RGPD en RH : Tratamiento de datos de empleados

El Reglamento General de Protección de Datos (RGPD) no se aplica únicamente a las relaciones comerciales entre una empresa y sus clientes : también regula, de forma muy precisa, el tratamiento de datos personales de los empleados. Reclutamiento, gestión de nóminas, control de acceso, evaluación del desempeño, videovigilancia… cada etapa del ciclo de vida del contrato de trabajo genera datos de carácter personal que el empleador debe tratar en estricta conformidad con la legislación europea. Con multas que pueden alcanzar 20 millones de euros o el 4 % de la facturación mundial anual, el riesgo es considerable. Este artículo detalla las bases legales aplicables, las obligaciones prácticas de los servicios de RH y las mejores prácticas para asegurar tus tratamientos — incluyendo la desmaterialización de documentos de RH.

Los fundamentos jurídicos del tratamiento de datos en RH

Las bases legales admitidas en derecho laboral

El RGPD enumera seis bases legales que permiten tratar datos personales (artículo 6). En contexto de RH, tres de ellas se utilizan casi sistemáticamente :

• La ejecución del contrato de trabajo (art. 6.1.b) : constituye la base principal para la gestión de nóminas, el seguimiento del tiempo de trabajo, la entrega de nóminas o la gestión de vacaciones.

• La obligación legal (art. 6.1.c) : justifica los tratamientos obligados por el Código de Trabajo o la legislación social, como la declaración previa al contratación (DPAE), la declaración social nominativa (DSN) o el mantenimiento del registro único del personal.

• El interés legítimo (art. 6.1.f) : puede fundamentar ciertos tratamientos de seguridad informática o prevención del fraude interno, siempre que este interés no sea superado por los derechos fundamentales de los empleados.

⚠️ La base del consentimiento debe manejarse con extrema cautela en contexto salarial. La CNIL recuerda regularmente que el desequilibrio inherente a la relación empleador-empleado hace que el consentimiento raramente sea « libre » en el sentido del artículo 7 del RGPD. Recurrir al consentimiento para tratamientos que podrían basarse en otra base legal expone al empleador a un riesgo de recalificación.

Las categorías especiales de datos : un régimen reforzado

Ciertos datos recopilados por RH se incluyen en el régimen de « datos sensibles » contemplado en el artículo 9 del RGPD, cuyo tratamiento está en principio prohibido salvo excepciones :

• Datos de salud : bajas por enfermedad, incapacidades laborales declaradas por la medicina del trabajo, adaptaciones de puesto por discapacidad.

• Datos sindicales : afiliación a un sindicato, mandatos representativos.

• Datos biométricos : control de acceso por huella dactilar o reconocimiento facial.

• Datos relativos a infracciones : verificación de antecedentes penales, autorizado solo en sectores regulados (seguridad, infancia, etc.).

Para estas categorías, el empleador debe identificar una excepción explícita (art. 9.2), realizar un análisis de impacto sobre la protección de datos (AIPD) en la mayoría de los casos, y a menudo consultar a la CNIL antes del despliegue.

Las obligaciones prácticas de los servicios de RH

El registro de actividades de tratamiento

Toda organización que emplea a más de 250 empleados está obligada a mantener un registro de actividades de tratamiento (art. 30 del RGPD). Por debajo de este umbral, la obligación subsiste si los tratamientos no son ocasionales o afectan a datos sensibles — lo cual es casi siempre el caso en RH. Este registro debe documentar :

• La finalidad de cada tratamiento (p. ej., « gestión de nóminas »)

• Las categorías de datos afectadas

• Los destinatarios (terceros, subcontratistas, autoridades)

• Los plazos de conservación

• Las medidas de seguridad aplicadas

La CNIL pone a disposición un modelo de registro descargable libremente. Su mantenimiento riguroso constituye la primera línea de defensa en caso de inspección.

Los plazos de conservación : un punto a menudo descuidado

El artículo 5.1.e del RGPD impone el principio de limitación de la conservación : los datos no deben conservarse más allá del tiempo necesario para la finalidad por la que fueron recopilados. En RH, los plazos legales de referencia son los siguientes :

| Tipo de dato | Plazo de conservación recomendado | |---|---| | Nómina | 5 años (prescripción civil) | | Contrato de trabajo | 5 años después de la terminación del contrato | | Datos de recrutamiento (candidato no seleccionado) | 2 años máximo después del último contacto | | Expediente disciplinario | Plazo variable según la sanción (máx. 3 años para un apercibimiento) | | Datos de videovigilancia | 1 mes en general | | DSN y registro del personal | 5 años después de la salida del empleado |

Estos plazos deben inscribirse en el registro y aplicarse mediante procedimientos de purga o archivo definitivo.

La información de los empleados : una obligación a menudo subestimada

El artículo 13 del RGPD obliga a proporcionar un aviso informativo completo a las personas interesadas en el momento de la recopilación de sus datos. En RH, este aviso debe proporcionarse idealmente :

• Desde la candidatura : para los datos recopilados durante el proceso de selección.

• Al contratación : integrado en el contrato de trabajo o entregado en anexo en el momento de la firma.

• Durante la relación contractual : cada vez que se implementa un nuevo tratamiento (p. ej., despliegue de una herramienta de fichaje biométrica).

La desmaterialización del proceso de incorporación, en particular mediante la firma electrónica para RH, facilita la trazabilidad de esta entrega de información : la fecha de lectura y firma del aviso se registra de forma fidedigna, lo que constituye un elemento de prueba valioso en caso de litigio.

La seguridad de los datos de RH : medidas técnicas y organizativas

Cifrado, control de acceso y compartimentación

El artículo 32 del RGPD exige la implementación de medidas de seguridad adaptadas al riesgo. Para los datos de RH, que por naturaleza son sensibles y objeto de intrusiones, las mejores prácticas mínimas incluyen :

• Cifrado de datos en reposo y en tránsito : los archivos de nómina, contratos y expedientes personales deben almacenarse cifrados (AES-256 como mínimo) y transmitirse mediante protocolos seguros (TLS 1.3).

• Gestión de derechos de acceso basada en roles (RBAC) : solo los gestores de RH autorizados acceden a los datos de nómina ; el responsable de equipo solo accede a los datos necesarios para la gestión.

• Registro de accesos : cualquier consulta o modificación de un expediente de empleado debe ser rastreada con el identificador del usuario, la fecha y la hora.

• Seudonimización para tratamientos analíticos (cuadros de mando de RH, estudios de remuneración).

La gestión de subcontratistas de RH

Los servicios de RH recurren a numerosos subcontratistas : editores de SIRH, proveedores de nómina externalizada, plataformas de formación, herramientas de reclutamiento en línea. Cada uno de estos terceros debe ser objeto de un contrato de subcontratación conforme al artículo 28 del RGPD, que especifique en particular :

• La naturaleza y finalidad de los tratamientos subcontratados

• Las obligaciones del subcontratista en materia de seguridad y confidencialidad

• La prohibición de subcontratar sin autorización previa

• Las modalidades de devolución o destrucción de datos al final del contrato

Al elegir un proveedor, también es conveniente verificar si sus servidores se encuentran en el Espacio Económico Europeo (EEE) o si existe un mecanismo de transferencia adecuado (cláusulas contractuales tipo, decisión de adecuación) para transferencias fuera del EEE.

La desmaterialización de documentos de RH y el cumplimiento del RGPD

La creciente digitalización de procesos de RH — contratos de trabajo electrónicos, nóminas desmaterializadas, avenidas firmadas a distancia — plantea retos RGPD específicos. Si la firma electrónica conforme a eIDAS aporta garantías indudables de integridad y autenticidad, el empleador debe asegurar que la plataforma utilizada :

• No recopila datos superfluos durante el proceso de firma (principio de minimización, art. 5.1.c)

• Conserva las pruebas de firma (pista de auditoría) en condiciones seguras y durante un plazo apropiado

• Permite el ejercicio de los derechos de los firmantes (acceso, rectificación, supresión dentro de los límites legales)

Para profundizar en el cumplimiento de herramientas de firma, la guía completa de firma electrónica de Certyneo detalla los criterios técnicos y jurídicos a verificar antes de cualquier despliegue.

Los derechos de los empleados y su ejercicio efectivo

Panorama de los derechos garantizados por el RGPD

Los empleados se benefician de todos los derechos previstos en los artículos 15 a 22 del RGPD. En contexto de RH, los derechos más frecuentemente ejercidos son :

• Derecho de acceso (art. 15) : el empleado puede solicitar una copia de todos los datos sobre él que posea el empleador, incluyendo intercambios de correos electrónicos profesionales en ciertas condiciones.

• Derecho de rectificación (art. 16) : corrección de datos inexactos (error en el IBAN, diploma mal registrado, etc.).

• Derecho al olvido (art. 17) : limitado en RH por obligaciones legales de conservación, pero aplicable a datos de reclutamiento de candidatos no seleccionados.

• Derecho de oposición (art. 21) : puede ejercerse contra un tratamiento fundamentado en interés legítimo, como ciertos tratamientos de vigilancia.

• Derecho de portabilidad (art. 20) : aplicable a datos proporcionados por el empleado en el contexto de la ejecución del contrato.

El plazo de respuesta y los procedimientos internos

El empleador dispone de un mes para responder a toda solicitud de ejercicio de derechos, plazo extensible a tres meses en caso de complejidad o gran volumen de solicitudes (art. 12.3). Para organizar este tratamiento de manera eficiente, se recomienda :

• Designar un único punto de contacto (DPD o referente RGPD) para recibir solicitudes

• Implementar un formulario dedicado accesible a los empleados

• Documentar cada solicitud y su respuesta en un registro de ejercicio de derechos

• Formar a los gestores de RH para identificar una solicitud implícita (un empleado que pide « su expediente personal » ejerce de facto su derecho de acceso)

El rol del DPD en la empresa

El RGPD impone la designación de un Delegado de Protección de Datos (DPD) en tres casos (art. 37) : autoridad pública, tratamiento a gran escala de datos sensibles, o vigilancia sistemática a gran escala. Muchas empresas cuyo tratamiento de RH es significativo entran en esta obligación. El DPD puede ser interno o externalizado ; debe disponer de independencia funcional y estar asociado a todas las decisiones que afecten la protección de datos, incluyendo el despliegue de nuevas herramientas digitales de RH. Su rol es consultivo y no decisorio : la responsabilidad final recae en el responsable del tratamiento, es decir, el empleador.

Marco legal aplicable al tratamiento de datos de RH

El RGPD : texto fundacional

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 (RGPD) constituye la base regulatoria del tratamiento de datos personales en Europa. Directamente aplicable en todos los Estados miembros desde el 25 de mayo de 2018, se impone a todo empleador que trate datos de empleados residentes en la UE, independientemente de la nacionalidad de la empresa. Los principales artículos aplicables en contexto de RH son :

• Art. 5 : principios fundamentales (licitud, lealtad, transparencia, minimización, exactitud, limitación de conservación, integridad y confidencialidad, responsabilidad)

• Art. 6 : bases legales de tratamiento

• Art. 9 : régimen de datos sensibles

• Art. 12 a 22 : derechos de las personas interesadas

• Art. 24 a 32 : obligaciones del responsable del tratamiento y del subcontratista

• Art. 33-34 : notificación de violaciones de datos (72 horas a la CNIL, e información de personas si riesgo elevado)

• Art. 35 : análisis de impacto (AIPD) obligatorio para tratamientos de alto riesgo

• Art. 83 : sanciones administrativas (hasta 20 M€ o 4 % de la facturación mundial)

La Ley de Informática y Libertades modificada

En derecho francés, la ley n.º 78-17 de 6 de enero de 1978 relativa a la informática, archivos y libertades, modificada por la ley n.º 2018-493 de 20 de junio de 2018 y la ordenanza n.º 2018-1125 de 12 de diciembre de 2018, complementa el RGPD abriendo márgenes de maniobra nacionales (« cláusulas de apertura »). Entre las más importantes en RH : la posibilidad de tratar datos sindicales en el marco de la gestión de instituciones de representación del personal (art. 9 de la ley), o las normas específicas para el tratamiento de datos de salud en el trabajo.

El Código del Trabajo y la jurisprudencia laboral

El Código del Trabajo impone obligaciones de información y consulta previa al Comité Social y Económico (CSE) antes de cualquier despliegue de dispositivo de vigilancia o control de empleados (art. L. 2312-38). La falta de consulta expone al empleador a la inadmisibilidad de pruebas recogidas así como a sanciones penales.

La jurisprudencia de la Corte de Casación recuerda regularmente que las herramientas de control (geolocalización, fichador, software de seguimiento de actividad) deben ser proporcionales al objetivo perseguido y no pueden ser desviadas a fines distintos de los declarados a los empleados y a la CNIL.

La firma electrónica de documentos de RH : eIDAS y Código Civil

Al desmaterializar contratos de trabajo, avenidas o documentos disciplinarios, el empleador debe respetar el Reglamento (UE) n.º 910/2014 eIDAS, que define tres niveles de firma electrónica. Para documentos tan estructurales como un contrato de trabajo indefinido o un documento de ruptura convencional, se recomienda una firma electrónica avanzada (o incluso cualificada) para garantizar la identidad del firmante y la integridad del documento. El Código Civil en artículos 1366 y 1367 consagra el valor probatorio del escrito electrónico y de la firma electrónica, bajo reserva de identificación fiable del firmante y garantía de integridad.

Sanciones pronunciadas por la CNIL en materia de RH

La CNIL ha pronunciado varias sanciones significativas en materia de tratamiento de datos de RH : en 2022, una empresa fue condenada a 400 000 € de multa por vigilancia excesiva de empleados en teletrabajo mediante software de captura de pantalla. En 2023, una empresa de seguridad recibió una sanción de 200 000 € por recopilación excesiva de datos biométricos sin base legal válida. Estas decisiones ilustran la creciente vigilancia del regulador en este ámbito.

Escenarios de uso : RGPD en RH en la práctica

Escenario 1 — Una PYME industrial de 450 empleados se ajusta a su proceso de reclutamiento

Una empresa industrial de tamaño medio, que emplea alrededor de 450 personas en tres sitios, recibía más de 3 000 solicitudes espontáneas anuales y respondía a unos sesenta anuncios de empleo. Los CVs y cartas de presentación se almacenaban sin límite de tiempo en un buzón de correo compartido entre seis responsables de servicio. Ningún aviso de información se proporcionaba a los candidatos sobre el uso de sus datos.

Tras una auditoría RGPD, las siguientes acciones se desplegaron en seis meses :

• Migración a un ATS (Sistema de Seguimiento de Candidatos) certificado conforme a RGPD, con purga automática de expedientes después de 24 meses de inactividad

• Adición de un aviso informativo RGPD en cada formulario de solicitud en línea

• Firma electrónica de cartas de contratación y contratos de trabajo mediante una plataforma conforme a eIDAS, reduciendo el tiempo de retorno de contratos firmados de 8 días en promedio a menos de 48 horas

• Actualización del registro de actividades de tratamiento con 12 nuevas fichas de tratamiento de RH

Resultado : ninguna solicitud a la CNIL recibida en los 18 meses siguientes ; ganancia estimada de 1,2 ETP en la gestión administrativa del reclutamiento gracias a la desmaterialización.

Escenario 2 — Un grupo de distribución de 1 200 empleados regula su política de videovigilancia

Un grupo especializado en distribución de alimentos había desplegado un sistema de videovigilancia que cubría 34 puntos de venta. Las imágenes se conservaban 45 días en algunos sitios, sin información mostrada a los empleados. Varios sensores cubrían los puestos de caja de manera permanente, generando un riesgo de vigilancia desproporcionada.

Tras una queja de un empleado ante la CNIL, la empresa emprendió una adaptación a la conformidad que incluyó :

• Reducción del plazo de conservación a 30 días máximo en todos los sitios

• Reposicionamiento de cámaras para excluir la vigilancia continua de puestos de trabajo individuales

• Consulta y acuerdo del CSE central antes de cualquier nuevo despliegue

• Información sistemática de empleados mediante contratos de trabajo y una carta interna exhibida

Resultado : cierre de la queja ante la CNIL sin sanción ; mejora del clima social medida en la siguiente encuesta de satisfacción anual (+11 puntos en el ítem « confianza hacia el empleador »).

Escenario 3 — Un gabinete de consultoría de RH externalizado asegura las transferencias de datos con sus clientes

Un gabinete especializado en externalización de nóminas y administración de personal gestionaba expedientes de empleados para unos veinte clientes PYME, representando aproximadamente 1 800 nóminas mensuales. Los archivos de nómina se transmitían por correo electrónico sin cifrar, sin contrato de subcontratación formalizado en el sentido del artículo 28 del RGPD.

El gabinete emprendió una refundición completa de sus prácticas :

• Firma de Acuerdos de Tratamiento de Datos (DPA) conformes al artículo 28 con cada uno de sus clientes, mediante una plataforma de firma electrónica avanzada que permite la trazabilidad

• Implementación de un portal de cliente seguro (cifrado TLS + autenticación de doble factor) para el depósito y recuperación de archivos de nómina

• Alojamiento de datos en servidores localizados en Francia, certificados HDS para datos de salud en el trabajo

• Redacción de una política de subcontratación que regule el recurso a terceros (editor de software de nóminas, archivador)

Resultado : reducción del 100 % de transmisiones de datos de RH por correo electrónico no seguro ; obtención de dos nuevos contratos de clientes que habían hecho de la conformidad RGPD un criterio de selección obligatorio en su solicitud de propuestas.

Conclusión

El RGPD en RH no se reduce a una carga administrativa adicional : es un apalancamiento de confianza entre el empleador y sus colaboradores, y un factor de competitividad en un mercado laboral donde la transparencia es cada vez más valorada. Registro de tratamientos actualizado, plazos de conservación controlados, información de empleados formalizada, seguridad reforzada de datos sensibles y subcontratistas contractualizados : cada uno de estos pilares contribuye a construir una política de RH que sea a la vez legal y responsable.

La desmaterialización de documentos de RH — contratos, avenidas, nóminas, avisos informativos — ofrece una oportunidad única de combinar conformidad RGPD y eficiencia operativa, siempre que se apoye en herramientas certificadas. Certyneo te acompaña en esta iniciativa con una solución de firma electrónica conforme a eIDAS, diseñada para equipos de RH. Descubre nuestras tarifas e inicia tu prueba gratuita en Certyneo para asegurar tus documentos de RH hoy mismo.