RGPD en RH: Tratamiento de datos de empleados

El Reglamento General de Protección de Datos (RGPD) no se aplica únicamente a las relaciones comerciales entre una empresa y sus clientes: también regula, de forma muy precisa, el tratamiento de datos personales de los empleados. Reclutamiento, gestión de nómina, control de acceso, evaluación del desempeño, videovigilancia... cada etapa del ciclo de vida del contrato de trabajo genera datos personales que el empleador debe tratar en estricta conformidad con la ley europea. Con multas que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial anual, el reto es considerable. Este artículo detalla las bases legales aplicables, las obligaciones prácticas de los servicios de RH y las mejores prácticas para asegurar tus tratamientos, incluyendo la desmaterialización de documentos de RH.

Los fundamentos jurídicos del tratamiento de datos de RH

Las bases legales reconocidas en derecho laboral

El RGPD enumera seis bases legales que permiten tratar datos personales (artículo 6). En contexto de RH, tres de ellas se utilizan prácticamente siempre:

• La ejecución del contrato de trabajo (art. 6.1.b): constituye la base principal para la gestión de nómina, el seguimiento del tiempo de trabajo, la entrega de nóminas o la gestión de vacaciones.

• La obligación legal (art. 6.1.c): justifica los tratamientos requeridos por el Código del Trabajo o la legislación social, como la declaración previa a la contratación (DPAE), la declaración social nominativa (DSN) o la mantención del registro único del personal.

• El interés legítimo (art. 6.1.f): puede fundamentar ciertos tratamientos de seguridad informática o prevención del fraude interno, siempre que este interés no sea superado por los derechos fundamentales de los empleados.

⚠️ La base del consentimiento debe manejarse con extrema cautela en contexto laboral. La CNIL recuerda regularmente que el desequilibrio inherente a la relación empleador-empleado hace que el consentimiento raramente sea "libre" en el sentido del artículo 7 del RGPD. Recurrir al consentimiento para tratamientos que podrían basarse en otra base legal expone al empleador al riesgo de recalificación.

Las categorías particulares de datos: un régimen reforzado

Algunos datos recopilados por RH caen bajo el régimen de "datos sensibles" mencionado en el artículo 9 del RGPD, cuyo tratamiento está en principio prohibido salvo excepciones:

• Datos de salud: ausencias por enfermedad, incapacidades pronunciadas por medicina del trabajo, ajustes de puesto por discapacidad.

• Datos sindicales: afiliación a un sindicato, mandatos representativos.

• Datos biométricos: control de acceso por huella digital o reconocimiento facial.

• Datos relativos a infracciones: verificación de antecedentes penales, autorizada solo en sectores regulados (seguridad, infancia, etc.).

Para estas categorías, el empleador debe identificar una excepción explícita (art. 9.2), realizar un análisis de impacto sobre la protección de datos (AIPD) en la mayoría de casos, y frecuentemente consultar a la CNIL antes del despliegue.

Las obligaciones prácticas de los servicios de RH

El registro de actividades de tratamiento

Todo organismo que emplea más de 250 empleados debe mantener un registro de actividades de tratamiento (art. 30 del RGPD). Por debajo de este umbral, la obligación subsiste cuando los tratamientos no son ocasionales o afectan datos sensibles, lo que es casi siempre el caso en RH. Este registro debe documentar:

• La finalidad de cada tratamiento (ej.: "gestión de nóminas")

• Las categorías de datos involucradas

• Los destinatarios (terceros, subcontratistas, autoridades)

• Los plazos de conservación

• Las medidas de seguridad implementadas

La CNIL pone a disposición un modelo de registro descargable gratuitamente. Su mantención rigurosa constituye la primera línea de defensa ante un control.

Los plazos de conservación: un punto frecuentemente descuidado

El artículo 5.1.e del RGPD impone el principio de limitación de conservación: los datos no deben conservarse más allá del tiempo necesario para la finalidad para la cual fueron recopilados. En RH, los plazos legales de referencia son los siguientes:

| Tipo de dato | Plazo de conservación recomendado | |---|---| | Nómina | 5 años (prescripción civil) | | Contrato de trabajo | 5 años después de la terminación del contrato | | Datos de reclutamiento (candidato no seleccionado) | Máximo 2 años después del último contacto | | Expediente disciplinario | Plazo variable según la sanción (máx. 3 años para amonestación) | | Datos de videovigilancia | 1 mes en general | | DSN y registro del personal | 5 años después de la salida del empleado |

Estos plazos deben constar en el registro y aplicarse mediante procedimientos de purga o archivo definitivo.

La información a los empleados: una obligación frecuentemente subestimada

El artículo 13 del RGPD obliga a proporcionar un aviso de información completo a las personas involucradas al momento de la recopilación de sus datos. En RH, este aviso debería entregarse idealmente:

• Al postular: para los datos recopilados durante el proceso de selección.

• Al contratar: integrado en el contrato de trabajo o entregado en anexo al momento de la firma.

• Durante la relación contractual: ante cada nuevo tratamiento implementado (ej.: despliegue de una herramienta de asistencia biométrica).

La desmaterialización del proceso de incorporación, especialmente mediante la firma electrónica para RH, facilita la trazabilidad de esta entrega de información: la fecha de lectura y firma del aviso queda registrada de manera probatoria, constituyendo un elemento de prueba valioso en caso de litigio.

La seguridad de los datos de RH: medidas técnicas y organizacionales

Cifrado, control de acceso y aislamiento

El artículo 32 del RGPD exige la implementación de medidas de seguridad adaptadas al riesgo. Para datos de RH, que por naturaleza son sensibles y objetivo de intrusiones, las buenas prácticas mínimas incluyen:

• Cifrado de datos en reposo y en tránsito: los archivos de nómina, contratos y expedientes personales deben almacenarse cifrados (AES-256 como mínimo) y transmitirse mediante protocolos seguros (TLS 1.3).

• Gestión de derechos de acceso basada en roles (RBAC): solo los gestores de RH autorizados acceden a datos de nómina; el responsable del equipo accede solo a los datos necesarios para la gestión.

• Registro de accesos: toda consulta o modificación de un expediente de empleado debe registrarse con el identificador del usuario, fecha y hora.

• Seudonimización para tratamientos analíticos (paneles de RH, estudios de remuneración).

La gestión de subcontratistas de RH

Los servicios de RH recurren a numerosos subcontratistas: editores de SIRH, proveedores de nómina externalizada, plataformas de capacitación, herramientas de selección en línea. Cada uno de estos terceros debe estar sujeto a un contrato de subcontratación conforme al artículo 28 del RGPD, precisando en particular:

• La naturaleza y finalidad de los tratamientos subcontratados

• Las obligaciones del subcontratista en materia de seguridad y confidencialidad

• La prohibición de sub-subcontratar sin autorización previa

• Las modalidades de devolución o destrucción de datos al finalizar el contrato

Al elegir un proveedor, también conviene verificar si sus servidores están ubicados en el Espacio Económico Europeo (EEE) o si existe un mecanismo de transferencia adecuado (cláusulas contractuales tipo, decisión de adecuación) para transferencias fuera del EEE.

La desmaterialización de documentos de RH y cumplimiento RGPD

La creciente digitalización de procesos de RH —contratos de trabajo electrónicos, nóminas desmaterializadas, enmiendas firmadas a distancia— suscita cuestiones RGPD específicas. Si la firma electrónica conforme eIDAS proporciona garantías innegables de integridad y autenticidad, el empleador debe asegurarse de que la plataforma utilizada:

• No recopile datos superfluos durante el proceso de firma (principio de minimización, art. 5.1.c)

• Conserve las pruebas de firma (pista de auditoría) en condiciones seguras y durante un plazo apropiado

• Permita el ejercicio de derechos de los firmantes (acceso, rectificación, supresión dentro de límites legales)

Para profundizar en el cumplimiento de herramientas de firma, la guía completa de firma electrónica de Certyneo detalla los criterios técnicos y jurídicos a verificar antes de cualquier despliegue.

Los derechos de los empleados y su ejercicio efectivo

Panorama de derechos garantizados por el RGPD

Los empleados se benefician de todos los derechos previstos en los artículos 15 a 22 del RGPD. En contexto de RH, los derechos más frecuentemente ejercidos son:

• Derecho de acceso (art. 15): el empleado puede solicitar una copia de todos los datos que lo conciernen que posea el empleador, incluyendo intercambios de correos electrónicos profesionales en ciertas condiciones.

• Derecho de rectificación (art. 16): corrección de datos inexactos (error en RIB, diploma mal registrado, etc.).

• Derecho al olvido (art. 17): limitado en RH por obligaciones legales de conservación, pero aplicable a datos de selección de candidatos no elegidos.

• Derecho de oposición (art. 21): puede ejercerse contra un tratamiento fundamentado en interés legítimo, como ciertos tratamientos de vigilancia.

• Derecho de portabilidad (art. 20): aplicable a datos proporcionados por el empleado mismo en el contexto de ejecución del contrato.

El plazo de respuesta y procedimientos internos

El empleador dispone de un mes para responder a toda solicitud de ejercicio de derechos, plazo prorrogable a tres meses en caso de complejidad o volumen elevado de solicitudes (art. 12.3). Para organizar este tratamiento eficientemente, se recomienda:

• Designar un único punto de contacto (DPO o referente RGPD) para recibir solicitudes

• Establecer un formulario dedicado accesible a los empleados

• Documentar cada solicitud y su respuesta en un registro de ejercicio de derechos

• Capacitar a gestores de RH para identificar una solicitud implícita (un empleado que reclama "su expediente personal" ejerce de facto su derecho de acceso)

El rol del DPO en la empresa

El RGPD impone la designación de un Delegado de Protección de Datos (DPO) en tres casos (art. 37): autoridad pública, tratamiento a gran escala de datos sensibles, o vigilancia sistemática a gran escala. Muchas empresas cuyo tratamiento de RH es significativo entran en esta obligación. El DPO puede ser interno o externalizado; debe gozar de independencia funcional y participar en todas las decisiones que afecten la protección de datos, incluyendo el despliegue de nuevas herramientas digitales de RH. Su rol es consultivo y no decisorio: la responsabilidad final sigue siendo del responsable del tratamiento, es decir, del empleador.

Marco legal aplicable al tratamiento de datos de RH

El RGPD: texto fundador

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 (RGPD) constituye la base regulatoria del tratamiento de datos personales en Europa. Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, se impone a todo empleador que trate datos de empleados residentes en la UE, independientemente de la nacionalidad de la empresa. Los principales artículos aplicables en contexto de RH son:

• Art. 5: principios fundamentales (legalidad, lealtad, transparencia, minimización, exactitud, limitación de conservación, integridad y confidencialidad, responsabilidad)

• Art. 6: bases legales de tratamiento

• Art. 9: régimen de datos sensibles

• Art. 12 a 22: derechos de personas involucradas

• Art. 24 a 32: obligaciones del responsable de tratamiento y subcontratista

• Art. 33-34: notificación de violaciones de datos (72 horas a la CNIL, e información de personas si riesgo elevado)

• Art. 35: análisis de impacto (AIPD) obligatorio para tratamientos de alto riesgo

• Art. 83: sanciones administrativas (hasta 20 M€ o 4% de la facturación mundial)

La Ley de Informática y Libertades modificada

En derecho francés, la ley n°78-17 del 6 de enero de 1978 relativa a informática, ficheros y libertades, modificada por la ley n°2018-493 del 20 de junio de 2018 y la ordenanza n°2018-1125 del 12 de diciembre de 2018, complementa el RGPD abriendo márgenes nacionales ("cláusulas de apertura"). Entre las más importantes en RH: la posibilidad de tratar datos sindicales en el marco de la gestión de instituciones representativas del personal (art. 9 de la ley), o las reglas específicas para tratamiento de datos de salud laboral.

El Código del Trabajo y la jurisprudencia social

El Código del Trabajo impone obligaciones de información y consulta previa del Comité Social y Económico (CSE) antes del despliegue de cualquier dispositivo de vigilancia o control de empleados (art. L. 2312-38). La ausencia de consulta expone al empleador a la ineficacia de pruebas obtenidas así como a sanciones penales.

La jurisprudencia de la Corte de Casación recuerda regularmente que las herramientas de control (geolocalización, badgeador, software de seguimiento de actividad) deben ser proporcionales al objetivo perseguido y no pueden ser desviadas a otros fines que los declarados a empleados y a la CNIL.

La firma electrónica de documentos de RH: eIDAS y Código Civil

Ante la desmaterialización de contratos de trabajo, enmiendas o documentos disciplinarios, el empleador debe respetar el Reglamento (UE) n°910/2014 eIDAS, que define tres niveles de firma electrónica. Para documentos tan significativos como un contrato de trabajo CDI o un documento de ruptura convencional, una firma electrónica avanzada (o incluso cualificada) se recomienda para garantizar la identidad del firmante y la integridad del documento. El Código Civil en artículos 1366 y 1367 consagra el valor probatorio del escrito electrónico y de la firma electrónica, bajo reserva de identificación fiable del firmante y garantía de integridad.

Sanciones pronunciadas por la CNIL en materia de RH

La CNIL ha pronunciado varias sanciones significativas en materia de tratamiento de datos de RH: en 2022, una empresa fue condenada a 400 000 € de multa por vigilancia excesiva de empleados en teletrabajo mediante software de captura de pantalla. En 2023, una empresa de seguridad fue sancionada con 200 000 € por recopilación excesiva de datos biométricos sin base legal válida. Estas decisiones ilustran la creciente vigilancia del regulador sobre este ámbito.

Escenarios de uso: RGPD RH en práctica

Escenario 1 — Una ETI industrial de 450 empleados se pone en conformidad con su proceso de selección

Una empresa industrial de tamaño mediano, con aproximadamente 450 personas en tres sedes, recibía cada año más de 3 000 solicitudes espontáneas y respondía a unas sesenta ofertas de empleo. Los CV y cartas de presentación se almacenaban sin límite de tiempo en un buzón compartido entre seis responsables de servicio. Ningún aviso de información se entregaba a los candidatos sobre el uso de sus datos.

Tras una auditoría RGPD, se desplegaron las siguientes acciones en seis meses:

• Migración hacia un ATS (Sistema de Seguimiento de Candidatos) certificado conforme RGPD, con purga automática de expedientes tras 24 meses de inactividad

• Adición de un aviso de información RGPD en cada formulario de solicitud en línea

• Firma electrónica de cartas de contratación y contratos de trabajo mediante una plataforma conforme eIDAS, reduciendo el plazo de devolución de contratos firmados de 8 días promedio a menos de 48 horas

• Actualización del registro de actividades de tratamiento con 12 nuevas fichas de tratamiento de RH

Resultado: ninguna solicitud de CNIL recibida en los 18 meses siguientes; ganancia estimada de 1,2 ETP en la gestión administrativa del reclutamiento gracias a la desmaterialización.

Escenario 2 — Un grupo de distribución de 1 200 empleados regula su política de videovigilancia

Un grupo especializado en distribución alimentaria había desplegado un sistema de videovigilancia cubriendo 34 puntos de venta. Las imágenes se conservaban 45 días en algunos sitios, sin información mostrada a los empleados. Varios sensores cubrían las cajas de forma permanente, generando riesgo de vigilancia desproporcionada.

Tras una queja de empleado ante la CNIL, la empresa inició una puesta en conformidad incluyendo:

• Reducción del plazo de conservación a máximo 30 días en todas las sedes

• Reposicionamiento de cámaras para excluir vigilancia continua de puestos de trabajo individuales

• Consulta y acuerdo del CSE central antes de cualquier nuevo despliegue

• Información sistemática de empleados mediante contratos de trabajo y carta interna afichada

Resultado: cierre de la queja CNIL sin sanción; mejora del clima laboral medida en la encuesta de satisfacción anual siguiente (+11 puntos en el ítem "confianza hacia el empleador").

Escenario 3 — Un gabinete de consultoría de RH externalizado asegura transferencias de datos con sus clientes

Un gabinete especializado en externalización de nómina y administración del personal gestionaba expedientes de empleados para una veintena de clientes PYME, representando aproximadamente 1 800 nóminas mensuales. Los archivos de nómina se transmitían por correo electrónico sin cifrar, sin contrato de subcontratación formalizado en el sentido del artículo 28 del RGPD.

El gabinete inició una reformulación completa de sus prácticas:

• Firma de Acuerdos de Procesamiento de Datos (DPA) conformes al artículo 28 con cada cliente, mediante una plataforma de firma electrónica avanzada permitiendo trazabilidad

• Implementación de un portal cliente seguro (cifrado TLS + autenticación de doble factor) para depósito y recuperación de archivos de nómina

• Alojamiento de datos en servidores ubicados en Francia, certificados HDS para datos de salud laboral

• Redacción de una política de subcontratación regulando el recurso a terceros (editor de software de nómina, archivador)

Resultado: reducción 100% de transmisiones de datos de RH por correo electrónico no seguro; obtención de dos nuevos contratos cliente que hicieron de cumplimiento RGPD un criterio de selección obligatorio en su convocatoria.

Conclusión

El RGPD en RH no se resume a una carga administrativa más: es un factor de confianza entre el empleador y sus colaboradores, y un factor de competitividad en un mercado laboral donde la transparencia es cada vez más valorada. Registro de tratamientos actualizado, plazos de conservación dominados, información a empleados formalizada, seguridad reforzada de datos sensibles y subcontratistas contractualizados: cada uno de estos pilares contribuye a construir una política de RH a la vez legal y responsable.

La desmaterialización de documentos de RH —contratos, enmiendas, nóminas, avisos de información— ofrece una oportunidad única de combinar cumplimiento RGPD y eficiencia operacional, siempre que se apoye en herramientas certificadas. Certyneo te acompaña en esta aproximación con una solución de firma electrónica conforme eIDAS, diseñada para equipos de RH. Descubre nuestros precios e inicia tu prueba gratuita en Certyneo para asegurar tus documentos de RH hoy mismo.