RGPD en RH : Tratamento de Datos dos Colaboradores

A xestión de recursos humanos xera, cada día, un volume considerable de datos personais: contratos de traballo, nóminas, datos de saúde, avaliacións de desempeño, coordenadas bancarias… Desde a entrada en vigor do Regulamento Xeral de Protección de Datos (RGPD) en maio de 2018, as direccións de RH convertéronse en actores centrais da conformidade nas organizacións. Con todo, segundo o informe de actividade 2024 da CNIL, o sector de recursos humanos segue sendo un dos tres dominios máis frecuentemente cuestionados durante os controis. Este artigo guíate a través das obrigacións clave, das boas prácticas e das ferramentas dispoñibles para tratar os datos dos teus colaboradores en total conformidade.

¿Que datos personais tratan os servizos de RH?

As categorías de datos máis comúns

Os servizos de RH manexan un espectro moi amplo de datos personais. Distinguense dúas grandes familias:

Os datos ordinarios, recollidos no marco do contrato de traballo: nome, apelido, enderezo, número de seguridade social, RIB, CV, diplomas, historial profesional, avaliacións anuais, horarios de traballo, datos de asistencia e ausencia.

Os datos sensibles, sometidos a restricións reforzadas no sentido do artigo 9 do RGPD: datos de saúde (baixas médicas, declaracións de accidente laboral, restricións médicas), datos sindicais (afiliación a sindicato, mandatos representativos), datos relativos a condenas penais en certos contextos de recrutamento.

Estes últimos só poden ser tratados baixo reserva dunha excepción explícita prevista pola normativa — como a execución das obrigacións legais en materia de dereito laboral, ou o consentimento explícito da persoa afectada.

O caso particular do recrutamento

A fase de recrutamento xera tratamentos específicos, moitas veces mal regulados. A recollida de CVs, cartas de motivación e resultados de probas implica durações de conservación precisas: segundo as recomendacións da CNIL, os datos dos candidatos non seleccionados deben ser eliminados ou anonimizados no prazo máximo de dous anos despois do último contacto. Conservar CVs indefinidamente nun directorio compartido non asegurado constitúe unha violación caracterizada.

O recurso a ferramentas de rastrexo nos ATS (Sistemas de Xestión de Candidatos) ou a algoritmos de análise comportamental debe ser obxecto dunha mención explícita na política de privacidade transmitida aos candidatos, conforme aos artigos 13 e 14 do RGPD.

As bases legais do tratamento en contexto de RH

Identificar a base legal adecuada

O RGPD impón que todo tratamento de datos personais se baseie en unha das seis bases legais definidas no artigo 6. En contexto de RH, mobilízanse principalmente tres bases:

• A execución do contrato de traballo (art. 6.1.b): xustifica o tratamento dos datos necesarios para a xestión da nómina, dos permisos ou da formación.

• A obrigación legal (art. 6.1.c): aplícase ás declaracións sociais obrigatorias (DSN), aos rexistros de personal ou ao seguimento de accidentes laborais.

• O interese lexítimo (art. 6.1.f): pode ser invocado para tratamentos como a xestión de insignias de acceso ou a videovigilancia, baixo reserva dunha proba de equilibrio rigorosa.

O consentimento (art. 6.1.a) é, pola contra, unha base legal frágil en contexto laboral: a CNIL e o Comité Europeo de Protección de Datos (CEPD) lembran que o desequilibrio estrutural entre o empresario e o traballador torna difícil probar un consentimento libre. Non debe ser utilizado máis que como último recurso.

O rexistro dos tratamentos, obrigación incuestionable

Toda organización que empregue polo menos 250 persoas — ou que trate datos sensibles a menor escala — debe manter un rexistro das actividades de tratamento (art. 30 do RGPD). En RH, este rexistro debe documentar, para cada tratamento: a finalidade, as categorías de datos, os destinatarios, as duraciones de conservación, e as medidas de seguridade implementadas.

Este documento, mantido á disposición da CNIL en caso de control, é tamén unha ferramenta de xestión valiosa. Combinado con unha solución de sinatura electrónica dedicada a RH, permite rastrexar e horodar cada etapa do ciclo de vida dun documento de RH, reforzando así a auditabilidade dos procesos.

Dereitos dos colaboradores e obrigacións do empresario

Informar aos traballadoes: unha obrigación inmediata

O artigo 13 do RGPD impón informar ás persoas afectadas no momento da recollida dos seus datos. En práctica, os servizos de RH deben subministrar aos trabajadores — idealmente desde a sinatura do contrato de traballo — un aviso de información RGPD detallando: a identidade do responsable do tratamento, as finalidades e bases legais, a duración de conservación, os dereitos dispoñibles e as coordenadas do DPD (Delegado de Protección de Datos) se a empresa dispón dun.

Dixitalizar e asegurar este intercambio é esencial. O recurso á sinatura electrónica en empresa para a entrega deste aviso garante unha proba de entrega horodada e incontestable, aliñada coas esixencias do regulamento eIDAS.

Os dereitos dos trabajadores a respectar imperativamente

Os colaboradores dispoñen de dereitos estendidos sobre os seus datos:

• Dereito de acceso (art. 15): todo traballador pode solicitar unha copia de todos os datos que llo afecten tratados polo empresario.

• Dereito de rectificación (art. 16): corrección dun dato inexacto (ex.: enderezo postal, RIB).

• Dereito ao borrado (art. 17): aplicable en certos casos, nomeadamente despois do fin do contrato e da transcorrencia dos prazos legais de conservación.

• Dereito de oposición (art. 21): o traballador pode opoñerse a un tratamento baseado no interese lexítimo.

• Dereito á limitación (art. 18): conxelación temporal dun tratamento cuestionado.

O empresario dispón dun prazo de un mes para responder a toda solicitude de exercicio de dereitos, extensible a tres meses en caso de complexidade (art. 12 do RGPD).

Seguridade dos datos de RH e xestión dos subcontratistas

Medidas técnicas e organizacionais

O artigo 32 do RGPD impón a implementación de medidas de seguridade "apropiadas ao risco". Para os datos de RH, as boas prácticas inclúen:

• Cifrado dos ficheiros que conteñen datos sensibles (nóminas, dossiers médicos).

• Control de accesos: principio do mínimo privilexio — un xestor de nómina non ten acceso aos datos disciplinarios.

• Rexistro dos accesos aos sistemas de RH (SIRH, ferramentas de nómina).

• Plan de resposta ás violacións: en caso de fuga de datos, o empresario dispón de 72 horas para notificar á CNIL (art. 33), e potencialmente ás persoas afectadas se o risco é elevado (art. 34).

Un auditoría completa a través da guía da sinatura electrónica pode axudar aos equipos de RH a identificar os tratamentos non asegurados que persisten en soporte papel e a dixitalizalos de xeito conforme.

Encadrar os prestatarios de RH por medio de DPA

Os servizos de RH recorren a numerosos subcontratistas: software de nómina, plataformas de formación, ferramentas de xestión de tempos. Cada prestatario que acceda a datos personais debe ser obxecto dun acordo de tratamento de datos (Data Processing Agreement — DPA), conforme ao artigo 28 do RGPD. Este contrato debe precisar as instrucións de tratamento, as garantías de seguridade, as modalidades de restitución ou destrución dos datos, e as obrigacións en caso de violación.

Seleccionar prestatarios con infraestruturas aloxadas na Unión Europea, ou encadrados por cláusulas contractuais estándar (CCT) aprobadas pola Comisión, segue sendo unha exixencia fundamental para evitar calquera transferencia ilícita fóra da UE.

Duraciones de conservación: un reto estruturante

As duraciones legais aplicables ao dossier salarial

A duración de conservación dos datos de RH está regulada por un conxunto de textos: o RGPD (principio de limitación da conservación, art. 5.1.e), o Código do Traballo, e varias disposicións fiscais e sociais. En práctica, os prazos principais a respectar son:

| Tipo de documento | Duración mínima de conservación | |---|---| | Nómina | 5 anos (prescrición social) | | Contrato de traballo | 5 anos despois do fin do contrato | | Datos de nómina (DSN) | 3 anos (control URSSAF) | | Rexistro de personal | 5 anos despois da saída do traballador | | Datos disciplinarios | Duración proporcional á medida | | Dossier médico (medicina do traballo) | 50 anos (regulación específica) |

Implementación dunha política de arquivado e purga automatizada no SIRH, combinada con fluxos de sinatura electrónica que horodan a creación dos documentos, constitúe hoxe a mellor práctica para demostrar a conformidade á CNIL.

Os riscos a evitar

Os erros máis frecuentes observados durante os controis CNIL en materia de datos de RH son: a conservación indefinida de CVs de candidatos non seleccionados, o mantemento dos accesos informáticos de antigos trabajadores, a ausencia de cifrado dos ficheiros de nómina exportados, e a non-eliminación dos datos de control de acceso máis aló dos prazos regulamentarios. Para asegurar estes puntos, consultar o comparativo das solucións de sinatura electrónica permite identificar as ferramentas que integran nativamente funcións de arquivado probante e de xestión do ciclo de vida dos documentos.

Marco legal aplicable ao tratamento dos datos de RH

O tratamento dos datos personais dos colaboradores inscríbese nun marco normativo denso, articulando varios niveis de regulación.

O Regulamento (UE) 2016/679 — RGPD constitúe a pedra angular. Os seus artigos 5 a 11 definen os principios fundamentais (licitude, lealidade, transparencia, limitación das finalidades, minimización dos datos, exactitude, limitación da conservación, integridade e confidencialidade). O artigo 9 establece as condicións estritas aplicables ás categorías particulares de datos, incluíndo os datos de saúde e sindicais, especialmente frecuentes en RH. O artigo 83 prevé multas que poden alcanzar 20 millóns de euros ou o 4% da facturación mundial en caso de violación grave.

A lei Informática e Libertades modificada (lei nº 78-17 do 6 de xaneiro de 1978), na súa versión consolidada, adapta o RGPD ao dereito francés. Confírelles á CNIL os seus poderes de control e sanción, e prevé nomeadamente derrogacións sectoriais para os datos de saúde en medicina do traballo.

O Código do Traballo regula os tratamentos ligados á vixilancia dos trabajadores (art. L. 1121-1 sobre o respeto á vida privada), á consulta dos representantes do persoal sobre as ferramentas dixitais (art. L. 2312-38), e aos rexistros obrigatorios.

O Regulamento eIDAS (nº 910/2014), completado por eIDAS 2.0 (Regulamento UE 2024/1183), regula o valor xurídico das sinatura electrónicas apoñidas nos documentos de RH. Unha sinatura electrónica cualificada (SEQ), conforme ao anexo I de eIDAS e ás normas ETSI EN 319 132 e ETSI EN 319 122, ofrece a presunción de equivalencia á sinatura manuscrita no sentido do artigo 1367 do Código civil francés.

O artigo 1366 do Código civil establece que «o escrito electrónico ten a mesma forza probante que o escrito en soporte papel, baixo a condición de que poida ser debidamente identificada a persoa de cuxo orixe procede e de que sexa establecido e conservado en condicións apropiadas para garantir a súa integridade». Esta disposición é directamente aplicable aos contratos de traballo, enmiendas, acordos de confidencialidade e outros documentos de RH desmaterializados.

A directiva NIS2 (UE 2022/2555), transposta ao dereito francés pola lei do 26 de febreiro de 2025, impón ás entidades esenciais e importantes (nomeadamente as grandes empresas industriais e os operadores de servizos dixitais) exixencias reforzadas en materia de xestión dos riscos ligados á seguridade da información, incluíndo a protección dos datos de RH sensibles.

As sancións pronunciadas pola CNIL están en forte aumento: en 2024, o importe total das multas supera 100 millóns de euros, con varias decisións directamente implicadas nos incumprimentos na xestión dos datos salariáis. O non-respeto das duraciones de conservación, a ausencia de DPA cos subcontratistas de RH, e a insuficiencia das medidas de seguridade figuran entre os cargos máis frecuentemente retidos.

Escenarios de uso: a conformidade RGPD en RH na práctica

Escenario 1 — Unha ETI industrial de 450 trabajadores dixitaliza os seus procesos de acollida

Unha empresa industrial de tamaño intermedio, distribuída en tres sitios en Francia, xestionaba os seus contratos de traballo e enmiendas en soporte papel. Os dossiers dos novos entrants non eran transmitidos ao servizo de nómina ata despois dun prazo medio de 12 días laboráis, xerando erros de nómina en aproximadamente o 8% dos casos. Á súa vez, ningunha notificación de RGPD se entregaba de xeito formal aos novos entrants: a información figuraba só na parte final do regulamento interno, non asinado por separado.

Despois do despregamento dunha solución de sinatura electrónica integrada no seu SIRH, con entrega simultánea dunha notificación de RGPD co-asinada polo traballador e o Director de RH, a empresa reduciu o prazo de acollida documentaria a 2 días laboráis (redución do 83%). Os erros de nómina debidos a datos faltantes caeron a menos do 1%. Cada documento asinado é arquivado con horodataxe cualificada, proporcionando unha proba opoñible en caso de control CNIL ou de litigio laboral.

Escenario 2 — Un grupo de distribución de 1 200 colaboradores pon en conformidade a súa política de conservación

Un grupo que opera no reparto especializado sofreu un control CNIL a raíz dunha reclamación dun antigo traballador. A inspección revelou que ficheiros en Excel contendo datos de nómina de trabajadores marchar hai máis de 8 anos seguían sendo accesibles nun servidor compartido non asegurado, sen cifrado. Un aviso formal foi pronunciado, acompañado dunha orde de conformidade nun prazo de 3 meses.

O grupo emprenedera entón unha auditoría completa dos seus tratamentos de RH, cartografíou as 23 actividades de tratamento, e implementou un plan de purga automatizada desencadeada polo SIRH. Os documentos asinados electronicamente foron migrados a un cofre dixital con duraciones de retención configuradas segundo as obrigacións legais. O DPD produciu un rexistro completo dos tratamentos de RH, presentado durante un segundo control CNIL 18 meses máis tarde, que se pechou sen incidencias. O custo da conformidade foi estimado en menos do 60% da cantidade dunha potencial multa.

Escenario 3 — Un bufete de asesoría de RH de 35 persoas asegura os datos dos seus propios consultores e dos seus clientes

Un bufete especializado en recursos humanos xestiona tanto os datos dos seus propios consultores coma os daqueles candidatos e trabajadores das súas empresas clientes (no marco de misións de avaliación ou recolocación). Vese así nun dobre rol: responsable do tratamento para os seus propios RH, e subcontratista (ou corresponsable) para os datos de terzos.

O bufete implementou unha arquitectura documentaria diferenciada: sinatura electrónica simple para os intercambios internos correntes, sinatura avanzada para os contratos de misión cos clientes, e acordos de tratamento de datos (DPA) sistematicamente integrados ás cartas de misión. Os consultores todos recibieron unha carta de RGPD actualizada, asinada electronicamente e conservada nun rexistro dedicado. Esta organización permitiu ao bufete exhibir a súa conformidade como argumento comercial ante grandes contas sometidas a auditorías de provedores estritos, reducindo o prazo medio de contratación de 7 a 2 semanas.

Conclusión

O RGPD impón ás direccións de recursos humanos unha transformación profunda das súas prácticas: identificación rigorosa das bases legais, información efectiva dos colaboradores, xestión dos dereitos, encadramento contractual dos subcontratistas, aseguramento dos datos e respeto das duraciones de conservación. Estas obrigacións non son simples formalidades administrativas — condicionan a capacidade da empresa para evitar sancións que poidan alcanzar varios millóns de euros e manter a confianza dos seus equipos.

A dixitalización dos procesos de RH, a través de solucións de sinatura electrónica conforme a eIDAS, constitúe un dos paliancas máis eficaces para conciliar eficiencia operacional e conformidade regulamentaria. Certyneo acompaña aos equipos de RH nesta transición, desde a sinatura do contrato de embargue ata o arquivado asegurado dos dossiers salariáis.

Descubre como Certyneo pode asegurar os teus procesos de RH consultando a nosa oferta dedicada aos equipos de RH ou comezando gratuitamente para probar a solución sen compromiso.