En el área de RR. HH. de una empresa se manejan muchos datos de carácter personal; por tanto, es imprescindible que el departamento vigile en sus actividades el cumplimiento del Reglamento General de Protección de Datos (RGPD).
Toda empresa que trate datos personales está obligada a cumplir con el Reglamento General de Protección de Datos (RGPD) y con la Ley Orgánica de Protección de Datos. Uno de los principales ámbitos dentro de la empresa donde se tratan datos de tipo personal es en el área de Recursos Humanos (RR. HH). Currículums de candidatos, contratos laborales, datos de contacto de los trabajadores, gestión de bajas por enfermedad, instalación de sistemas de videovigilancia y GPS… son algunos de los documentos y situaciones que se manejan en el departamento de Recursos Humanos en relación con el RGPD.
Tanto el RGPD (oficialmente conocido como el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos), como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales, regulan un derecho fundamental: la protección de las personas físicas en relación con el tratamiento de datos personales.
Esta protección se contempla en la Constitución (artículo 18.4). Es por ello que los incumplimientos de la normativa de protección de datos pueden acarrear sanciones de calado, llegando las infracciones más graves a sancionarse con multas de hasta 20 millones de euros o el 4 % del volumen de negocio de la empresa. Un motivo más que de peso para que las empresas se tomen en serio la protección de los datos personales, implementando las medidas que exigen ambas normativas.
Buenas prácticas para la protección de datos de empleados
En todo caso, para garantizar el cumplimiento del RGPD en Recursos Humanos, el responsable del departamento debería adoptar un mínimo de cautelas:
- Identificar los datos personales de la plantilla que son tratados y su finalidad, así como los plazos de conservación.
- Informar a los trabajadores de qué datos personales están siendo tratados por la empresa, cuáles son los derechos que les corresponden en relación a ese tratamiento (derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición y a no ser objeto de decisiones individualizadas automatizadas), y quién o quiénes son las personas dentro de la empresa “responsables” o “encargados” de la actividad de tratamiento.
- Recabar el consentimiento específico, claro e informado de los trabajadores para el tratamiento de datos que no estén justificados para el mantenimiento de la relación laboral.
- Obtener el consentimiento específico, claro e informado de los trabajadores para la cesión de determinados datos a terceros (como la gestoría o la entidad bancaria con la que trabaja la empresa, la mutua, el servicio de prevención ajeno, la Seguridad Social, la Agencia Tributaria, el Servicio Público de Empleo Estatal, etc.)
Situaciones especiales relacionadas con el RGPD y los recursos humanos
Hay algunos datos del trabajador (nombre completo, NIF, número de afiliación a la Seguridad Social, fecha de nacimiento) cuyo tratamiento se entiende lícito por la empresa porque se consideran necesarios para la ejecución de un contrato en el que el interesado es parte (el contrato de trabajo).
Para otros datos, o en circunstancias concretas, surgen dudas sobre cómo debe actuar el departamento de Recursos humanos en relación a la protección de datos. Por ejemplo:
Gestión de los currículums
En los procesos de selección de personal, Recursos Humanos deberá contar con el consentimiento por escrito del candidato para poder archivar su CV en una base de datos y, si se trata de un grupo de empresas, habrá que solicitarle explícitamente que consiente que sus datos vayan a formar parte de una bolsa de empleo compartida por el grupo empresarial.
Correo y teléfono personal del trabajador
A este respecto, la propia Agencia Española de Protección de Datos (AEPD), organismo que vela por el cumplimiento del RGPD y la L0 3/2018, expone que ninguna norma exige que el trabajador deba facilitar su correo electrónico y teléfono particular a la empresa, por lo que la cumplimentación de estos datos ha de ser voluntaria por parte del trabajador y con su consentimiento previo.
Justificantes de ausencia laboral
La AEPD indica que únicamente con el consentimiento explícito del trabajador su empleador podría tratar datos de salud, aunque también precisa que no tienen la consideración de dato de salud la simple indicación en el justificante de que la ausencia del trabajo se debe a una hospitalización o una intervención quirúrgica.
Sistemas de control y vigilancia
El Estatuto de los Trabajadores permite a los empresarios adoptar medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de los trabajadores, como puede ser el cumplimiento de la jornada laboral o que efectivamente se encuentran trabajando cuando dicen estarlo.
Para ello, Recursos Humanos puede recurrir a medios como cámaras de videovigilancia, sistemas de monitorización de ordenadores y móviles, y sistemas de geolocalización. A este respecto, la LO3/2018 indica que la empresa habrá de informar con carácter previo, y de forma expresa, clara y concisa, de estas medidas a los trabajadores, y en su caso, a sus representantes.
Para facilitar el cumplimiento del RGPD y la LO 3/2018, la AEPD creó una herramienta gratuita de ayuda, Facilita RGPD, que está pensada para empresas que tratan datos personales de escaso riesgo, como pueden ser los de clientes o proveedores, pero también los del área de recursos humanos.
Las empresas no solo manejan datos personales de sus empleados, sino también otro tipo de datos sobre sus comportamientos, relaciones, rasgos, etc. A sacar provecho a esta información y tomar así las mejores decisiones contribuye el Curso en HR Analytics online de UNIR, que enseña a aplicar técnicas de Big Data en este campo y proporciona pautas a seguir en la analítica de datos para cumplir con la protección de datos.
