Una de las cuestiones que está generando más controversia en la empresa en los últimos meses es la gestión de la protección de los datos personales, la cual, afecta a todos los departamentos o áreas, siendo la de gestión de personas (recursos humanos) una en las que tiene un mayor impacto, al tratar datos tanto de las y los trabajadores, como de personas ajenas a la organización.
“El 25 de mayo de 2018 entró en vigor la aplicación del RGPD”
Desde empleorecursos.es entendemos que con el Reglamento Europeo de Protección de Datos (RGPD) se ha buscado atender la homogeneización de las múltiples normativas existentes sobre la protección de datos (partiendo de la Ley LOPD española) a la vez que se garantiza una mayor seguridad en el tratamiento y uso de los datos personales, por lo que su aplicación en la gestión de personas en la empresa se hace fundamental.
“El RGPD pretende velar por la seguridad de los datos de carácter personal en la actividad empresarial”
Desde un punto de vista práctico, y a modo general, el RGPD establece una serie de aspectos imprescindibles para su gestión dentro de las organizaciones, tales como la necesidad de un consentimiento expreso de la persona (claro y explícito); facilidad para poder ejercer sus derechos de Acceso, Rectificación, Cancelación, Oposición, Supresión y Portabilidad; realizar un registro de todos los datos personales que se manejen por actividad realizada; aplicación del Principio de Responsabilidad Proactiva (donde la empresa debe evaluar los riesgos existentes en el tratamiento de los datos, con especial atención a los considerados sensibles, como los genéticos y biomédicos); regulación de las partes que intervienen en los datos; aparición del/a Delegada/o de Protección de Datos; y el establecimiento de sanciones proporcionales al nivel de facturación de la empresa, entre otros.
“El RGPD añade nuevas medidas respecto a la Ley LOPD española”
A partir de lo anterior, es indudable el impacto que tiene el RGPD en la gestión de las personas en la empresa, tanto en la parte de desarrollo (selección, formación, etc.) como en la relacionada con la administración laboral (nóminas, seguros sociales, etc.), destacando las principales medidas:
- Recoger únicamente los datos que sean necesarios para la actividad a desarrollar (asegurándose que sean correctos y actualizados).
- Comunicar de forma clara y fácil el tratamiento de los datos, así como el lugar, modo, tiempo y utilidad que se le darán a los datos recogidos.
- Transmitir de forma clara el derecho de la persona al acceso, transparencia, rectificación, cancelación, oposición, limitación y portabilidad de sus datos.
- Si existiese por cualquier circunstancia un problema con los datos que afecte a su seguridad ante terceras personas, se establece un plazo máximo de 72 horas para que la empresa informe tanto a las personas afectadas como a la Agencia Española de Protección de Datos.
En este sentido, desde empleorecursos.es aconsejamos iniciar el proceso con una auditoría respecto a la forma en la que se lleva a cabo el tratamiento de los datos personales en la empresa, en la que se definan de forma clara las actividades para las que se solicita.
Sin embargo, no queremos dejar pasar la oportunidad de comentar una de las situaciones que se producen con mayor frecuencia en el área de recursos humanos respecto a la gestión de datos de carácter personal, como es la que tiene lugar en los procesos de captación de talento, donde es necesario la inclusión (por el mismo medio en el que se ha accedido a los datos de la persona) de un consentimiento expreso para que la empresa pueda gestionarlos en las acciones a llevar a cabo. El mismo, consiste en una autorización positiva por parte de la persona candidata titular de los datos para que sean utilizados para un fin concreto (de ahí que en muchas empresas devuelvan un mail informando de la gestión de datos personales cuando aplicamos a una vacante de empleo, o nos hagan rellenar un formulario con nuestros datos cuando acudimos a una entrevista de trabajo) habiendo sido previamente informada/o de forma clara y sencilla, a la vez que el o la responsable del tratamiento de estos datos por parte de la empresa acreditará que los recoge conforme a la norma, cumpliendo así a las características de expreso, específico, informado y verificable del consentimiento de utilización de los datos personales.
“Cuando remitimos el CV ante una oferta de empleo la empresa debe informarnos sobre el uso que le dará a nuestros datos y tenemos que dar nuestro consentimiento”
Dentro de este contexto, es importante mencionar el artículo 6.2. y 6.3. del RGPD, el cual, indica de forma expresa que “cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”, así como “no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”.