RGPD: cómo deben cumplirlo quienes trabajan en recursos humanos

El Reglamento General de Protección de Datos impone una serie de requerimientos a todas las organizaciones de la Unión Europea que manejan datos personales. Dentro de ellas, los departamentos de Recursos Humanos se encuentran especialmente afectados.

En este artículo, te presentamos las principales novedades del RGPD y las acciones que deben llevar a cabo las personas que trabajan en Recursos Humanos.

¿En qué afecta el RGPD a los departamentos de recursos humanos?

El Parlamento y el Consejo de la Unión Europea aprobaron en abril de 2016 el Reglamento General de Protección de Datos, que será aplicable en todos los Estados miembros a partir del 25 de mayo de 2018.

Esta normativa se aprobó con una doble finalidad. Por un lado, armonizar las regulaciones sobre protección de datos personales en los Estados miembros y, por otra parte, otorgar a los usuarios una protección más efectiva y adaptada al desarrollo de las nuevas tecnologías.

De esta manera, el Reglamento General ha establecido importantes cambios, que deben saber quienes trabajan con información personal. Por ejemplo, la necesidad de exigir un consentimiento inequívoco y verificable de las personas físicas cuando solicitas los datos o la necesidad de notificar brechas de seguridad a las autoridades de control.

Pero ¿qué novedades trae el Reglamento General respecto del trabajo realizado por los departamentos de RRHH y para las empresas que se dedican a esta actividad? Veámoslo a continuación.

El Reglamento General desde la perspectiva de RRHH

Para una mejor comprensión, decidimos separar el análisis según las diferentes tareas propias de esta actividad.

Reclutamiento

Hay importantes novedades para aquellos que trabajan en selección de candidatos, ya sea dentro de la propia empresa o en consultorías.

El consentimiento que preste el candidato en el momento de presentarse debe ser expreso e inequívoco, respecto del tratamiento de sus datos personales. Ya no basta con el consentimiento tácito o por omisión.

Asimismo, toda la información que le suministre la empresa, respecto del tratamiento de sus datos, debe ser clara, sencilla y de fácil comprensión. El candidato debe conocer, por ejemplo, la finalidad del tratamiento, su fundamento jurídico y la posibilidad de que sus datos sean transferidos internacionalmente.

Otro requerimiento es que los datos personales que solicitas sean adecuados a la finalidad para la cual los pides.

En cuanto al derecho de accesoDerecho de accesoConstituye el pilar de los derechos que... More y a la portabilidad, debes permitir a los candidatos, en caso de que lo requieran, una copia de sus datos personales, que deben ser otorgados en un formato estructurado, accesible y de uso común.

Curriculum vitae

De acuerdo con el Reglamento General, los datos de las personas físicas deben ser almacenados durante una cantidad de tiempo limitada, tras la cual debes exigir nuevamente el consentimiento del interesadoToda manifestación de voluntad, libre, inequívoca, especí... More.

Un currículum, por ejemplo, debe ser conservado por dos años, siempre que no sea actualizado por el interesado. En este punto, la digitalización de la información es un aliado esencial, que te permitirá controlar los denominados “plazos de conservación” de la información y evitar caer en infracciones.

Medidas de seguridad

Hay quienes dicen que el nuevo reglamento es una excelente oportunidad, que las áreas de RRHH de las empresas españolas deben aprovechar para reforzar los niveles de seguridad, al respecto de la información personal de candidatos, empleados y clientes.

La no adopción de las medidas de seguridad adecuadas puede derivar en sanciones, que en el nuevo Reglamento General son sustancialmente mayores que en la LOPD. De hecho, las multas económicas son proporcionales a la facturación anual de la empresa y pueden llegar a los 20 millones de euros.

Notificación de violaciones de seguridad

Otra de las cuestiones que deberás atender, si trabajas en un equipo de RRHH, tiene que ver con las brechas de seguridad. Se trata de errores, fallos o ataques intencionales contra sistemas informáticos que derivan en la pérdida, alteración o acceso no autorizado a datos personales.

De acuerdo con el Reglamento General, las organizaciones que sufran estas violaciones deberán reportarlas, dentro de las 72 horas de haber tenido constancia.

Deben notificar cualquier problema ante la autoridad de control (en España, es la Agencia Española de Protección de Datos). El reporte se debe hacer cuando el hecho suponga un riesgo para los derechos y libertades fundamentales de las personas cuyos datos se han visto afectados.

A su vez, el reporte lo debe realizar el responsable del tratamiento, en los casos en los que la empresa no tenga responsable de seguridadPersona o personas a las que el responsable del fichero ha a... More o no haya designado un delegado de protección de datos (figura creada por el nuevo Reglamento).

Incluimos este requerimiento del RGPD porque significa una importante novedad respecto de la LOPD española, además de que ninguna empresa (grande, mediana o pequeña) está exenta de la posibilidad de sufrir ataques a las bases de datos de sus empleados o candidatos.

Los principios de la protección de datos

El Reglamento General consagra 3 principios fundamentales en materia de protección de datos que deben ser cumplidos por todas las empresas y por sus empleados, especialmente por quienes trabajan en áreas de Recursos Humanos.

1. Principio de Responsabilidad (accountability): si en tu organización se realiza el tratamiento de datosCualquier operación o procedimiento técnico, sea o no auto... More personales, está obligada a adoptar una actitud diligente y proactiva en materia de protección de datos personales y debe estar disponible en todo momento, para comprobar que cumple con los requerimientos normativos.

En este punto, es muy importante que los representantes de RRHH lideren la elaboración de normas y políticas internas sobre este tema en las empresas.

2. Principio de Protección por Defecto y desde el Diseño: quiere decir que las medidas de protección de datos deberán existir desde el comienzo mismo de la actividad de tu empresa, o desde el inicio de la actividad en la que trates los datos personales.

3. Transparencia: toda la información que se brinde a los usuarios que han suministrado datos personales a tu empresa (candidatos, empleados, proveedores) debe ser redactada de manera sencilla y comprensible.

Sin duda, el RGPD significa un desafío para las empresas y para sus departamentos de Recursos Humanos, pero también una oportunidad única para formarse en materia de protección de datos y solicitar el asesoramiento adecuado. Si eres una empresa, debes vigilar su cumplimiento, ahora más que nunca.

Artículos relacionados

La videovigilancia y la LOPD (Ley de protección de datos personales) Muchas empresas y comercios instalan sistemas de videovigilancia porque se sienten más protegidos, siendo los datos grabados por las cámaras de videovigilancia, las cuales se someten a las exigencias de la Ley Orgánica de Protección de Datos de Carác...
Los cambios de la LSSI y el email marketing Si existe un sector donde cumplir la ley de protección de datos es vital es en el de email marketing. En esta estrategia, basada en que el usuario cede sus datos personales a una empresa privada, hay que tener siempre un especial manejo y cuidado con...
Luis García, Director General de CLICKDATOS, en representación de AETICAM, nuevo... El  25 de febrero de 2016 en la sede de CONETIC se desarrolló la  Asamblea General de la Confederación en la que resultó elegido por unanimidad el nuevo Comité Ejecutivo, que regirá el día a día de la Entidad durante los próximos dos años.Luis ...
Cómo afecta el RGPD a las transferencias internacionales de datos Las transferencias internacionales de datos son los tratamientos que hacemos de los mismos de cara a un país que se encuentre fuera del territorio del Espacio Económico Europeo. Esto puede constituir la realización de un tratamiento a través del resp...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *