RGPD en RH: Tratamiento de Datos de los Colaboradores

La gestión de recursos humanos genera, cada día, un volumen considerable de datos personales: contratos de trabajo, nóminas, datos de salud, evaluaciones de desempeño, coordenadas bancarias… Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, los departamentos de RH se han convertido en actores centrales del cumplimiento normativo dentro de las organizaciones. Sin embargo, según el informe de actividad 2024 de la CNIL, el sector de recursos humanos sigue siendo uno de los tres ámbitos más frecuentemente cuestionados durante los controles. Este artículo te guía a través de las obligaciones clave, las buenas prácticas y las herramientas disponibles para tratar los datos de tus colaboradores en total conformidad.

¿Qué datos personales tratan los RH?

Las categorías de datos comunes

Los servicios de RH manipulan un espectro muy amplio de datos personales. Se distinguen dos grandes familias:

Los datos ordinarios, recogidos en el contexto del contrato de trabajo: nombre, apellido, domicilio, número de seguridad social, cuenta bancaria, CV, diplomas, historial profesional, evaluaciones anuales, horarios de trabajo, datos de presencia y ausencia.

Los datos sensibles, sujetos a restricciones reforzadas conforme al artículo 9 del RGPD: datos de salud (bajas por enfermedad, declaraciones de accidente laboral, restricciones médicas), datos sindicales (afiliación sindical, mandatos representativos), datos relativos a condenas penales en ciertos contextos de selección.

Estos últimos solo pueden ser tratados bajo reserva de una excepción explícita prevista por el reglamento — como la ejecución de obligaciones legales en materia de derecho laboral, o el consentimiento explícito de la persona interesada.

El caso particular de la selección

La fase de selección genera tratamientos específicos, frecuentemente mal regulados. La recopilación de CV, cartas de motivación y resultados de pruebas implica duraciones de conservación precisas: según las recomendaciones de la CNIL, los datos de los candidatos no seleccionados deben ser suprimidos o anonimizados en un plazo máximo de dos años después del último contacto. Conservar indefinidamente CVs en un directorio compartido no asegurado constituye una violación manifiesta.

El recurso a herramientas de seguimiento en los ATS (Sistemas de Gestión de Candidatos) o a algoritmos de análisis de comportamiento debe ser objeto de una mención explícita en la política de privacidad transmitida a los candidatos, conforme a los artículos 13 y 14 del RGPD.

Las bases legales del tratamiento en contexto RH

Identificar la base legal correcta

El RGPD impone que todo tratamiento de datos personales se base en una de las seis bases legales definidas en el artículo 6. En contexto RH, se movilizan principalmente tres bases:

• La ejecución del contrato de trabajo (art. 6.1.b): justifica el tratamiento de datos necesarios para la gestión de nómina, permisos o formación.

• La obligación legal (art. 6.1.c): se aplica a las declaraciones sociales obligatorias (DSN), registros del personal o seguimiento de accidentes laborales.

• El interés legítimo (art. 6.1.f): puede invocarse para tratamientos como la gestión de badges de acceso o videovigilancia, bajo reserva de una prueba de equilibrio rigurosa.

El consentimiento (art. 6.1.a) es por el contrario una base legal frágil en contexto laboral: la CNIL y el Comité Europeo de Protección de Datos (CEPD) recuerdan que el desequilibrio estructural entre el empleador y el trabajador hace difícil la prueba de un consentimiento libre. Solo debe utilizarse como último recurso.

El registro de tratamientos, obligación ineludible

Toda organización que emplee a al menos 250 personas — o que trate datos sensibles a menor escala — debe mantener un registro de las actividades de tratamiento (art. 30 del RGPD). En RH, este registro debe documentar, para cada tratamiento: la finalidad, las categorías de datos, los destinatarios, las duraciones de conservación, y las medidas de seguridad implementadas.

Este documento, puesto a disposición de la CNIL en caso de control, es también una herramienta de gestión valiosa. Combinado con una solución de firma electrónica dedicada a RH, permite rastrear e incluir la hora de cada fase del ciclo de vida de un documento de RH, reforzando así la auditabilidad de los procesos.

Derechos de los colaboradores y obligaciones del empleador

Informar a los empleados: una obligación inmediata

El artículo 13 del RGPD impone informar a las personas interesadas en el momento de la recopilación de sus datos. En la práctica, los RH deben proporcionar a los empleados — idealmente desde la firma del contrato de trabajo — un aviso de información RGPD detallando: la identidad del responsable del tratamiento, las finalidades y bases legales, la duración de conservación, los derechos disponibles y los datos de contacto del DPO (Delegado de Protección de Datos) si la empresa dispone de uno.

Digitalizar y asegurar este intercambio es esencial. El recurso a la firma electrónica en la empresa para la entrega de este aviso garantiza una prueba de envío con marca de tiempo e incontestable, alineada con los requisitos del reglamento eIDAS.

Los derechos de los empleados a respetar imperativamente

Los colaboradores disponen de derechos amplios sobre sus datos:

• Derecho de acceso (art. 15): todo empleado puede solicitar una copia del conjunto de datos que le conciernen tratados por el empleador.

• Derecho de rectificación (art. 16): corrección de un dato inexacto (p. ej.: domicilio postal, cuenta bancaria).

• Derecho al olvido (art. 17): aplicable en ciertos casos, en particular después de la finalización del contrato y la expiración de los plazos legales de conservación.

• Derecho de oposición (art. 21): el empleado puede oponerse a un tratamiento basado en el interés legítimo.

• Derecho a la limitación (art. 18): congelación temporal de un tratamiento cuestionado.

El empleador dispone de un plazo de un mes para responder a cualquier solicitud de ejercicio de derechos, ampliable a tres meses en caso de complejidad (art. 12 del RGPD).

Seguridad de datos de RH y gestión de subcontratistas

Medidas técnicas y organizacionales

El artículo 32 del RGPD impone la implementación de medidas de seguridad «apropiadas al riesgo». Para los datos de RH, las buenas prácticas incluyen:

• Cifrado de archivos que contengan datos sensibles (nóminas, expedientes médicos).

• Control de accesos: principio del menor privilegio — un gestor de nómina no tiene acceso a datos disciplinarios.

• Registro de accesos a sistemas de RH (SIRH, herramientas de nómina).

• Plan de respuesta a violaciones: en caso de fuga de datos, el empleador dispone de 72 horas para notificar a la CNIL (art. 33), y potencialmente a las personas interesadas si el riesgo es elevado (art. 34).

Una auditoría completa mediante la guía de firma electrónica puede ayudar a los equipos de RH a identificar tratamientos no seguros persistentes en soporte papel y a digitalizarlos de manera conforme.

Encuadrar a los proveedores de RH mediante DPA

Los servicios de RH recurren a numerosos subcontratistas: software de nómina, plataformas de formación, herramientas de gestión de tiempos. Cada proveedor que acceda a datos personales debe ser objeto de un acuerdo de tratamiento de datos (Data Processing Agreement — DPA), conforme al artículo 28 del RGPD. Este contrato debe especificar las instrucciones de tratamiento, las garantías de seguridad, las modalidades de devolución o destrucción de datos, y las obligaciones en caso de violación.

Seleccionar proveedores que alojen sus infraestructuras en la Unión Europea, o encuadrados por cláusulas contractuales tipo (CCT) aprobadas por la Comisión, sigue siendo un requisito fundamental para evitar cualquier transferencia ilícita fuera de la UE.

Duraciones de conservación: un aspecto estructurante

Los plazos legales aplicables al expediente del empleado

La duración de conservación de datos de RH está encuadrada por una acumulación de textos: el RGPD (principio de limitación de la conservación, art. 5.1.e), el Código del Trabajo, y diversas disposiciones fiscales y sociales. En la práctica, los principales plazos a respetar son:

| Tipo de documento | Duración mínima de conservación | |---|---| | Nómina | 5 años (prescripción social) | | Contrato de trabajo | 5 años después de la finalización del contrato | | Datos de nómina (DSN) | 3 años (control URSSAF) | | Registro del personal | 5 años después de la salida del empleado | | Datos disciplinarios | Duración proporcional a la medida | | Expediente médico (medicina del trabajo) | 50 años (normativa específica) |

La implementación de una política de archivado y purga automatizada en el SIRH, acoplada a flujos de trabajo de firma electrónica que registren la creación de documentos, constituye hoy en día la mejor práctica para demostrar conformidad ante la CNIL.

Las trampas a evitar

Los errores más frecuentes observados durante los controles de la CNIL respecto a datos de RH son: conservación indefinida de CV de candidatos no seleccionados, mantenimiento de accesos informáticos de antiguos empleados, ausencia de cifrado de archivos de nómina exportados, y no supresión de datos de control de acceso más allá de los plazos reglamentarios. Para asegurar estos puntos, consultar el comparativo de soluciones de firma electrónica permite identificar herramientas que integren nativamente funciones de archivado probatorio y gestión del ciclo de vida de documentos.

Marco legal aplicable al tratamiento de datos de RH

El tratamiento de datos personales de los colaboradores se inscribe en un marco normativo denso, articulando varios niveles de regulación.

El Reglamento (UE) 2016/679 — RGPD constituye la piedra angular. Sus artículos 5 a 11 definen los principios fundamentales (licitud, lealtad, transparencia, limitación de finalidades, minimización de datos, exactitud, limitación de la conservación, integridad y confidencialidad). El artículo 9 establece las condiciones estrictas aplicables a categorías especiales de datos, incluidos datos de salud y sindicales, particularmente frecuentes en RH. El artículo 83 prevé multas que pueden alcanzar 20 millones de euros o el 4% de la facturación mundial anual en caso de violación grave.

La Ley de Informática y Libertades modificada (Ley n.° 78-17 de 6 de enero de 1978), en su versión consolidada, adapta el RGPD al derecho francés. Otorga a la CNIL sus poderes de control y sanción, y prevé en particular excepciones sectoriales para datos de salud en medicina del trabajo.

El Código del Trabajo encuadra los tratamientos vinculados a la vigilancia de empleados (art. L. 1121-1 sobre respeto de la vida privada), a la consulta de representantes del personal sobre herramientas digitales (art. L. 2312-38), y a registros obligatorios.

El Reglamento eIDAS (n.° 910/2014), completado por eIDAS 2.0 (Reglamento UE 2024/1183), regula el valor jurídico de las firmas electrónicas apuestas en documentos de RH. Una firma electrónica calificada (SEQ), conforme al anexo I de eIDAS y a las normas ETSI EN 319 132 y ETSI EN 319 122, ofrece la presunción de equivalencia a la firma manuscrita conforme al artículo 1367 del Código Civil francés.

El artículo 1366 del Código Civil establece que «el escrito electrónico tiene el mismo valor probatorio que el escrito en soporte papel, bajo reserva de que pueda ser debidamente identificada la persona de la que emana y de que sea establecido y conservado en condiciones que garanticen su integridad». Esta disposición es directamente aplicable a contratos de trabajo, adendas, acuerdos de confidencialidad y otros documentos de RH desmaterializados.

La Directiva NIS2 (UE 2022/2555), transpuesta al derecho francés por la ley de 26 de febrero de 2025, impone a entidades esenciales e importantes (en particular grandes empresas industriales y operadores de servicios digitales) requisitos reforzados en materia de gestión de riesgos relacionados con la seguridad de la información, incluyendo la protección de datos de RH sensibles.

Las sanciones pronunciadas por la CNIL están en fuerte aumento: en 2024, el monto total de multas supera 100 millones de euros, con varias decisiones que implican directamente incumplimientos en la gestión de datos de empleados. El no respeto de duraciones de conservación, la ausencia de DPA con subcontratistas de RH, y la insuficiencia de medidas de seguridad figuran entre los cargos más frecuentemente retenidos.

Escenarios de uso: la conformidad RGPD en RH en la práctica

Escenario 1 — Una ETI industrial de 450 empleados digitaliza sus procesos de incorporación

Una empresa industrial de tamaño mediano, distribuida en tres ubicaciones en Francia, gestionaba sus contratos de trabajo y adendas en soporte papel. Los expedientes de nuevos empleados se transmitían al servicio de nómina solo después de un promedio de 12 días hábiles, generando errores de nómina en aproximadamente el 8% de los casos. Además, ningún aviso RGPD se entregaba de manera formal a los nuevos empleados: la información figuraba solo en el pie del reglamento interno, no firmado por separado.

Tras el despliegue de una solución de firma electrónica integrada en su SIRH, con entrega simultánea de un aviso RGPD cofirmado por el empleado y el director de RH, la empresa redujo el plazo de digitalización de la incorporación a 2 días hábiles (reducción del 83%). Los errores de nómina debidos a datos faltantes descendieron a menos del 1%. Cada documento firmado se archiva con marca de tiempo calificada, proporcionando una prueba oponible en caso de control de la CNIL o contencioso laboral.

Escenario 2 — Un grupo de distribución de 1 200 colaboradores se ajusta a su política de conservación

Un grupo que opera en distribución especializada fue objeto de un control de la CNIL como resultado de una reclamación de un antiguo empleado. La inspección reveló que archivos Excel que contenían datos de nómina de empleados que habían partido hace más de 8 años seguían siendo accesibles en un servidor compartido no asegurado, sin cifrado. Se pronunció un aviso formal, junto con una orden de cumplimiento en un plazo de 3 meses.

El grupo entonces emprendió una auditoría completa de sus tratamientos de RH, cartografió sus 23 actividades de tratamiento, e implementó un plan de purga automatizada activado por el SIRH. Los documentos firmados electrónicamente se migraron a una caja fuerte digital con duraciones de retención configuradas según las obligaciones legales. El DPO produjo un registro de tratamientos de RH completo, presentado durante un segundo control de la CNIL 18 meses después, que concluyó sin resultado. El costo de la puesta en conformidad se estimó en menos del 60% del monto de una posible multa.

Escenario 3 — Un gabinete de asesoramiento en RH de 35 personas asegura los datos de sus propios consultores y de sus clientes

Un gabinete especializado en recursos humanos gestiona tanto los datos de sus propios consultores como los de candidatos y empleados de sus empresas clientes (en el contexto de misiones de evaluación o recolocación). Se encuentra así en una doble posición: responsable del tratamiento para sus propios RH, y subcontratista (o corresponsable) para datos de terceros.

El gabinete ha implementado una arquitectura documental diferenciada: firmas electrónicas simples para intercambios internos corrientes, firmas avanzadas para contratos de misión con clientes, y acuerdos de tratamiento de datos (DPA) sistemáticamente integrados en las cartas de misión. Los consultores han recibido todos una carta RGPD actualizada, firmada electrónicamente y conservada en un registro dedicado. Esta organización ha permitido al gabinete demostrar su conformidad como argumento comercial ante grandes cuentas sometidas a auditorías de proveedores estrictas, reduciendo el plazo promedio de contratación de 7 a 2 semanas.

Conclusión

El RGPD impone a los departamentos de recursos humanos una transformación profunda de sus prácticas: identificación rigurosa de bases legales, información efectiva de los colaboradores, gestión de derechos, encuadramiento contractual de subcontratistas, aseguración de datos y respeto de duraciones de conservación. Estas obligaciones no son simples formalidades administrativas — condicionan la capacidad de la empresa para evitar sanciones que pueden alcanzar varios millones de euros y para mantener la confianza de sus equipos.

La digitalización de procesos de RH, mediante soluciones de firma electrónica conformes eIDAS, constituye uno de los apalancamientos más eficaces para conciliar eficiencia operacional y conformidad regulatoria. Certyneo acompaña a los equipos de RH en esta transición, desde la firma del contrato de empleo hasta el archivado seguro de expedientes de empleados.

Descubre cómo Certyneo puede asegurar tus procesos de RH consultando nuestra oferta dedicada a equipos de RH o comenzando gratuitamente para probar la solución sin compromiso.