GDPR en RRHH: Tratamento de datos dos empregados

Introdución

Desde a entrada en vigor do Regulamento Xeral de Protección de Datos (GDPR) o 25 de maio de 2018, os departamentos de RRHH están na primeira liña do cumprimento. As funcións de recursos humanos tratan a diario datos persoais sensibles: currículos, nóminas, datos de saúde, avaliacións, datos bancarios. A mala xestión expón á empresa a sancións de ata 20 millóns de euros ou o 4% da facturación global (artigo 83 do GDPR). Este artigo presenta as principais obrigas e as mellores prácticas para garantir o procesamento dos datos dos empregados ao longo do ciclo de RRHH.

Os principios fundamentais aplicables aos datos de RRHH

O GDPR impón seis principios cardinais codificados no artigo 5: licitude, lealdade, transparencia, limitación de fins, minimización, exactitude, limitación da retención e integridade/confidencialidade. Na práctica, isto significa que o departamento de RRHH só pode recoller os datos estritamente necesarios para un fin específico. Por exemplo, pedir o número de seguridade social ao solicitar é desproporcionado: só se xustifica despois da contratación para o DSN.

A CNIL, mediante a súa deliberación núm. 2019-160 relativo á xestión de persoal, especifica os prazos de conservación recomendados: 2 anos para as solicitudes non aceptadas (salvo consentimento), 5 anos desde a saída para o expediente administrativo, 6 anos para as nóminas na versión patronal.

Base legal e información para os empregados

Ao contrario da crenza popular, o consentimento raramente é a base legal adecuada en RRHH, debido á relación de subordinación. As bases relevantes son máis ben a execución do contrato de traballo (artigo 6.1.b), a obriga legal (artigo 6.1.c) ou o interese lexítimo (artigo 6.1.f). Para os datos sensibles (sanitarios, sindicales), o artigo 9 esixe unha base específica como é a obrigación en materia de dereito laboral.

O empresario deberá proporcionar información clara mediante un aviso GDPR que se fará na contratación, actualizar o rexistro de tramitación (artigo 30) e consultar ao CSE ante calquera nova tramitación que afecte aos traballadores (artigo L.2312-38 do Código de Traballo).

Seguridade e dereitos dos traballadores

A seguridade técnica e organizativa (artigo 32) esixe: cifrado do SIRH, control de acceso por perfil, trazabilidade das consultas, cláusulas de confidencialidade con subcontratas de nómina ou contratación (artigo 28). En caso de infracción, notificalo á CNIL nun prazo de 72 horas.

Os traballadores teñen dereitos reforzados: acceso, rectificación, borrado (limitado polas obrigas legais de conservación), portabilidade, oposición. Un procedemento interno deberá permitir unha resposta no prazo máximo dun mes. A denegación de acceso ao expediente disciplinario deberá estar legalmente xustificada.

Exemplos prácticos

Exemplo 1 – Contratación:Unha peme tivo os currículos de todos os candidatos nun cartafol compartido durante 5 anos. Incumprimento: duración excesiva, falta de seguridade. Solución: purga automatizada despois de 2 anos, acceso restrinxido aos recrutadores, mención do GDPR na oferta de emprego.

Exemplo 2 – Videovixilancia:Un almacén loxístico filma continuamente as estacións de traballo. Posible sanción (a CNIL sancionou a Amazon France Logistique por 32 millóns de euros en 2024). Solución: límite a áreas sensibles, información individual, consulta do CSE, prazo de conservación dun mes máximo.

Exemplo 3 – Ferramentas colaborativas:A implantación de Microsoft 365 require unha análise de impacto (AIPD) se as funcións de seguimento están activadas, así como unha cláusula de subcontratación conforme co editor.

Cumprimento e sancións

Ademais das multas da CNIL, o empresario exponse a accións xudiciais do traballo por atentado da intimidade (artigo 9 do Código Civil, artigo L.1121-1 do Código do Traballo). A designación dun DPO é obrigatoria para as entidades que procesan datos a gran escala. Un mapeo anual do procesamento de RRHH, xunto coa formación dos xestores, constitúe a mellor protección legal e operativa.

Conclusión

O cumprimento do GDPR en RRHH non é un proxecto único senón un proceso continuo de mellora. Entre as obrigas legais, os dereitos dos empregados e o rendemento operativo, os xestores de RRHH deben xestionar rigorosamente o goberno dos datos. Investir nun HRIS compatible, formar equipos e documentar cada procesamento transforma as restricións regulamentarias nunha panca de confianza dos empregados.