El Reglamento de la UE (Unión Europea), 2016/679también conocido como Reglamento General de Protección de Datos (GDPR), entró en vigencia el mayo 25, 2018 después de un período de transición de dos años. El reglamento exige que todas las empresas que operan en la Unión Europea adopten nuevas políticas, procesos y prácticas para administrar los datos personales de clientes, usuarios, proveedores y trabajadores.
El Reglamento General de Protección de Datos tiene un efecto enorme en los departamentos de Recursos Humanos, ya que estos deben adaptar sus procesos para que cumplan con los requisitos.
El objetivo del Reglamento General de Protección de Datos es estandarizar y fortalecer los derechos de los residentes europeos respecto de sus datos personales. Esto significa que cualquier organización que trate con datos personales de residentes de la UE debe cumplir con los nuevos estándares de transparencia, seguridad y responsabilidad.
¿Cómo afecta el RGPD a los recursos humanos?
El Reglamento General de Protección de Datos exige que las empresas solo almacenen datos esenciales, precisos y actualizados de las personas empleadas. Además, las empresas deben comunicar de forma clara cómo, dónde y durante cuánto tiempo se almacenará la información personal de la persona empleada. De la misma manera, las personas empleadas pueden usar su información en cualquier momento. Asimismo, pueden solicitar una copia de los datos almacenados y pedir que la eliminen.
Los equipos de RR. HH. deben comprender el riesgo y la responsabilidad involucrados en el manejo de la información de los empleados para evitar sanciones, ya que el incumplimiento puede dar lugar a multas de hasta EUR20 millones, o el 4 por ciento de la facturación anual.
Factores clave del RGPD en Recursos Humanos
Para cumplir con el Reglamento General de Protección de Datos, los equipos de Recursos Humanos deben adaptar y mejorar los procesos de gestión de las personas empleadas para garantizar los derechos de las personas empleadas y cumplir con las normas de protección de los datos.
A continuación, se presentan los factores más importantes que los equipos de Recursos Humanos deben tener en cuenta:
1. Recopilación de datos personales
La recopilación y el procesamiento de los datos personales deben ser legítimos y deben limitarse a la información relevante para el cumplimiento del contrato de empleo (p. ej., sistemas de asistencia y horario) o información que sea necesaria para cumplir con una obligación legal (p. ej., la nómina).
Se requiere el consentimiento cuando no exista ninguna otra base legal que valide el procesamiento de los datos (p. ej., cuenta de correo electrónico personal).
2.Derecho de los empleados a ser informados
Las empresas están obligadas a informar a las personas empleadas sobre el propósito y las bases legales del procesamiento de los datos y el periodo durante el cual se guardarán los datos personales. Esta información debe proveerse en el momento en que se obtienen los datos personales de la persona empleada.
3. Nuevos derechos para las personas empleadas
El Reglamento General de Protección de Datos introdujo nuevos derechos para las personas empleadas, tal como el derecho de la portabilidad de datos, que permite que las personas empleadas obtengan y reutilicen sus datos personales para sus propios propósitos en diferentes servicios. También regula derechos específicos, como el derecho al olvido, que permite a los empleados solicitar la eliminación de sus datos personales, y el derecho de rectificación, que otorga a los empleados el derecho de obtener la rectificación de datos personales inexactos.
El derecho a oponerse a las actividades de creación de perfiles evita que las empresas tomen decisiones solo sobre la base del procesamiento automático, que tendrá un impacto importante en la implementación de software con inteligencia artificial en el campo de los recursos humanos.
4. Representante de la protección de datos
Las empresas deben designar a un representante de la protección de datos (DPO) que actúe de forma independiente con los recursos necesarios para llevar a cabo sus tareas. El DPO es responsable de monitorear la política de protección de datos de la empresa y su implementación para garantizar el cumplimiento con el Reglamento General de Protección de Datos.
5. Evaluaciones de impacto y violaciones de seguridad
Las empresas deben realizar evaluaciones de impacto para identificar operaciones que presenten un riesgo significativo para los derechos de los trabajadores o una violación de seguridad. En el caso de la violación de los datos personales, las empresas deben notificar a las autoridades antes de las 72 horas posteriores a la identificación de la violación.
6. Telemática y códigos de conducta
Para adaptarse a los nuevos requisitos de protección de datos, las empresas deben examinar sus políticas internas y códigos de conducta con respecto al uso de la telemática. Además, las empresas deben adaptar su contenido al criterio del Tribunal Europeo de Derechos Humanos (ECHR), así como también al impacto de las nuevas tecnologías en el lugar de trabajo.
7.Vigilancia por video
Las empresas también deben revisar el procedimiento para la instalación y el uso de la videovigilancia. El ECHR establece que los trabajadores deben estar informados con antelación y de forma clara sobre el propósito de la instalación de cámaras fijas, según las disposiciones del reglamento de protección de datos.
8. Transmisión internacional de datos fuera de la UE
Transmitir los datos personales de las personas empleadas a países que no pertenecen a la UE representa un gran riesgo, ya que no hay garantía de protección. El Reglamento General de Protección de Datos ha impuesto determinadas restricciones para limitar la capacidad que tiene una empresa de transmitir tales datos, y de cumplir con los derechos de las personas empleadas.
9. Contratos con proveedores externos
Es necesario actualizar los contratos con proveedores o contratistas que tengan acceso a los datos personales de la empresa con el fin de garantizar que cumplen con los requisitos del reglamento. Esto incluye contratos con la nómina y proveedores de selección de personal.
Debido al volumen de datos personales que administra una empresa durante todos sus procesos, la contribución del departamento de Recursos Humanos con el cumplimiento del Reglamento General de Protección de Datos es crucial. Por lo tanto, es fundamental considerar todos los elementos del Reglamento General de Protección de Datos para implementar un plan de acción efectivo.
¿Qué pueden hacer los equipos de RR. HH. para cumplir con el RGPD?
El Reglamento General de Protección de Datos exige que las empresas sean proactivas y responsables de la implementación de las medidas técnicas y organizativas que garanticen el cumplimiento del procesamiento de datos.
Se les exige a las empresas que analicen el tipo de datos que procesan, el propósito y la forma en que lo hacen. A continuación, se presentan algunos consejos para ayudar a que los equipos de Recursos Humanos cumplan con el Reglamento General de Protección de Datos:
1. Contratar a un funcionario de protección de datos (DPO)
Como lo dictamina el Artículo 37 del Reglamento General de Protección de Datos, contratar a un DPO es fundamental. Un DPO es el responsable de supervisar las estrategias de protección de datos de las empresas y garantiza el cumplimiento de los requisitos del reglamento.
2. Hacer un inventario del procesamiento de los datos personales.
Hacer un inventario de los datos importantes facilita el seguimiento y procesamiento y ayuda a verificar el cumplimiento. A continuación, se detallan algunas consideraciones clave del seguimiento de la información de su empresa:
- Identifique los datos personales y los datos sensibles, así como también las operaciones existentes de procesamiento y verifique el cumplimiento.
- Averigüe quién (personas empleadas, contratistas o proveedores) tiene acceso a los datos y por qué.
- Controle a las personas empleadas, los contratistas y los proveedores que trabajan con datos de la empresa y revise los contratos.
- Verifique que cualquier procesamiento de datos realizado por contratistas y proveedores cumpla con el Reglamento General de Protección de Datos.
- Analice las prácticas de archivamiento y el tiempo de retención de los datos personales de los recursos humanos.
- Asegúrese de que las soluciones de recursos humanos y el sistema de información de recursos humanos (HRIS), si corresponde, cumplan con el Reglamento General de Protección de Datos.
3. Entrar en acción
Una vez que ha realizado el inventario y ha identificado las correcciones necesarias, es importante crear e implementar un plan de acción que defina los pasos que se deberán seguir.
Asegúrese de hacer lo siguiente:
- Auditar los datos
- Llevar a cabo evaluaciones de impacto.
- Revisar las medidas de protección y seguridad.
- Revisar los procesos y los procedimientos.
4.Implementar un plan de comunicación
Es importante implementar un plan de comunicación interno para que todas las personas empleadas sepan cómo acceder a la información y qué hacer si surge algún cambio en el proceso. Parte de la nueva regulación requiere que las empresas comuniquen de forma clara cómo, dónde y durante cuánto tiempo se almacenará la información personal de la persona empleada.
5. Asegurarse de que los datos almacenados sean correctos
Las empresas deben asegurarse de que tienen solamente datos actualizados y correctos. También tienen que identificar los datos que deben guardar y los que deben eliminar. Mientras menos datos usted tenga, más fácil será cumplir con el Reglamento General de Protección de Datos.
6. Revisar las políticas de privacidad
Las empresas deben ser transparentes sobre los datos que manejan. Revisar los acuerdos de privacidad genera confianza y transparencia. Actualice los procedimientos y las políticas de seguridad de datos con lenguaje sencillo y claro, y asegúrese de que se pueda acceder fácilmente a estas políticas.
7. Hacer cumplir los derechos de los empleados
Como ya se mencionó, el Reglamento General de Protección de Datos establece derechos nuevos para las personas empleadas. Es fundamental garantizar que estos derechos se cumplan para evitar sanciones.
8. Adoptar el Reglamento General de Protección de Datos como parte de la cultura empresarial
Es importante que las empresas den a conocer las regulaciones en toda la organización. Al integrarlas a la cultura de la empresa, usted se asegura de que todas las personas empleadas las conozcan y las comprendan.
9. Mejorar la seguridad
Asegúrese de que los datos estén seguros y evite las filtraciones. Si se produce una filtración de datos, las partes afectadas deben recibir una notificación sobre esta cuestión en un plazo de 72 horas. Para evitar las filtraciones, usted debe contratar servicios confiables de almacenamiento de datos, además de establecer políticas actualizadas de seguridad.
10. Obtener el consentimiento de las personas empleadas
Es fundamental que les informe a las personas empleadas las medidas y los procedimientos implementados; y debe obtener el consentimiento para procesar y transmitir los datos de esas personas. El consentimiento debe ser una manifestación libre, informada y clara del acuerdo.
Más allá de la obligación que representa, el Reglamento General de Protección de Datos puede contribuir a mejorar el desempeño de su empresa, además de la confianza y el bienestar de las personas empleadas. Sin embargo, esto es posible solo si sus datos y la seguridad, las herramientas, los métodos y los procesos están optimizados.
Estos nuevos desafíos les brinda a los departamentos de Recursos Humanos la oportunidad de ser impulsores de la propia internacionalización de la empresa, ya que se fortalece la calidad de la cooperación con los proveedores y contratistas. Tener una política clara sobre la gestión de datos personales también mejora la reputación de las empresas y las hace atractivas como entidades empleadoras.
