GDPR en RR.HH.: Tratamiento de datos de los empleados

Introducción

Desde la entrada en vigor del Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018, los departamentos de RR.HH. han estado en la primera línea del cumplimiento. Las funciones de recursos humanos procesan diariamente datos personales sensibles: CV, nóminas, datos de salud, evaluaciones, datos bancarios. Una mala gestión expone a la empresa a sanciones de hasta 20 millones de euros o el 4% de la facturación global (artículo 83 del RGPD). Este artículo presenta las obligaciones clave y las mejores prácticas para proteger el procesamiento de datos de los empleados durante todo el ciclo de recursos humanos.

Los principios fundamentales aplicables a los datos de RRHH

El RGPD impone seis principios cardinales codificados en el artículo 5: licitud, lealtad, transparencia, limitación de finalidades, minimización, exactitud, limitación de conservación e integridad/confidencialidad. En la práctica, esto significa que el departamento de RR.HH. sólo puede recopilar los datos estrictamente necesarios para un fin específico. Por ejemplo, pedir el número de la seguridad social al presentar la solicitud es desproporcionado: sólo se justifica tras la contratación para el DSN.

La CNIL, mediante su deliberación n°. 2019-160 relativa a la gestión de personal, especifica los períodos de conservación recomendados: 2 años para las solicitudes no exitosas (salvo consentimiento), 5 años después de la salida del expediente administrativo, 6 años para las nóminas en la versión empleador.

Base jurídica e información para los empleados

Contrariamente a la creencia popular, el consentimiento rara vez es la base jurídica adecuada en RRHH, debido a la relación de subordinación. Las bases relevantes son más bien la ejecución del contrato de trabajo (artículo 6.1.b), la obligación legal (artículo 6.1.c) o el interés legítimo (artículo 6.1.f). Para datos sensibles (salud, sindicales), el artículo 9 exige una base específica como la obligación en términos de legislación laboral.

El empleador debe proporcionar información clara mediante un aviso RGPD en el momento de la contratación, actualizar el registro de procesamiento (artículo 30) y consultar al CSE antes de cualquier nuevo procesamiento que afecte a los empleados (artículo L.2312-38 del Código del Trabajo).

Seguridad y derechos de los empleados

La seguridad técnica y organizativa (artículo 32) exige: cifrado de SIRH, control de acceso por perfil, trazabilidad de las consultas, cláusulas de confidencialidad con nóminas o subcontratistas de contratación (artículo 28). En caso de infracción, notificación a la CNIL en un plazo de 72 horas.

Los empleados tienen derechos reforzados: acceso, rectificación, supresión (limitados por las obligaciones legales de conservación), portabilidad, oposición. Un procedimiento interno debe permitir una respuesta en el plazo máximo de un mes. La denegación de acceso al expediente disciplinario deberá estar legalmente justificada.

Ejemplos prácticos

Ejemplo 1 – Contratación:Una PYME ha guardado los CV de todos los candidatos en una carpeta compartida durante 5 años. Incumplimiento: duración excesiva, falta de seguridad. Solución: purga automatizada después de 2 años, acceso restringido a los reclutadores, mención del RGPD en la oferta de trabajo.

Ejemplo 2 – Videovigilancia:Un almacén logístico filma continuamente los puestos de trabajo. Posible sanción (la CNIL sancionó a Amazon France Logistique con 32 millones de euros en 2024). Solución: límite a áreas sensibles, información individual, consulta al CSE, plazo de conservación máximo de un mes.

Ejemplo 3 – Herramientas colaborativas:El despliegue de Microsoft 365 requiere un análisis de impacto (AIPD) si se activan las funciones de monitorización, así como una cláusula de subcontratación conforme con el editor.

Cumplimiento y sanciones

Además de las multas de la CNIL, el empleador está expuesto a acciones judiciales laborales por invasión de la intimidad (artículo 9 del Código Civil, artículo L.1121-1 del Código del Trabajo). La designación de un DPO es obligatoria para las entidades que procesan datos a gran escala. Un mapeo anual de la tramitación de recursos humanos, junto con la formación de los directivos, constituye la mejor protección jurídica y operativa.

Conclusión

El cumplimiento del RGPD en RRHH no es un proyecto aislado sino un proceso continuo de mejora. Entre las obligaciones legales, los derechos de los empleados y el desempeño operativo, los gerentes de recursos humanos deben gestionar rigurosamente la gobernanza de datos. Invertir en un HRIS que cumpla con las normas, capacitar a los equipos y documentar cada procesamiento transforma las restricciones regulatorias en una palanca de confianza de los empleados.