El Reglamento 2016/679de la UE (Unión Europea), también conocido como Reglamento General de Protección de Datos, entró en vigor el 25de mayo de 2018 tras un periodo de transición de dos años. La regulación exige que todas las compañías que operen en la Unión Europea adopten nuevas políticas, procesos y prácticas mientras gestionan los datos personales de sus clientes, usuarios, proveedores y trabajadores.
El Reglamento General de Protección de Datos tiene un efecto enorme en los departamentos de Recursos Humanos, ya que estos deben adaptar sus procesos para que cumplan con los requisitos.
El objetivo del Reglamento General de Protección de Datos es estandarizar y fortalecer los derechos de los residentes europeos respecto de sus datos personales. Esto significa que cualquier organización que trate con datos personales de residentes de la UE debe cumplir con los nuevos estándares de transparencia, seguridad y responsabilidad.
¿De qué manera el Reglamento General de Protección de Datos influye en Recursos Humanos?
El Reglamento General de Protección de Datos exige que las compañías almacenen únicamente datos esenciales, precisos y actualizados de empleado. Además, las compañías deben comunicar claramente cómo, dónde y durante cuánto tiempo se almacenará la información personal de un empleado. De la misma manera, los empleados pueden emplear su información en cualquier momento, así como aplicar una copia de los datos almacenados y ordenar su eliminación.
Los equipos de Recursos Humanos deben comprender el riesgo y la responsabilidad que implica manejar la información de empleado para evitar sanciones, ya que el incumplimiento puede conllevar multas de hasta 20 millones de euros, o el 4 por ciento de la facturación anual.
Factores clave del Reglamento General de Protección de Datos en Recursos Humanos
Para cumplir con el Reglamento General de Protección de Datos, los equipos de Recursos Humanos deben adaptar y mejorar los procesos de gestión de las personas empleadas para garantizar los derechos de las personas empleadas y cumplir con las normas de protección de los datos.
A continuación, se presentan los factores más importantes que los equipos de Recursos Humanos deben tener en cuenta:
1. Recogida de datos personales
La recopilación y el procesamiento de los datos personales deben ser legítimos y deben limitarse a la información relevante para el cumplimiento del contrato de empleo (p. ej., sistemas de asistencia y horario) o información que sea necesaria para cumplir con una obligación legal (p. ej., la nómina).
Se requiere el consentimiento cuando no exista ninguna otra base legal que valide el procesamiento de los datos (p. ej., cuenta de correo electrónico personal).
2. Derecho de las personas empleadas a estar informadas
Las empresas están obligadas a informar a las personas empleadas sobre el propósito y las bases legales del procesamiento de los datos y el periodo durante el cual se guardarán los datos personales. Esta información debe proveerse en el momento en que se obtienen los datos personales de la persona empleada.
3. Nuevos derechos para las personas empleadas
El Reglamento General de Protección de Datos introdujo nuevos derechos de empleado, como el derecho a la portabilidad de datos, que permite a los empleados obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios. También regula derechos específicos, como el derecho al olvido, que permite a los empleados aplicar la eliminación de sus datos personales, y el derecho de rectificación, que otorga a los empleados el derecho a obtener la rectificación de datos personales inexactos.
El derecho a oponer a las actividades de perfilado impide que las compañías tomen decisiones basadas únicamente en el procesamiento automatizado, lo que tendrá un impacto importante en la implementación de software de inteligencia artificial en el ámbito de los recursos humanos.
4. Representante de la protección de datos
Las compañías deben nombrar a un Responsable de Protección de Datos (DPO) que actúe de forma independiente y con los recursos necesarios para desempeñar sus funciones. La DPO es responsable de monitorear la política de protección de datos de la compañía y su implementación para garantizar el cumplimiento del Reglamento General de Protección de Datos.
5. Evaluaciones de impacto y violaciones de seguridad
Las compañías deben realizar evaluaciones de impacto para identificar operaciones que supongan un riesgo significativo para los derechos de los trabajadores o una brecha de seguridad. En caso de una brecha de datos personales, las compañías deben notificar a las autoridades a más tardar 72 horas luego de la identificación.
6. La telemática y los códigos de conducta
Para adaptar a los nuevos requisitos de protección de datos, las compañías deben examinar sus políticas internas y códigos de conducta respecto al uso de la telemática. Además, las compañías deben adaptar su contenido a la sentencia del Tribunal Europeo de Derechos Humanos (CEDH), así como al impacto de las nuevas tecnologías en el lugar de trabajo.
7. Videovigilancia
Las empresas también deben revisar el procedimiento para la instalación y el uso de la videovigilancia. El ECHR establece que los trabajadores deben estar informados con antelación y de forma clara sobre el propósito de la instalación de cámaras fijas, según las disposiciones del reglamento de protección de datos.
8. Transmisión internacional de datos fuera de la UE
Transferir los datos personales de los empleados a países fuera de la UE representa un gran riesgo, ya que no hay garantía de protección. El Reglamento General de Protección de Datos impuso ciertas restricciones para limitar la capacidad de una compañía para transferir dichos datos y para hacer valer los derechos de los empleados.
9. Contratos de proveedores que actúan como tercera parte
Es necesario actualizar los contratos con proveedores o contratistas que tengan acceso a los datos personales de la empresa con el fin de garantizar que cumplen con los requisitos del reglamento. Esto incluye contratos con la nómina y proveedores de selección de personal.
Debido al volumen de datos personales que administra una empresa durante todos sus procesos, la contribución del departamento de Recursos Humanos con el cumplimiento del Reglamento General de Protección de Datos es crucial. Por lo tanto, es fundamental considerar todos los elementos del Reglamento General de Protección de Datos para implementar un plan de acción efectivo.
¿Qué pueden hacer los equipos de Recursos Humanos para cumplir con el Reglamento General de Protección de Datos?
El Reglamento General de Protección de Datos exige que las empresas sean proactivas y responsables de la implementación de las medidas técnicas y organizativas que garanticen el cumplimiento del procesamiento de datos.
Se les exige a las empresas que analicen el tipo de datos que procesan, el propósito y la forma en que lo hacen. A continuación, se presentan algunos consejos para ayudar a que los equipos de Recursos Humanos cumplan con el Reglamento General de Protección de Datos:
1. Contratar un Responsable de Protección de Datos (RPD)
Según lo establecido en el artículo 37 del Reglamento General de Protección de Datos, la contratación de un DPO es crucial. Un DPO es responsable de monitorear las estrategias de protección de datos de las compañías y de garantizar el cumplimiento de los requisitos del Reglamento General de Protección de Datos.
2. Hacer un inventario del procesamiento de los datos personales.
Hacer un inventario de los datos importantes facilita el seguimiento y procesamiento y ayuda a verificar el cumplimiento. A continuación, se detallan algunas consideraciones clave del seguimiento de la información de su empresa:
- Identifique los datos personales y los datos sensibles, así como también las operaciones existentes de procesamiento y verifique el cumplimiento.
- Averigüe quién (personas empleadas, contratistas o proveedores) tiene acceso a los datos y por qué.
- Controle a las personas empleadas, los contratistas y los proveedores que trabajan con datos de la empresa y revise los contratos.
- Verifique que cualquier procesamiento de datos realizado por contratistas y proveedores cumpla con el Reglamento General de Protección de Datos.
- Analice las prácticas de archivamiento y el tiempo de retención de los datos personales de los recursos humanos.
- Asegúrese de que las soluciones de recursos humanos y el sistema de información de recursos humanos (HRIS), si corresponde, cumplan con el Reglamento General de Protección de Datos.
3. Entrar en acción
Una vez que ha realizado el inventario y ha identificado las correcciones necesarias, es importante crear e implementar un plan de acción que defina los pasos que se deberán seguir.
Asegúrese de hacer lo siguiente:
- Auditar los datos.
- Llevar a cabo evaluaciones de impacto.
- Revisar las medidas de protección y seguridad.
- Revisar los procesos y los procedimientos.
4. Implementar un plan de comunicación
Es importante implementar un plan de comunicación interno para que todas las personas empleadas sepan cómo acceder a la información y qué hacer si surge algún cambio en el proceso. Parte de la nueva regulación requiere que las empresas comuniquen de forma clara cómo, dónde y durante cuánto tiempo se almacenará la información personal de la persona empleada.
5. Asegurarse de que los datos almacenados sean correctos
Las empresas deben asegurarse de que tienen solamente datos actualizados y correctos. También tienen que identificar los datos que deben guardar y los que deben eliminar. Mientras menos datos usted tenga, más fácil será cumplir con el Reglamento General de Protección de Datos.
6. Revisar las políticas de privacidad
Las empresas deben ser transparentes sobre los datos que manejan. Revisar los acuerdos de privacidad genera confianza y transparencia. Actualice los procedimientos y las políticas de seguridad de datos con lenguaje sencillo y claro, y asegúrese de que se pueda acceder fácilmente a estas políticas.
7. Cumplir con los derechos de las personas empleadas
Como ya se mencionó, el Reglamento General de Protección de Datos establece derechos nuevos para las personas empleadas. Es fundamental garantizar que estos derechos se cumplan para evitar sanciones.
8. Adoptar el Reglamento General de Protección de Datos como parte de la cultura empresarial
Es importante que las empresas den a conocer las regulaciones en toda la organización. Al integrarlas a la cultura de la empresa, usted se asegura de que todas las personas empleadas las conozcan y las comprendan.
9. Mejorar la seguridad
Asegúrese de que los datos estén seguros y evite las filtraciones. Si se produce una filtración de datos, las partes afectadas deben recibir una notificación sobre esta cuestión en un plazo de 72 horas. Para evitar las filtraciones, usted debe contratar servicios confiables de almacenamiento de datos, además de establecer políticas actualizadas de seguridad.
10. Obtener el consentimiento de las personas empleadas
Es fundamental que les informe a las personas empleadas las medidas y los procedimientos implementados; y debe obtener el consentimiento para procesar y transmitir los datos de esas personas. El consentimiento debe ser una manifestación libre, informada y clara del acuerdo.
Más allá de la obligación que representa, el Reglamento General de Protección de Datos puede contribuir a mejorar el desempeño de su empresa, además de la confianza y el bienestar de las personas empleadas. Sin embargo, esto es posible solo si sus datos y la seguridad, las herramientas, los métodos y los procesos están optimizados.
Estos nuevos desafíos les brinda a los departamentos de Recursos Humanos la oportunidad de ser impulsores de la propia internacionalización de la empresa, ya que se fortalece la calidad de la cooperación con los proveedores y contratistas. Tener una política clara sobre la gestión de datos personales también mejora la reputación de las empresas y las hace atractivas como entidades empleadoras.
