RRHH y normativa de protección de datos

RGPD para RRHH y selección

¿Qué es el RGPD?

Hablamos del nuevo Reglamento General de Protección de Datos (RGPD), que ya ha entrado en vigor pero que comienza a aplicarse el 25 de mayo de 2018. Esta normativa implica la unificación de criterios a nivel europeo en conceptos comunes, incrementando las obligaciones de información que tienen las empresas, de forma que se reforzarán los derechos de los usuarios.

El aspecto más destacable es su orientación a promover la cultura de la privacidad en las organizaciones, de forma que ésta se convierta en un elemento más en el desarrollo de su actividad.

Si te dedicas a la selección y gestión de candidatos para posiciones de tu empresa, esto te interesa porque la nueva normativa amplía los derechos de tus candidatos y con ello tus obligaciones.

¿Cuáles son las principales diferencias respecto a la legislación actual?

La legislación española recogía una serie de principios básicos de información y tratamiento de datos similar al resto de los países europeos junto con diferentes medidas técnicas y organizativas tanto en los ámbitos  informáticos como documentales. La nueva legislación incrementa las obligaciones de información especialmente en la recogida del consentimiento de las personas.

Medidas técnicas mínimas

A partir de ahora las empresas tienen que determinar las medidas técnicas que debe aplicar: copias de seguridad, calidad de contraseñas, etc.; para ello antes de realizar un tratamiento se deberá hacer un Análisis de Impacto.

Se eliminan los niveles de sensibilidad

Se trata de un cambio significativo y es que ya no existirá esta clasificación de los niveles de sensibilidad (Básico, Medio y Alto) sino que los datos de carácter personal en general con consideración especial para los datos especialmente sensibles (que se corresponderían con los datos de nivel básico).

Estos son los pasos a seguir si te dedicas a la selección o RRHH

1.- Tendrás que definir de forma específica y clara cuáles son las finalidades del tratamiento de datos, pero también los períodos retención y conservación de los datos.
En el caso de recursos humanos un periodo de retención habitual es de 6-12 meses tras los cuales un currículum puede ser no vigente. Tras ese periodo de retención, no existe motivo de conservación y por ello inicialmente se destruirían.

2.- No se tratarán de forma genérica los datos; sino que es preciso adaptarse a los factores de riesgo específicos, previamente analizados.

3.- El consentimiento para el tratamiento de los datos deberá ser “libre, específico, informada e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”.

4.-Garantizar los derechos de los candidatos. Los actuales derechos ARCO (acceso, rectificación, cancelación y oposición) son sustituidos por Transparencia, Información, Acceso, Rectificación, Supresión o derecho al olvido (acceso, rectificación, supresión -no ya cancelación-), Limitación del tratamiento (no ser utilizados por diversos motivos, innecesarios, inexactos, etc.) y Portabilidad de datos (el poder solicitar los datos a la entidad en un formato abierto para poder llevarlo a otra entidad, por ejemplo los datos médicos a una mutua para cambiar a otra) y Oposición.

Esta ampliación de los derechos implica un mayor control del uso de los datos. Por ejemplo, un candidato puede solicitar la información sobre los datos que tenemos de él o puede reclamar que estén en un formato adecuado para su migración a terceros. Las empresas deben revisar el procedimiento de gestión de derechos (los actuales ARCO) para garantizar que se cumplirán de forma adecuada. Esta es una de las tareas que el Delegado de Protección de Datos tendría a su cargo.

5.- La privacidad, presente desde el diseño: La salvaguarda de la protección de datos en los productos y servicios desde sus primeros estadios de desarrollo (Data protection by design), teniendo en cuenta como indica la Agencia Española de Protección de Datos: «Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD».

6.- Nombramiento de un Delegado de Protección de Datos, obligado para las Administraciones públicas y aquellas empresas que requieran una observación habitual y sistemática de interesados a gran escala (por ejemplo si tienes un elevado número de candidatos) o tratamiento a gran escala de categorías especiales de datos personales (si tienes datos de salud de los candidatos) y de datos relativos a condenas e infracciones penales (si recoges esta información de tus candidatos).

Es una figura – interna o externa -para garantizar el cumplimiento formal de la legislación y ejercer de interlocutor con la Agencia Española de Protección de Datos, los interesados, etc.

7.- Las incidencias que puedan afectar a la privacidad de los candidatos, pueden implicar la obligación de comunicárselas a estos y a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

8.- Elaboración del Registro de Actividades, registro interno que recoge los tratamientos (ficheros, tipología y usos de los datos, contratas, etc.) al quedar suprimida la obligación de realizar la inscripción de los ficheros en el Registro General de la Agencia Española de Protección de Datos.

9.- Establecer el procedimiento de análisis de impacto sobre los tratamientos antes de realizarlos. Esto debería implicar la revisión de las medidas técnicas aplicadas para determinar si son adecuadas, conviene modificarlas o eliminarlas.

¿Qué ocurre si no cumplen con esos requisitos? ¿Existen sanciones?

Los requisitos de información correcta del tratamiento, recogida del consentimiento y uso adecuado de los datos puede ser sancionada; al igual que en la actual normativa.En la normativa anterior las sanciones podían llegar hasta los 600.000 euros.

Con la nueva normativa las sanciones pueden llegar a los 20 millones de euros o el 4% de la facturación, aquella que suponga el mayor valor. Hay que destacar que estos importes no implican que se vayan a aplicar directamente a las empresas, puesto que se aplicaría ponderación en caso de sanción.

¿Alguna de las medidas tiene efecto retroactivo?

La futura legislación española puede suponer exigir recabar los consentimientos que no se hayan obtenido previamente, de forma retroactiva. Asegúrate de contar con el consentimiento para no incurrir en ninguna infracción.

Así, si has recogido un currículum para una determinada oferta de trabajo y has informado que se incluirá en la bolsa de empleo de la empresa para futuros puestos vacantes, podrías estar obligado a remitir un comunicado a los candidatos para que autoricen este tratamiento. Ambas finalidades son diferentes y deberían ser autorizadas por separado. Lo mismo ocurre si quieres contactar a los candidatos descartados de un proceso de selección para otro motivo.

¿Cómo nos hemos adaptado en Infoempleo?

Ya aplicábamos parte de las nuevas medidas exigidas antes de su regulación, como la recogida del consentimiento de forma expresa para cada finalidad diferente. Actualmente nos encontramos revisando todos sus procedimientos a fin de garantizar que se sigue cumpliendo estrictamente la legislación vigente en materia de protección de datos, salvaguardando los derechos de los candidatos y dando seguridad jurídica en el tratamiento de esos datos por parte de nuestros clientes.

Artículos populares

¡SÍGUENOS!

Salir de la versión móvil
Salir de la versión móvil