RGPD en RH: Tratamiento de Datos de Colaboradores

Introducción

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, los servicios de RH están en primera línea del cumplimiento normativo. Las funciones de recursos humanos tratan diariamente datos personales sensibles: CV, nóminas, datos de salud, evaluaciones, coordenadas bancarias. Una mala gestión expone a la empresa a sanciones que pueden alcanzar 20 millones de euros o el 4 % de la facturación mundial (artículo 83 del RGPD). Este artículo presenta las obligaciones clave y las buenas prácticas para asegurar el tratamiento de datos de colaboradores a lo largo de todo el ciclo de RH.

Los principios fundamentales aplicables a los datos de RH

El RGPD impone seis principios cardinales codificados en el artículo 5: legalidad, lealtad, transparencia, limitación de finalidades, minimización, exactitud, limitación de conservación e integridad/confidencialidad. En la práctica, esto significa que el servicio de RH solo puede recopilar los datos estrictamente necesarios para una finalidad determinada. Por ejemplo, solicitar el número de seguridad social desde el momento de la candidatura es desproporcionado: solo se justifica después de la contratación para la DSN.

La CNIL, a través de su deliberación n° 2019-160 relativa al referencial de gestión del personal, precisa las duraciones de conservación recomendadas: 2 años para las candidaturas no seleccionadas (salvo consentimiento), 5 años después de la salida para el expediente administrativo, 6 años para las nóminas en versión empleador.

Base legal e información de los colaboradores

Contrariamente a una idea equivocada, el consentimiento es raramente la base legal adecuada en RH, debido a la relación de subordinación. Las bases pertinentes son más bien la ejecución del contrato de trabajo (artículo 6.1.b), la obligación legal (artículo 6.1.c) o el interés legítimo (artículo 6.1.f). Para los datos sensibles (salud, sindicales), el artículo 9 exige una base específica como la obligación en materia de derecho laboral.

El empleador debe proporcionar información clara a través de un aviso RGPD entregado en el momento de la contratación, actualizar el registro de tratamientos (artículo 30) y consultar al CSE antes de cualquier nuevo tratamiento que impacte a los empleados (artículo L.2312-38 del Código Laboral).

Seguridad y derechos de los colaboradores

La seguridad técnica y organizacional (artículo 32) impone: cifrado de SIRH, control de acceso por perfil, trazabilidad de consultas, cláusulas de confidencialidad con proveedores de nómina o reclutamiento (artículo 28). En caso de violación, notificación a la CNIL en un plazo de 72 horas.

Los colaboradores disponen de derechos reforzados: acceso, rectificación, supresión (limitada por las obligaciones legales de conservación), portabilidad, oposición. Un procedimiento interno debe permitir responder en un plazo máximo de un mes. El rechazo de acceso al expediente disciplinario debe estar motivado jurídicamente.

Ejemplos prácticos

Ejemplo 1 – Reclutamiento: Una PYME conserva desde hace 5 años los CV de todos los candidatos en una carpeta compartida. No conforme: duración excesiva, falta de protección. Solución: purga automatizada a los 2 años, acceso restringido a los reclutadores, mención RGPD en la oferta de empleo.

Ejemplo 2 – Videovigilancia: Un almacén logístico filma continuamente las estaciones de trabajo. Sanción posible (la CNIL sancionó a Amazon France Logistique con 32 M€ en 2024). Solución: limitar a zonas sensibles, información individual, consulta del CSE, duración de conservación máxima de un mes.

Ejemplo 3 – Herramientas colaborativas: El despliegue de Microsoft 365 requiere un análisis de impacto (AIPD) si se activan funciones de monitoreo, así como una cláusula de tratamiento de datos conforme con el editor.

Cumplimiento normativo y sanciones

Además de las multas de la CNIL, el empleador se expone a acciones ante los tribunales laborales por violación de la vida privada (artículo 9 del Código Civil, artículo L.1121-1 del Código Laboral). La designación de un DPO es obligatoria para las entidades que tratan datos a gran escala. Un mapeo anual de tratamientos de RH, combinado con capacitación de gerentes, constituye la mejor protección jurídica y operacional.

Conclusión

El cumplimiento del RGPD en RH no es un proyecto puntual sino un enfoque continuo de mejora. Entre obligaciones legales, derechos de los empleados y desempeño operacional, los directores de RH deben pilotear la gobernanza de datos con rigor. Invertir en un SIRH conforme, capacitar a los equipos y documentar cada tratamiento transforma la restricción regulatoria en un catalizador de confianza colaborador.