RGPD: cómo deben cumplirlo quienes trabajan en recursos humanos

El Reglamento General de Protección de Datos impone una serie de requerimientos a todas las organizaciones de la Unión Europea que manejan datos personales. Dentro de ellas, los departamentos de Recursos Humanos se encuentran especialmente afectados.

En este artículo, te presentamos las principales novedades del RGPD y las acciones que deben llevar a cabo las personas que trabajan en Recursos Humanos.

¿En qué afecta el RGPD a los departamentos de recursos humanos?

El Parlamento y el Consejo de la Unión Europea aprobaron en abril de 2016 el Reglamento General de Protección de Datos, que será aplicable en todos los Estados miembros a partir del 25 de mayo de 2018.

Esta normativa se aprobó con una doble finalidad. Por un lado, armonizar las regulaciones sobre protección de datos personales en los Estados miembros y, por otra parte, otorgar a los usuarios una protección más efectiva y adaptada al desarrollo de las nuevas tecnologías.

De esta manera, el Reglamento General ha establecido importantes cambios, que deben saber quienes trabajan con información personal. Por ejemplo, la necesidad de exigir un consentimiento inequívoco y verificable de las personas físicas cuando solicitas los datos o la necesidad de notificar brechas de seguridad a las autoridades de control.

Pero ¿qué novedades trae el Reglamento General respecto del trabajo realizado por los departamentos de RRHH y para las empresas que se dedican a esta actividad? Veámoslo a continuación.

El Reglamento General desde la perspectiva de RRHH

Para una mejor comprensión, decidimos separar el análisis según las diferentes tareas propias de esta actividad.

Reclutamiento

Hay importantes novedades para aquellos que trabajan en selección de candidatos, ya sea dentro de la propia empresa o en consultorías.

El consentimiento que preste el candidato en el momento de presentarse debe ser expreso e inequívoco, respecto del tratamiento de sus datos personales. Ya no basta con el consentimiento tácito o por omisión.

Asimismo, toda la información que le suministre la empresa, respecto del tratamiento de sus datos, debe ser clara, sencilla y de fácil comprensión. El candidato debe conocer, por ejemplo, la finalidad del tratamiento, su fundamento jurídico y la posibilidad de que sus datos sean transferidos internacionalmente.

Otro requerimiento es que los datos personales que solicitas sean adecuados a la finalidad para la cual los pides.

En cuanto al derecho de acceso y a la portabilidad, debes permitir a los candidatos, en caso de que lo requieran, una copia de sus datos personales, que deben ser otorgados en un formato estructurado, accesible y de uso común.

Curriculum vitae

De acuerdo con el Reglamento General, los datos de las personas físicas deben ser almacenados durante una cantidad de tiempo limitada, tras la cual debes exigir nuevamente el consentimiento del interesado.

Un currículum, por ejemplo, debe ser conservado por dos años, siempre que no sea actualizado por el interesado. En este punto, la digitalización de la información es un aliado esencial, que te permitirá controlar los denominados “plazos de conservación” de la información y evitar caer en infracciones.

Medidas de seguridad

Hay quienes dicen que el nuevo reglamento es una excelente oportunidad, que las áreas de RRHH de las empresas españolas deben aprovechar para reforzar los niveles de seguridad, al respecto de la información personal de candidatos, empleados y clientes.

La no adopción de las medidas de seguridad adecuadas puede derivar en sanciones, que en el nuevo Reglamento General son sustancialmente mayores que en la LOPD. De hecho, las multas económicas son proporcionales a la facturación anual de la empresa y pueden llegar a los 20 millones de euros.

Notificación de violaciones de seguridad

Otra de las cuestiones que deberás atender, si trabajas en un equipo de RRHH, tiene que ver con las brechas de seguridad. Se trata de errores, fallos o ataques intencionales contra sistemas informáticos que derivan en la pérdida, alteración o acceso no autorizado a datos personales.

De acuerdo con el Reglamento General, las organizaciones que sufran estas violaciones deberán reportarlas, dentro de las 72 horas de haber tenido constancia.

Deben notificar cualquier problema ante la autoridad de control (en España, es la Agencia Española de Protección de Datos). El reporte se debe hacer cuando el hecho suponga un riesgo para los derechos y libertades fundamentales de las personas cuyos datos se han visto afectados.

A su vez, el reporte lo debe realizar el responsable del tratamiento, en los casos en los que la empresa no tenga responsable de seguridad o no haya designado un delegado de protección de datos (figura creada por el nuevo Reglamento).

Incluimos este requerimiento del RGPD porque significa una importante novedad respecto de la LOPD española, además de que ninguna empresa (grande, mediana o pequeña) está exenta de la posibilidad de sufrir ataques a las bases de datos de sus empleados o candidatos.

Los principios de la protección de datos

El Reglamento General consagra 3 principios fundamentales en materia de protección de datos que deben ser cumplidos por todas las empresas y por sus empleados, especialmente por quienes trabajan en áreas de Recursos Humanos.

1. Principio de Responsabilidad (accountability): si en tu organización se realiza el tratamiento de datos personales, está obligada a adoptar una actitud diligente y proactiva en materia de protección de datos personales y debe estar disponible en todo momento, para comprobar que cumple con los requerimientos normativos.

En este punto, es muy importante que los representantes de RRHH lideren la elaboración de normas y políticas internas sobre este tema en las empresas.

2. Principio de Protección por Defecto y desde el Diseño: quiere decir que las medidas de protección de datos deberán existir desde el comienzo mismo de la actividad de tu empresa, o desde el inicio de la actividad en la que trates los datos personales.

3. Transparencia: toda la información que se brinde a los usuarios que han suministrado datos personales a tu empresa (candidatos, empleados, proveedores) debe ser redactada de manera sencilla y comprensible.

Sin duda, el RGPD significa un desafío para las empresas y para sus departamentos de Recursos Humanos, pero también una oportunidad única para formarse en materia de protección de datos y solicitar el asesoramiento adecuado. Si eres una empresa, debes vigilar su cumplimiento, ahora más que nunca.


Estaremos encantados de hablar contigo

Somos ClickDatos Seguridad de la Información SL. Consulte sus derechos y el tratamiento de sus datos en nuestra Política de Privacidad
Scroll al inicio