Desde el 25 de mayo de 2018 pasado, todas las empresas españolas tienen que cumplir con el Reglamento General de Protección de Datos (RGPD). Sin embargo, según la ‘Encuesta sobre el grado de preparación de las empresas españolas ante el RGPD’, elaborada por la Agencia Española de Protección de Datos (AEPD) y CEPYME, casi cuatro de cada diez pymes españolas (36,5%) no conocen el nuevo Reglamento General de Protección de Datos (RGPD), frente a un 63,5% de empresas que sí tiene conocimiento de esta normativa. Entre los diferentes departamentos de la empresa, los de Recursos Humanos forman parte de los más afectados por este nuevo reglamento, ya que recogen, tratan y archivan un volumen significativo de datos personales.
Recordemos que el RGPD obliga a cualquier organismo que gestione datos personales de ciudadanos de la Unión Europea a informar a la autoridad de control local, en un plazo de 72 horas, cualquier infracción que haya podido detectar. La multa para la empresa denunciada puede alcanzar los 20 millones de euros o el 4% de su facturación mundial (según la suma más importante de las dos), una medida particularmente coercitiva que apunta a proteger a los ciudadanos de la Unión Europea contra el robo o pirateo de datos y las suplantaciones de identidad potenciales.
Según el estudio Finding The Missing Link in GDPR Compliance (Encontrar el eslabón perdido en el cumplimiento del RGPD), existe una marcada diferencia en las actitudes demostradas en los diferentes países de la Unión Europea. Resulta haber un problema específico en España, donde el 76% de los ejecutivos encuestados dice que está preocupado en cuanto a la capacidad de su organización para cumplir con el RGPD. Todavía más alarmante, el 41% dice que está “muy preocupado” por el cumplimiento del RGPD. Los siguientes países que demuestran más preocupaciones son Italia, con el 43% de los ejecutivos expresando su ansiedad, y el Reino Unido (39%). Francia y Alemania parecen estar menos preocupados, con un 31% y 33% respectivamente que expresan su preocupación.
Obviamente, las sanciones van a acelerar el proceso de adecuación de las empresas y según el mismo estudio, el 51% de las empresas españolas prevé realizar cambios en sus sistemas de tratamiento de datos, el 19% contratar más personal y el 16% externalizar los servicios relacionados con el RGPD. Es imprescindible para las empresas cumplir con el RGPD. Aunque este objetivo ataña a toda la empresa, el departamento de recursos humanos (RRHH) se ve particularmente afectado debido al gran volumen y diversidad de datos personales que gestiona a lo largo de los diferentes procesos.
Un impacto que abarca todas las actividades de los RRHH
Debido al volumen de datos personales que gestiona durante todos sus procesos, la contribución del departamento de RRHH para el cumplimiento del RGPD es crucial. Por consiguiente, es imprescindible tener en cuenta el conjunto de sus actividades para implementar un plan de acción eficaz y protegerse contra cualquier riesgo de incumplimiento.
El departamento de RRHH que maneja muchos datos (reclutamiento, gestión administrativa, formación, evaluaciones, nóminas, informes) tiene que volver a estudiar en el marco del RGDP, sus métodos de gestión, securización y mantenimiento de los datos personales. Este esfuerzo tiene que referirse a todas las etapas del proceso, y también a la formación y sensibilización de los colaboradores involucrados. Los subcontratistas y proveedores de la empresa también están involucrados y tienen que demostrar que cumplen con el RGPD. Por todo ello, los departamentos de RRHH tienen que poder contar con soluciones de RRHH que cumplen con el RGPD y que garantizan un tratamiento de los datos conforme a lo dispuesto por la ley.
Para los rezagados: ¿Qué hacer para cumplir con RGPD?
Lo importante para evitar las multas es emprender las acciones necesarias para el cumplimiento con el fin de demostrar que la empresa ha iniciado acciones tangibles.
1. Nombrar a un Delegado de Protección de Datos (DPO)
Reclutar o nombrar a un DPO tal y como lo dicta el artículo 37 del RGPD. Este nuevo perfil tiene como objetivo dirigir el cumplimiento de la empresa y también es el primer interlocutor de la Agencia Española de Protección de Datos (AEPD), la empresa y los contratistas.
2. Realizar el inventario de los tratamientos de datos personales
- Identificar los datos personales, los datos sensibles y sus flujos.
- Hacer una lista de los tratamientos existentes y verificar su conformidad.
- Hacer una lista de las personas que tienen acceso a dichos datos e identificar la razón por la que tienen acceso a ellos.
- Hacer una lista de todos los tratamientos analizados en el registro de los tratamientos.
- Hacer una lista y controlar los subcontratistas y proveedores externos que trabajan con datos personales de la empresa y revisar los contratos de subcontratación.
- Verificar que el tratamiento que aplican los subcontratistas/proveedores, tanto en papel como digital, cumple con el RGPD (acceso, consentimiento informado y unívoco de la persona interesada y tiempo de conservación).
- Analizar las prácticas de archivo y tiempo de conservación de los datos personales de RRHH.
- Asegurarse de que las soluciones de RRHH y Sistema de Información de Recursos Humanos (SIRH) cumplen con el RGPD.
3. Poner en marcha un plan de acción correctivo
4. Informar a los colaboradores y recoger su consentimiento
Más allá de la obligación que parece representar, el RGPD puede contribuir a mejorar el rendimiento de la empresa, y también la confianza y el bienestar de los empleados, siempre y cuando se racionalicen las herramientas, los métodos y los procesos.
Desde hace unos años, la transformación digital ya ha alterado considerablemente las actividades del departamento de RRHH. El cumplimiento del RGPD acentúa dicha transformación al obligar a los tomadores de decisiones a optimizar los procesos y a prestar una atención específica a los sistemas de información de recursos humanos.
Gracias a estos nuevos retos, los departamentos de RRHH van a poder ser los motores de la internacionalización de su empresa, reforzar la calidad de su cooperación con sus proveedores y subcontratistas, y, gracias a una política clara de gestión de datos personales, cuidar su reputación y hacer que la empresa sea atractiva como empleador.
La nueva LOPD no se limita a regular la protección de los datos personales y la privacidad de las personas físicas, sino que además introduce un Título dedicado exclusivamente a la protección y garantía de los derechos digitales de los ciudadanos, entre los que se incluyen los derechos laborales digitales. Ello supone, entre otras, una modificación del Estatuto de los Trabajadores pues se crea un artículo 20 bis por el que se reconoce a los trabajadores los derechos a la intimidad en relación con el entorno digital y a la desconexión.
Veamos a continuación el contenido de estos derechos laborales digitales:
- Derecho a la intimidad y uso de dispositivos en el ámbito laboral: El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores y a los empleados públicos a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
Los empleadores, con la participación de la representación legal de los trabajadores, deberán establecer criterios de utilización de los dispositivos digitales, los cuales deberán ser comunicados a los trabajadores y deberán respetar en todo caso los estándares mínimos de protección de su intimidad. Si se permite a los trabajadores el uso con fines privados de los dispositivos digitales puestos a su disposición, se deberán especificar cuáles son los usos autorizados, las garantías para preservar su intimidad y los periodos en los que los dispositivos puedan utilizarse para fines privados (por ejemplo, estableciendo que podrán utilizarse únicamente de manera puntual, o para una emergencia familiar…)
Desde Abril Abogados podemos colaborar con el empleador y con los representantes de los empleados en la elaboración de una Política que contenga tales criterios de utilización de los dispositivos digitales siempre con la finalidad de controlar el cumplimiento de las obligaciones laborales y garantizar la integridad de dichos dispositivos.
- Derecho a la desconexión digital: Se trata de garantizar, fuera del tiempo de trabajo, el respeto del tiempo de descanso, permisos, vacaciones y conciliación de la actividad laboral y la vida personal y familiar de los empleados, incluidos los que ocupen puestos directivos, y los empleados públicos.
El derecho se concretará en un protocolo interno elaborado previa audiencia de los representantes de los trabajadores, en el que se definan las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización sobre un uso razonable de las herramientas tecnológicas.
Desde Abril Abogados podemos colaborar con el empleador y con los representantes de los empleados en la elaboración de dicho protocolo interno estableciendo, por ejemplo, la restricción del acceso al correo electrónico corporativo o el bloqueo del acceso a servidores fuera de la oficina o a partir de una franja horaria, el establecimiento de cierres de sesión automáticos cuando finalice la jornada laboral… Además, Abril Abogados puede colaborar impartiendo formaciones a los directivos con personal a su cargo para instruirles sobre este derecho.
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo: En relación con la videovigilancia, los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos.
Este uso requerirá la previa información, expresa, clara y concisa, a los trabajadores y, en su caso, a sus representantes legales. Ahora bien, se entenderá cumplido el deber de informar cuando se haya captado la comisión flagrante de un acto ilícito por los trabajadores y exista al menos el dispositivo informativo en lugar suficientemente visible que identifique, como mínimo, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en el RGPD.
Desde Abril Abogados podemos elaborar el documento informativo que deberá entregarse a los trabajadores y, en su caso, a sus representantes legales y proporcionará al empleador la información que debe constar en el dispositivo o cartel informativo.
Por su parte, la grabación de sonidos en el lugar de trabajo únicamente se admite si la misma está justificada por razones de seguridad de instalaciones, bienes y personas. En todo caso, la empresa deberá respetar los principios de proporcionalidad e intervención mínima.
Se prohíbe instalar dispositivos de grabación de sonido o videovigilancia en los lugares destinados al descanso o esparcimiento de los trabajadores.
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos, previa información expresa, clara e inequívoca acerca de la existencia y características de estos dispositivos, así como del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
Desde Abril Abogados podemos elaborar la cláusula o documento informativo que deberá entregarse a los trabajadores y, en su caso, a sus representantes legales.
FUENTES:
- El impacto de la RGPD sobre los departamentos de Recursos Humanos https://www.muypymes.com/2019/01/25/el-impacto-de-la-rgpd-sobre-los-departamentos-de-recursos-humanos vía @muypymes
- https://www.abrilabogados.com/noticia/nombre/los-nuevos-derechos-laborales-digitales-regulados-en-la-ley-organica-de-proteccion-de-datos/id/1049/