Con tanta atención a la privacidad y la protección de los datos personales de los clientes, puede ser fácil pensar que la información de los empleados y los solicitantes tiene menos importancia.
Sin embargo, el RGPD no trata estas categorías con normas más indulgentes que las que se aplican a los datos personales de los valiosos clientes de las empresas cubiertas. Los empleados pueden ser a menudo la fuente de problemas planteados directamente a las empresas, así como a los reguladores.
El riesgo de sanciones económicas puede ser una realidad para las empresas que infrinjan el RGPD en lo que respecta a su gestión de los datos de los empleados.
Pero, a pesar de que el GDPR está en vigor desde mayo de 2018, muchas empresas siguen sin saber cómo afecta la ley a las actividades de RRHH.
En este artículo, analizamos la legalidad del tratamiento de los datos de los empleados, la transparencia, las violaciones de datos y la responsabilidad, así como los derechos de las personas y la protección de datos.
En primer lugar, Peter Borner, presidente y director general de The Data Privacy Group, responde a una pregunta que todavía se hacen algunos empresarios, incluso después de casi 18 meses de que el GDPR se convierta en ley:
¿Es necesario obtener el consentimiento para almacenar y procesar los datos personales de los empleados?
- Derechos de las personas
- Transparencia
- Base legal para el tratamiento
- Protección de datos por diseño
- Compartir y transferir datos personales
- Violación de datos
- Rinde cuentas
1) Derechos de las personas
Es vital que el personal de RRHH esté familiarizado con los derechos legales otorgados a los empleados, solicitantes y contratistas en virtud del GDPR. Los equipos de RRHH deben estar formados para reconocer y tratar las solicitudes individuales dentro de los estrictos plazos establecidos en la ley del GDPR. Deben tomarse las siguientes medidas:
- Proporcionar orientación y formación sobre los procedimientos para reconocer y responder a las solicitudes individuales de protección de datos.
- Colaborar con el personal de TI para llevar a cabo las pruebas del sistema y garantizar que los procesos están en marcha para responder adecuadamente a los derechos de las personas, tanto a nivel práctico como técnico.
- Establecer plazos oficiales de retención de datos para categorías específicas de datos de RRHH y programar los procesos de archivo/borrado de datos de acuerdo con estos plazos.
2) Transparencia
Las personas contratadas por la empresa, ya sean empleados, solicitantes de empleo, contratistas o becarios, deben recibir información detallada, detallada y accesible que describa cómo se utiliza su información personal. Por lo general, esto estará contenido en un Aviso de Privacidad, que debe ponerse a disposición de los individuos al inicio de la relación.
Las medidas de cumplimiento del GDPR deben incluir:
- Revisar y, en caso necesario, actualizar los avisos de privacidad de los empleados y de los solicitantes para cumplir con los requisitos de información detallada.
- Aplicar procedimientos que garanticen que los avisos de privacidad se facilitan en el momento adecuado, se mantienen actualizados con las nuevas actividades de tratamiento y se conservan registros de control de versiones.
3) Base legal para el tratamiento
Debe establecerse una "base legal para el tratamiento" para cada finalidad de recursos humanos identificada, basada en al menos uno de los motivos legales estrictamente prescritos en el RGPD. No se puede confiar en el consentimiento del empleado, ya que dicho consentimiento es a) difícil de probar, y b) una opción poco atractiva, dado que el derecho del empleado a retirar su consentimiento debe ser respetado, en el contexto de una relación laboral que termina.
En su lugar, puede ser necesaria una base legal alternativa, como los intereses legítimos de la empresa, o para facilitar la ejecución de un contrato. Como mínimo, las empresas deberían:
- Realice una auditoría y asigne una base legal específica para el procesamiento a cada actividad de procesamiento de datos de RR.HH. y sus fines. Esto debería incluir los procesos que implican categorías especiales de información personal, como los datos sensibles.
- Garantizar que los motivos legales que cumplen con el RGPD se documentan en los avisos de privacidad.
- Actualizar todos los documentos políticos y contractuales, especialmente los contactos de empleo, asegurándose de que se eliminan todas las referencias al "consentimiento del empleado", como base legal para el tratamiento.
4) Protección de datos por diseño
Las empresas cubiertas deben demostrar que la "protección de datos por diseño y por defecto" dentro de sus sistemas internos, según la cual la cantidad mínima de datos se retiene, durante el menor período de tiempo posible, es un factor inherente a todas las funciones de recursos humanos.
La siguiente combinación de esfuerzos técnicos, organizativos y prácticos puede ayudar a conseguirlo:
- Proporcionar una orientación clara, además de una estructura de informes para evaluar la necesidad y el alcance de todos los procesos de datos de RRHH.
- Establecer límites estrictos de retención de datos de RRHH y coordinarse con el personal de TI para garantizar la aplicación a nivel técnico. (Esto también debería aplicarse a los datos compartidos con los proveedores).
- Considere si la empresa necesita nombrar un Oficial de Privacidad de Datos (DPO) formal. El RGPD establece que el RPD designado debe poder actuar de forma independiente y no puede ser despedido o sancionado por desempeñar sus funciones de protección y privacidad de datos. El RPD puede ser un empleado existente, siempre que su función actual no entre en conflicto con sus funciones de RPD.
5) Compartir y transferir datos personales
Hay algunos casos en los que es necesario compartir los datos de los empleados con proveedores de servicios externos, como las empresas que proporcionan plataformas de computación en la nube, aplicaciones de bases de datos de recursos humanos, gestión de los beneficios de los empleados o para el procesamiento de las nóminas.
En tales situaciones, las empresas tendrán que aplicar nuevos acuerdos contractuales con cada proveedor, para garantizar que se respeten las prácticas de tratamiento de datos conformes con el RGPD.
Se deben seguir los siguientes pasos esenciales:
- Realice auditorías periódicas del flujo de datos personales entre la empresa y los proveedores de servicios externos, tanto si esos destinatarios son controladores como procesadores de datos, y aplique acuerdos mejorados de intercambio de datos.
- Trazar los flujos de datos personales de RRHH a los proveedores externos y actualizar los contratos de servicios para reflejar cualquier nuevo requisito.
- Reforzar cualquier proceso formal de incorporación de proveedores para que incluya tanto la clasificación de la privacidad como las evaluaciones de investigación, a fin de garantizar que puedan cumplir con su privacidad y protección de datosn obligaciones en la práctica. Deben programarse revisiones periódicas.
Transferencias de datos
Actualmente no hay cambios fundamentales en la transferencia de datos personales a través de las fronteras, dentro del GDPR. Sin embargo, las empresas que están reevaluando sus acuerdos de intercambio de datos, como se ha descrito anteriormente, harían bien en considerar la adecuación continua de sus procedimientos de transferencia internacional de datos, como las cláusulas contractuales tipo (CCT).
Hay que prestar especial atención a:
- Mapeo de los flujos internacionales de datos de RRHH, teniendo en cuenta que el simple acceso a la información en el extranjero constituye una "transferencia" según el GDPR.
- Garantizar que siempre que se transfiera información personal fuera del Espacio Económico Europeo (EEE), cada destinatario, ya sea una entidad del grupo o un tercero externo, esté cubierto por un mecanismo válido de transferencia de datos.
- Mantener una base de datos de las actividades de tratamiento de los destinatarios de los datos personales y de las transferencias de datos relacionadas, que pueda ser revelada a los particulares que lo soliciten.
6) Violación de datos
Las violaciones de datos han sido la causa de consecuencias desastrosas para las empresas de todo el mundo mucho antes de que apareciera el GDPR. Sin embargo, las nuevas leyes de protección de datos han aumentado drásticamente el precio que pagan las empresas desafortunadas, cuando se produce un evento de este tipo.
Las empresas están ahora obligadas a desplegar sólidas defensas contra la pérdida de datos y a aplicar planes de acción para detectar, poner en cuarentena, mitigar y responder rápidamente a las violaciones de la seguridad, de acuerdo con una normativa formal. privacidad y protección de datos e informar rápidamente de tales incidentes a su regulador regional de privacidad de datos en un plazo de 72 horas.
Por lo tanto, es vital que el personal de RRHH sea plenamente consciente de que el término "violación de datos" no se limita a un ciberataque malintencionado o al extravío de archivos de personal en papel. Las violaciones de la seguridad pueden ser provocadas por acciones inocentes de los empleados, por ejemplo, el reenvío de un correo electrónico que contenga datos personales sensibles.
Cada vez más, las violaciones de datos provienen de "estafas de phishing"En este caso, los ciberdelincuentes se hacen pasar por una persona, organización u otra entidad de confianza. Su objetivo principal es engañar a su objetivo para que revele información confidencial, como credenciales de acceso, datos de cuentas bancarias o tarjetas de crédito e información personal identificable.
Por desgracia, las violaciones de datos son inevitables en nuestro mundo conectado. Sin embargo, al menos es posible reducir el riesgo de una filtración de datos tomando las siguientes medidas:
- Trabaje con el personal de TI, para implementar un procedimiento claro (y bien ensayado) de violación de la seguridad. Esto puede ayudar a mitigar una violación de datos rápidamente, y a informar del incidente al regulador local dentro del período requerido de 72 horas.
- Garantizar que los sistemas y funciones de RRHH están adecuadamente cubiertos por las protecciones de seguridad técnicas y organizativas apropiadas.
- Adoptar una política de necesidad de conocimiento para el acceso a determinados repositorios de datos. Aplicar un fuerte cifrado de datos a todos los datos en movimiento.
- Proporcionar orientación y formación periódicas a todos los miembros del personal que manejan datos personales.
- Probar y reevaluar las medidas de seguridad periódicamente, de la misma manera que los simulacros de incendio, para comprobar la capacidad de la empresa de responder a diferentes escenarios.
7) Rendir cuentas
Es imposible tener una actitud pasiva cuando se trata del cumplimiento del GDPR. Todos los departamentos de la empresa tienen que demostrar el cumplimiento de privacidad y protección de datos de RR.HH., ya que se ocupa de la información personal y, potencialmente, de la información de los empleados. sensible datos de las personas que componen la plantilla de la empresa.
Por lo tanto, el personal de RRHH debe trabajar para lograr un alto nivel de cumplimiento del RGPD mediante la aplicación de políticas sólidas de protección de datos y una formación eficaz, y realizar auditorías y revisiones periódicas de estas políticas y sesiones de formación.
En general, las empresas deberían:
- Mantener registros exhaustivos de todas las actividades de tratamiento de datos de acuerdo con la normativa GDPR.
- Aplicar/actualizar las políticas y la formación relacionadas con los empleados, incluidos todos los procedimientos informáticos pertinentes.
- Garantizar que los procedimientos y controles internos se someten a revisiones y pruebas periódicas. Los resultados y las medidas correctoras deben estar plenamente documentados.
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda que las empresas contraten los servicios de un profesional experimentado en materia de privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.