El nuevo Reglamento General de Protección de Datos (GDPR) establece cambios radicales en la forma en la que las organizaciones manejan los datos personales de los clientes o usuarios. Obviamente, esto tiene un gran impacto en los departamentos de recursos humanos, porque desde el momento en que un candidato llega por primera vez a una entrevista hasta cuando se va de la empresa, se recogen multitud de datos de esa persona. En este breve post ofrecemos una visión general de cómo GDPR afectará a los profesionales de recursos humanos.

¿Qué es el GDPR?

El GDPR es parte del Reglamento de Protección de Datos de la UE que reemplazará la Directiva actual sobre la materia. El objetivo de la nueva regulación es estandarizar y fortalecer los derechos de los residentes europeos en relación a sus datos. Esto significa que cualquier organización que se ocupe de los datos privados de residentes en la UE debe cumplir con los nuevos estándares de transparencia, seguridad y sobre todo responsabilidad.

---

GDPR y el BREXIT

El GDPR será de plena aplicación el 25 de mayo de 2018. Ante esta nueva regulación, el gobierno del Reino Unido ha confirmado que adaptará su ley al GDPR a pesar del Brexit.

---

GDPR: todos los departamentos de RRHH procesan datos personales

Como acabamos de comentar, el Reglamento General de Protección de Datos (GDPR) representa el último esfuerzo europeo para ofrecer mayores derechos a las personas y aumentar las obligaciones de organización de las empresas que tienen acceso a datos personales. Muchas empresas están centrando sus esfuerzos en cumplir con sus nuevas exigencias. Para ello están revisando sus procesos y sistemas para asegurarse de que cubren los principios, derechos y obligaciones. Sin embargo, debemos tener en cuenta que la nueva normativa también afecta a los datos que las empresas tienen de sus empleados. Piensa en la cantidad de información que procesan los departamentos de RRHH cada día: nombres, apellidos, fechas de nacimientos, cuentas bancarias, cvs, direcciones, números de teléfonos, fotos, dirección de correo electrónico, etc. Pero tener acceso a esa gran cantidad de datos personales valiosos también conlleva la responsabilidad de garantizar que se tratan de forma segura y lícita. Responsabilidad que se exigirá tanto a los empleadores (controladores de datos) como a los profesionales de HR (procesadores).

Principales dudas de los profesionales de RRHH sobre GDPR

¿Debo obtener el consentimiento de un empleado para tratar sus datos personales?

El Considerando 40 del GDPR establece que para que el tratamiento de datos personales sea considerado lícito, estos deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecidas conforme a Derecho. Para aquellos datos personales del trabajador imprescindibles para la relación contractual para RR HH, como serían nombre, cv, cuenta bancaria, etc, el tratamiento de estos basaría su legitimidad en el fundamento jurídico del interés legítimo, o por ser necesarios para cumplir con obligaciones legales específicas en el ámbito del empleo. Pero en otros casos, como para tratar datos más sensibles o confidenciales, se necesitará el consentimiento explícito del trabajador como base legítima para su tratamiento por parte de la empresa. Además hay que tener en cuenta que el GDPR también establece que los sujetos de los datos tienen el derecho de retirar el consentimiento en cualquier momento con la única limitación de las exigencias legales que la empresa deba cumplir y que impida su eliminación.

---

Más información > GDPR: ¿qué soluciones ofrece Signaturit para obtener el consentimiento de forma lícita?

---

Responsabilidades de seguridad de RRHH ¿cuáles son? Bajo la regulación GDPR, cualquier violación de datos deberá ser comunicada al Autoridad de Protección de Datos correspondiente dentro de las 72 horas. Esto significa que deberá revisar sus mecanismos actuales de denuncia de violación de datos. Los empleados que podrían sufrir daños por cualquier incumplimiento también deberán ser notificados «sin la demora indebida». Es importante revisar por tanto sus disposiciones de seguridad y prever cualquier posible problema que pueda surgir a causa de la forma en la que almacena los datos. Además, dependiendo del tipo datos que procese y el volumen, puede ser obligatorio que  designe a un Delegado de Protección de Datos que supervise las actividades de procesamiento de datos dentro de su organización entre otras responsabilidades.

¿Cuáles son los derechos de mis empleados bajo GDPR?

Los empleados podrán conocer qué datos personales relacionados con RRHH se están procesando en la empresa, por qué se están procesando y dónde se están llevando a cabo. Este departamento debe proporcionarles además una copia gratuita de todos los datos que posea previa solicitud, por lo que debe contar con un sistema que le permita localizar esta información fácilmente. En definitiva, la nueva legislación está diseñada para otorgar a las personas el derecho de acceder, corregir y borrar la información que les concierne. Por lo tanto, sus empleados tendrán derecho a una mayor transparencia en relación con sus datos personales y sus motivos para conservarlos.

¿Qué pasos básicos debo tomar?

1. Revisar los procesos y procedimientos de protección de datos e identificar cualquier área de preocupación. Parte de este proceso es crear un inventario de todos los datos personales que posee y evaluar los motivos de su retención.

2. Comunicar a su equipo las nuevas reglas y sus derechos. Esto hará que sea más fácil obtener el consentimiento que necesita para tratar determinados datos.

3. Asegurar que haya una transparencia total sobre la naturaleza del procesamiento de datos de RR.HH. en términos de los datos utilizados, los fines para los que se utiliza y dónde se procesa.

4. Cuando se ha confiado en el consentimiento para legitimar el procesamiento de los datos de recursos humanos, hay que asegúrese cómo se ha registrado para su posterior demostración llegado el momento.

5. Si se utiliza la subcontratación o subprocesamiento (por ejemplo, a través de la nube), las empresas deben seleccionar un proveedor con las garantías adecuadas para la seguridad de los datos.

¿Qué pasará si no cumplo con las nuevas regulaciones?

Directamente las organizaciones que no cumplen harán frente a fuertes sanciones. Su empresa podría recibir una multa de hasta el 4% de su facturación global anual o € 20 millones por grave incumplimiento como por ejemplo no haber obtenido el consentimiento explícito de los sujetos para el tratamiento de sus datos. Por su parte se aplicarán un 2% para infracciones menores como no mantener sus registros en orden, no informar de una brecha de seguridad o por no realizar evaluaciones de impacto.

¿Todos los Estados miembros abordarán los datos de empleo de la misma manera?

A pesar GDPR persigue la armonización entre todos los países, permite ciertas libertades de interpretación o adaptación interna en determinadas materias. Por ejemplo en lo que se refiere al tratamiento de los datos de menores y al art. 88 “tratamiento de los datos personales de los empleados”. Este artículo reconoce que leyes nacionales de los Estados Miembros, o convenios colectivos, definan con reglas específicas sobre cómo procesar estos datos personales de los empleados, no sobre cómo protegerlos. Veremos hasta qué punto los Estados Miembros optan por ejercer estas facultades derogadas para reflejar sus prácticas actuales o reforzar la protección en torno a los datos personales de los empleados. Conclusión Queda muy poco para el 25 de mayo y es importante que la planificación de la empresa tenga en cuenta el tratamiento que desde RR.HH. se hace de los datos personales de los trabajadores. Es importante comenzar a prepararte ahora un sistema seguro que le permita adoptar un enfoque transparente y legal para ello. Puedes ponerte en contacto con nosotros a través del email [email protected] o llámanos al 93 551 14 80.