGPD actualizada, firmada electrónicamente y conservada en registro dedicado. Esta organización permitió al consultorio exhibir su conformidad como argumento comercial ante grandes cuentas sometidas a auditorías de proveedores estrictas, reduciendo el plazo promedio de contractualización de 7 a 2 semanas.

Conclusión

El RGPD impone a los departamentos de recursos humanos una transformación profunda de sus prácticas: identificación rigurosa de bases legales, información efectiva de colaboradores, gestión de derechos, encuadramiento contractual de subcontratistas, aseguramiento de datos y respeto de plazos de conservación. Estas obligaciones no son simples formalidades administrativas — condicionan la capacidad de la empresa para evitar sanciones que pueden alcanzar varios millones de euros y mantener la confianza de sus equipos.

La digitalización de procesos RH, mediante soluciones de firma electrónica conforme eIDAS, constituye uno de los mejores apoyos para conciliar eficiencia operacional y conformidad regulatoria. Certyneo acompaña a los equipos RH en esta transición, desde la firma del contrato de trabajo hasta el archivo seguro de expedientes de empleados.

Descubre cómo Certyneo puede asegurar tus procesos RH consultando nuestra oferta dedicada a equipos RH o comenzando gratuitamente para probar la solución sin compromiso.