¿En qué afecta el RGPD en RRHH?
Antes de entrar en la propia gestión de RRHH en la empresa, debemos hacer una breve introducción para saber que significan las siglas RGPD, que oímos mencionar en todos los ámbitos.
Es el nuevo Reglamento Europeo de Protección de Datos que da respuesta para todos los Estados Miembro de la Unión Europea, respecto la Ley LOPD española de 1999. Se trata de una serie de medidas que toda empresa debería dar solución. El objetivo principal es la no vulneración y un uso medido de los datos de carácter personal para garantizar la intimidad y el honor de la persona.
En la sociedad de la información que estamos viviendo, se tienen que establecer unas obligaciones y unas normas para preservar la protección de los datos. El RGPD contempla todas las normas más importantes, siendo más estrictas cuanto mayor sea el riesgo de los datos personales.
El RGPD se encarga de dar protección a los clientes, haciendo que sus datos más personales estén bien salvaguardados.
En España pero, desde 1994 ya empezamos a establecer una serie de medidas legales de carácter nacional, articulando en el 2009 la ley LOPD. A grandes rasgos las modificaciones que los españoles deberán de asumir respecto al trabajo que venimos haciendo a día de hoy son:
- El consentimiento expreso: Consentimiento por parte del cliente explícito e inequívoco.
- Derechos ARCO: Además del derecho de Acceso, Rectificación, Cancelación y Oposición, ahora se amplía a Derecho de Supresión y al de Potabilidad.
- Gestión de datos: Todas las actividades deberán registrarse.
- Seguridad: Se deberá evaluar los Riesgos mediante el Principio de Responsabilidad proactiva.
- Datos sensibles: Se amplía además de los datos médicos, religiosos, etc., a datos biométricos y genéticos.
- DPO: Se crea la figura del Delegado de Protección de Datos.
- Relaciones: La Relación con terceros deberá exigir un certificado para comprobar que se cumple con la normativa.
- Menores: Se adelanta su protección hasta la edad de 13 años.
- Sanciones: La sanciones pueden ascender a 20M € o puede ser proporcional a tu facturación anual.
Ahora bien. ¿Qué pasa en el ámbito concreto de los Recursos Humanos? El nuevo Reglamento General de Protección de Datos también implica importantes cambios, referidos, principalmente, al mayor nivel de consentimiento que se exige a los datos personales. Cambios que afectan a todos los trabajadores de la UE. Y también nuevos requisitos que se imponen a las empresas para gestionar y proteger la información que poseen de sus empleados, lo que necesitan documentar el acceso que proporcionan a la misma. Sin duda alguna, el nuevo Reglamente exige una mayor responsabilidad.
Podríamos mencionar los siguientes puntos, a efectos de impacto en la gestión de RRHH:
Nuevos derechos de los trabajadores: Además de los tradicionales derechos ARCO, se reconocen nuevos derechos (como el derecho a la portabilidad de los datos) y se regulan derechos específicos como el derecho al olvido, cuya ejecución por los trabajadores es limitada durante el desarrollo de la relación laboral, aunque podría cobrar relevancia una vez terminada.
Información cualificada a los trabajadores: La información que ha de proporcionarse sobre el tratamiento de datos es más amplia que la actualmente prevista en la actual normativa e incluye la obligación de informar sobre los fines del tratamiento, la base jurídica del tratamiento, los datos de contacto del Delegado de Protección de Datos (“DPD”), o el plazo durante el cual se conservarán los datos personales.
Información a los representantes de los trabajadores: En atención a las competencias de vigilancia y control que el Estatuto de los Trabajadores asigna a la representación legal de los trabajadores, habrá que analizar cada supuesto de hecho concreto para valorar en qué medida la empresa debe informarles.
Finalidades de la recogida de datos personales: Los datos que pueden recogerse y tratarse a partir de ahora en el marco de la relación laboral se limitan a aquellos que sean adecuados, pertinentes y necesarios para el cumplimiento del contrato de trabajo.
Delegado de Protección de Datos: Las empresas afectadas por el RGPD deberán designar un DPD (ya sea internamente o externalizándolo en un tercero) bajo determinadas circunstancias. El DPD debe actuar con independencia y deberá contar con los recursos necesarios para el desempeño de sus funciones y para el mantenimiento de sus conocimientos especializados.
Códigos de conductas telemáticos: Es el momento oportuno para revisar las políticas internas o códigos de conducta sobre el uso de medios telemáticos que las empresas tengan implantados, no sólo para incorporar la nueva normativa en materia de protección de datos.
Evaluaciones de impacto y violaciones de seguridad: Se establece la obligación para las empresas de llevar a cabo evaluaciones previas de impacto para aquellos tratamientos que supongan un riesgo significativo para los derechos de los trabajadores, lo que incluiría, por ejemplo, cualquier control de presencia tecnológico.
Actualización de contratos con proveedores: Resulta necesario actualizar los contratos suscritos con aquellos proveedores o contratistas que tengan acceso a datos personales de la empresa (por ejemplo, los prestadores de servicios de gestión de nóminas o de selección personal), a fin de adecuarlos a las nuevas exigencias del RGPD.
Video vigilancia: Conviene revisar también el procedimiento de instalación y el uso de cámaras de videovigilancia en la empresa, que para la instalación de cámaras fijas debe informarse de forma previa y clara a los trabajadores sobre su finalidad, de conformidad con lo previsto en la normativa de protección de datos.
Transferencia internacional de datos fuera de la UE: La transferencia de datos personales de los trabajadores a países que no garanticen el mismo nivel de protección que el establecido en el RGPD deberá cumplir una serie de requisitos.
Reflexión: ¿Es importante este cambio en RRHH? ¿Por qué?