RGPD en RH : Traitement das datos dos empregados

O Regulamento Xeral de Protección de Datos (RGPD) non se aplica únicamente ás relacións comerciais entre unha empresa e os seus clientes : tamén regula, de forma moi precisa, o tratamento de datos persoais dos empregados. Selección, xestión de nóminas, control de accesos, avaliación de desempeño, videovigilancia… cada fase do ciclo de vida do contrato de traballo xera datos de carácter persoal que o empregador debe tratar en estrito cumprimento do dereito europeo. Con multas que poden alcanzar os 20 millóns de euros ou o 4 % da facturación mundial anual, a aposta é considerábel. Este artigo detalla as bases legais aplicábeis, as obrigas prácticas dos servizos de RH e as mellores prácticas para asegurar os teus tratamentos — incluída a desmaterialización de documentos de RH.

Os fundamentos xurídicos do tratamento de datos de RH

As bases legais admitidas en dereito laboral

O RGPD lista seis bases legais que permiten tratar datos persoais (artigo 6). En contexto de RH, tres delas móbense case sistematicamente :

• A execución do contrato de traballo (art. 6.1.b) : constitúe a base principal para a xestión de nóminas, o seguimento do tempo de traballo, a entrega de nóminas ou a xestión de permisos.

• A obriga legal (art. 6.1.c) : xustifica os tratamentos impostos polo Código do Traballo ou pola lexislación social, como a notificación previa de contratación (DPAE), a declaración social nominativa (DSN) ou o mantemento do rexistro único de persoal.

• O interese lexítimo (art. 6.1.f) : pode fundamentar certos tratamentos de seguridade informática ou prevención de fraude interna, baixo a condición de que este interese non sexa superado polos dereitos fundamentais dos empregados.

⚠️ A base do consentimento debe manexarse con extrema cautela en contexto salarial. A CNIL recorda regularmente que o desequilibrio inherente á relación empregador-empregado fai que o consentimento sexa raramente "libre" no sentido do artigo 7 do RGPD. Recorrer ao consentimento para tratamentos que poderían basarse noutra base legal expón o empregador a un risco de recualificación.

As categorías especiais de datos : un réxime reforzado

Algúns datos recollidos pola RH están dentro do réxime de "datos sensibles" contemplado no artigo 9 do RGPD, cuxo tratamento está en principio prohibido agás excepcións :

• Datos de saúde : baixas por enfermidade, incapacidades declaradas pola medicina do traballo, adaptacións de postos de traballo para discapacidade.

• Datos sindicais : afiliación a un sindicato, mandatos de representación.

• Datos biométricos : control de acceso por pista dactilar ou recoñecemento facial.

• Datos relativos a infraccións : verificación de antecedentes penais, autorizada unicamente en sectores regulados (seguridade, infancia, etc.).

Para estas categorías, o empregador debe identificar unha excepción explícita (art. 9.2), realizar unha análise de impacto sobre a protección de datos (AIPD) na maioría dos casos, e con frecuencia consultar á CNIL antes do despliegue.

As obrigas prácticas dos servizos de RH

O rexistro de actividades de tratamento

Todo organismo que empregue máis de 250 empregados está obrigado a manter un rexistro de actividades de tratamento (art. 30 do RGPD). Por debaixo deste limiar, a obriga subsiste cando os tratamentos non son ocasionais ou afectan a datos sensibles — o que é case sempre o caso en RH. Este rexistro debe documentar :

• A finalidade de cada tratamento (ex. : "xestión de nóminas")

• As categorías de datos afectadas

• Os destinatarios (terceiros, subcontratistas, autoridades)

• Os períodos de conservación

• As medidas de seguridade implementadas

A CNIL pon á disposición un modelo de rexistro descarregábel libremente. O seu mantemento riguroso constitúe a primeira liña de defensa en caso de inspección.

Os períodos de conservación : un punto con frecuencia descoidado

O artigo 5.1.e do RGPD impón o principio de limitación de conservación : os datos non deben conservarse máis alá da duración necesaria para a finalidade pola cal foron recollidos. En RH, as duracións legais de referencia son as seguintes :

| Tipo de dato | Duración de conservación recomendada | |---|---| | Nómina | 5 anos (prescrición civil) | | Contrato de traballo | 5 anos despois da resolución do contrato | | Datos de selección (candidato non seleccionado) | Máximo 2 anos despois do último contacto | | Expediente disciplinario | Duración variable segundo a sanción (máx. 3 anos para un aviso) | | Datos de videovigilancia | 1 mes en xeral | | DSN e rexistro de persoal | 5 anos despois da saída do empregado |

Estas duracións deben inscribirse no rexistro e aplicarse mediante procedementos de eliminación ou arquivamento definitivo.

A información aos empregados : unha obriga con frecuencia subestimada

O artigo 13 do RGPD impón proporcionar unha notificación de información completa ás persoas afectadas no momento da recollida dos seus datos. En RH, esta notificación debe entregarse idealmente :

• Desde a candidatura : para os datos recollidos durante o proceso de selección.

• No momento da contratación : integrada no contrato de traballo ou entregada en anexo no momento da firma.

• Durante a relación contractual : en cada novo tratamento implementado (ex. : despliegue dunha ferramenta de fichaxe biométrica).

A desmaterialización do proceso de incorporación, especialmente a través da firma electrónica para RH, facilita a rastreabilidade desta entrega de información : a data de lectura e firma da notificación está rexistrada de forma probatoria, o que constitúe un elemento de proba valioso en caso de litigio.

A seguridade dos datos de RH : medidas técnicas e organizativas

Cifrado, control de accesos e compartimentación

O artigo 32 do RGPD esixe a implementación de medidas de seguridade adaptadas ao risco. Para os datos de RH, que son por natureza sensibles e obxecto de ataques durante intrusións, as boas prácticas mínimas inclúen :

• Cifrado de datos en repouso e en tránsito : os ficheiros de nóminas, contratos e expedientes persoais deben almacenarse cifrados (AES-256 como mínimo) e transmitirse mediante protocolos seguros (TLS 1.3).

• Xestión de dereitos de acceso baseada en roles (RBAC) : só os xestores de RH autorizados acceden aos datos de nómina ; o responsable de equipo accede só aos datos necesarios para a xestión.

• Rexistro de accesos : toda consulta ou modificación dun expediente de empregado debe estar rexistrada co identificador do usuario, a data e a hora.

• Seudonimización para tratamentos analíticos (paneis de control de RH, estudos de retribución).

A xestión de subcontratistas de RH

Os servizos de RH recurren a numerosos subcontratistas : editores de SIRH, provedores de externalización de nóminas, plataformas de formación, ferramentas de selección en liña. Cada un destes terceiros debe estar suxeito a un contrato de subcontratación conforme ao artigo 28 do RGPD, especificando notablemente :

• A natureza e a finalidade dos tratamentos subcontratados

• As obrigas do subcontratista en materia de seguridade e confidencialidade

• A prohibición de subcontratar a terceiros sen autorización previa

• As modalidades de devolución ou destrución de datos ao final do contrato

Na hora de escoller un prestatario, tamén convén verificar se os seus servidores están localizados no Espazo Económico Europeo (EEE) ou se existe un mecanismo de transferencia adecuado (cláusulas contractuais tipo, decisión de adecuación) para transferencias fóra do EEE.

A desmaterialización de documentos de RH e a conformidade RGPD

A dixitalización crecente dos procesos de RH — contratos de traballo electrónicos, nóminas desmaterializadas, avenidas asinadas a distancia — suscita cuestións RGPD específicas. Se a firma electrónica conforme a eIDAS proporciona garantías indubidábeis de integridade e autenticidade, o empregador debe asegurar que a plataforma utilizada :

• Non recolla datos superfluous durante o proceso de firma (principio de minimización, art. 5.1.c)

• Conserve as probas de firma (rexistro de auditoría) en condicións seguras e durante un período apropiado

• Permita o exercicio dos dereitos dos asinantes (acceso, rectificación, supresión dentro dos límites legais)

Para ir máis alá na conformidade das ferramentas de firma, a guía completa de firma electrónica de Certyneo detalla os criterios técnicos e xurídicos a verificar antes de calquera despliegue.

Os dereitos dos empregados e o seu exercicio efectivo

Panorama dos dereitos garantidos polo RGPD

Os empregados benefícianse do conxunto de dereitos previstos nos artigos 15 a 22 do RGPD. En contexto de RH, os dereitos máis frecuentemente exercidos son :

• Dereito de acceso (art. 15) : o empregado pode solicitar unha copia de todos os datos que o concerñen que o empregador ten, incluídos os intercambios de correo electrónico profesional baixo certas condicións.

• Dereito de rectificación (art. 16) : corrección de datos inexactos (erro no RIB, diploma mal rexistrado, etc.).

• Dereito ao esquecemento (art. 17) : limitado en RH polas obrigas legais de conservación, pero aplicábel aos datos de selección dun candidato non seleccionado.

• Dereito de oposición (art. 21) : pode exercerse contra un tratamento fundamentado no interese lexítimo, como certos tratamentos de vixilancia.

• Dereito á portabilidade (art. 20) : aplicábel aos datos proporcionados polo propio empregado no marco da execución do contrato.

O prazo de resposta e os procedementos internos

O empregador dispón de un mes para responder a calquera solicitude de exercicio de dereitos, prazo extensíbel a tres meses en caso de complexidade ou volume elevado de solicitudes (art. 12.3). Para organizar este tratamento eficientemente, recoméndase :

• Designar un punto de contacto único (DPO ou referente RGPD) para recibir as solicitudes

• Implementar un formulario dedicado accesíbel aos empregados

• Documentar cada solicitude e a súa resposta nun rexistro de solicitudes de exercicio de dereitos

• Formar aos xestores de RH para identificar unha solicitude implícita (un empregado que reclama "o seu expediente persoal" está exercendo de feito o seu dereito de acceso)

O papel do DPO na empresa

O RGPD impón a designación dun Delegado de Protección de Datos (DPO) en tres casos (art. 37) : autoridade pública, tratamento en gran escala de datos sensibles, ou vixilancia sistemática en gran escala. Moitas empresas cuxo tratamento de RH é significativo entran nesta obriga. O DPO pode ser interno ou externalizador ; debe ter independencia funcional e estar asociado a todas as decisións que afecten á protección de datos, incluído o despliegue de novas ferramentas dixitais de RH. O seu papel é consultivo e non decisorio : a responsabilidade final segue sendo a do responsable do tratamento, é dicir, o empregador.

Marco legal aplicábel ao tratamento de datos de RH

O RGPD : texto fundador

O Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello do 27 de abril de 2016 (RGPD) constitúe a base reguladora do tratamento de datos persoais en Europa. Directamente aplicábel en todos os Estados membros desde o 25 de maio de 2018, aplícaselle a todo empregador que trate datos de empregados residentes na UE, sexa cal sexa a nacionalidade da empresa. Os principais artigos aplicábeis en contexto de RH son :

• Art. 5 : principios fundamentais (licitude, lealdade, transparencia, minimización, exactitude, limitación de conservación, integridade e confidencialidade, responsabilidade)

• Art. 6 : bases legais de tratamento

• Art. 9 : réxime de datos sensibles

• Art. 12 a 22 : dereitos das persoas afectadas

• Art. 24 a 32 : obrigas do responsable do tratamento e do subcontratista

• Art. 33-34 : notificación de violacións de datos (72 horas á CNIL, e información das persoas se risco elevado)

• Art. 35 : análise de impacto (AIPD) obrigatoria para tratamentos de risco elevado

• Art. 83 : sancións administrativas (ata 20 M€ ou 4 % da facturación mundial)

A Lei de Informática e Libertades modificada

En dereito francés, a lei nº78-17 do 6 de xaneiro de 1978 relativa á informática, aos ficheiros e ás libertades, modificada pola lei nº2018-493 do 20 de xuño de 2018 e a ordenanza nº2018-1125 do 12 de decembro de 2018, complementa o RGPD abrindo marxes de manobra nacionais ("cláusulas de apertura"). Entre as máis importantes en RH : a posibilidade de tratar datos sindicais no marco da xestión das institucións de representación do persoal (art. 9 da lei), ou as normas específicas para o tratamento de datos de saúde no traballo.

O Código do Traballo e a xurisprudencia social

O Código do Traballo impón obrigas de información e consulta previa do Comité Social e Económico (CSE) antes de calquera despliegue de dispositivo de vixilancia ou control dos empregados (art. L. 2312-38). A falta de consulta expón o empregador a unha inoposibilidade das probas recollidas así como a sancións penais.

A xurisprudencia da Corte de Casación recorda regularmente que as ferramentas de control (xeolocalización, terminal de fichaxe, software de seguimento de actividade) deben ser proporcionadas ao obxectivo perseguido e non poden ser desviadas a fins diferentes dos declarados aos empregados e á CNIL.

A firma electrónica de documentos de RH : eIDAS e Código Civil

Durante a desmaterialización de contratos de traballo, avenidas ou documentos disciplinarios, o empregador debe respectar o Regulamento (UE) nº910/2014 eIDAS, que define tres niveis de firma electrónica. Para documentos tán estruturantes como un contrato de traballo CDI ou un documento de resolución convencional, recoméndase unha firma electrónica avanzada (ou mesmo cualificada) para garantir a identidade do asinante e a integridade do documento. O Código Civil nos artigos 1366 e 1367 consagra o valor probatoria do escrito electrónico e da firma electrónica, baixo a condición de identificación fiable do asinante e de seguridade de integridade.

Sancións pronunciadas pola CNIL en materia de RH

A CNIL pronunciou varias sancións significativas en materia de tratamento de datos de RH : en 2022, unha empresa foi condenada a 400 000 € de multa por vixilancia excesiva de empregados en teletraballo mediante software de captura de pantalla. En 2023, unha sociedade de seguridade recibiu unha sanción de 200 000 € por recollida excesiva de datos biométricos sen base legal válida. Estas decisións ilustran a vixilancia crecente do regulador neste perímetro.

Escenarios de uso : RGPD en RH na práctica

Escenario 1 — Unha PEME industrial de 450 empregados pon en conformidade o seu proceso de selección

Unha empresa industrial de tamaño medio, que empregaba aproximadamente 450 persoas en tres sedes, recibía cada ano máis de 3 000 candidaturas espontáneas e respondía a uns sesenta procesos selectivos. Os currículos e cartas de presentación almacenábanse sen limitación de tempo nunha caixa de correo compartida entre seis responsables de servizo. Non se entregaba ninguna notificación de información aos candidatos sobre o uso dos seus datos.

Seguindo unha auditoría RGPD, implementáronse as seguintes accións en seis meses :

• Migración a un ATS (Sistema de Seguimento de Candidatos) certificado conforme a RGPD, con eliminación automática de expedientes após 24 meses de inactividade

• Engadido dunha notificación RGPD en cada formulario de candidatura en liña

• Firma electrónica de cartas de contratación e contratos de traballo a través dunha plataforma conforme a eIDAS, reducindo o prazo de devolución de contratos asinados de 8 días por termo medio a menos de 48 horas

• Actualización do rexistro de actividades de tratamento con 12 novas fichas de tratamento de RH

Resultado : ninguna solicitude á CNIL recibida nos 18 meses seguintes ; ganancia estimada de 1,2 ETP na xestión administrativa da selección grazas á desmaterialización.

Escenario 2 — Un grupo de distribución de 1 200 empregados regula a súa política de videovigilancia

Un grupo especializado en distribución alimentaria despregou un sistema de videovigilancia que cubría 34 puntos de venda. As imaxes conservábanse 45 días en algúns sitios, sen información mostrada aos empregados. Varios sensores cubrían os postos de caixa de forma permanente, xerando un risco de vixilancia desproporcionada.

Seguindo unha reclamación de empregado ante a CNIL, a empresa engadiu unha conformidade que incluíu :

• Redución da duración de conservación a máximo 30 días en todos os sitios

• Reposicionamento de cámaras para excluír a vixilancia continua dos postos de traballo individuais

• Consulta e acordo do CSE central antes de calquera novo despliegue

• Información sistemática dos empregados a través dos contratos de traballo e dunha carta interna exposta

Resultado : peche da reclamación á CNIL sen sanción ; mellora do clima social medida na enquisa de satisfacción anual seguinte (+11 puntos no elemento "confianza cara ao empregador").

Escenario 3 — Un gabinete de asesoría de RH externalizador asegura as transferencias de datos cos seus clientes

Un gabinete especializado na externalización de nóminas e administración de persoal xestionaba os expedientes de empregados para uns vinte clientes PEME, representando aproximadamente 1 800 nóminas mensuais. Os ficheiros de nóminas transmitíanse por correo electrónico sen cifrar, sen contrato de subcontratación formalizado no sentido do artigo 28 do RGPD.

O gabinete engadiu unha refundación completa das súas prácticas :

• Firma de Acuerdos de Procesamiento de Datos (DPA) conformes ao artigo 28 con cada un dos seus clientes, a través dunha plataforma de firma electrónica avanzada que permite a rastreabilidade

• Implementación dun portal de cliente seguro (cifrado TLS + autenticación de dous factores) para o depósito e a recollida de ficheiros de nóminas

• Aloxamento de datos en servidores localizados en Francia, certificados HDS para datos de saúde no traballo

• Redacción dunha política de subcontratación que encadra o recurso a terceiros (editor de software de nóminas, archivador)

Resultado : redución do 100 % das transmisións de datos de RH por correo electrónico sen asegurar ; obtención de dous novos contratos de clientes que fixeron da conformidade RGPD un criterio de selección obrigatorio na súa convocatoria de ofertas.

Conclusión

O RGPD en RH non se resume a unha constrinxencia administrativa engadida : é un lecer de confianza entre o empregador e os seus colaboradores, e un factor de competitividade nun mercado laboral onde a transparencia é cada vez máis valorada. Rexistro de tratamentos actualizado, períodos de conservación controlados, información aos empregados formalizada, seguridade reforzada de datos sensibles e subcontratistas contractualizados : cada un destes pilares contribuí a construír unha política de RH a un tempo legal e responsábel.

A desmaterialización de documentos de RH — contratos, avenidas, nóminas, notificacións de información — ofrece unha oportunidade única de combinar conformidade RGPD e eficiencia operativa, sempre e cando se apoie en ferramentas certificadas. Certyneo accompáñate nesta aproximación cunha solución de firma electrónica conforme a eIDAS, deseñada para equipos de RH. Descubre os nosos prezos e inicia o teu ensaio gratuíto en Certyneo para asegurar os teus documentos de RH hoxe mesmo.