7 cosas del RGPD que te interesa conocer si trabajas en Recursos Humanos
El próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos (RGPD), que afectará a todas las áreas de las empresas que manejen datos de carácter personal.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento sus datos personales y a la libre circulación de estos, considera que la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.
La introducción del nuevo reglamento aumenta las obligaciones de información que tienen las empresas, especialmente en la recogida del consentimiento de las personas, impactando en los departamentos de Recursos Humanos y en las empresas de selección de personal, ya que estas manejan datos e información de empleados y de candidatos a serlo.
En relación con el nuevo RGPD los responsables de Recursos Humanos y de selección de personal deben de tener en consideración lo siguiente:
Definición de medidas técnicas y organizativas
El responsable del tratamiento de datos aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de estos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del reglamento y proteger los derechos de los interesados, debiendo revisarse y actualizarse dichas medidas cuando sea necesario.
Sanciones
Las sanciones por incumplir el RGPD pueden acarrear multas de hasta 20 millones de euros o bien el 4% como máximo del volumen de negocio total anual global del ejercicio anterior.
Datos utilizables para la finalidad para la que fueron recabados
Por defecto, solo serán objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento, por lo tanto, los datos de los empleados solo deben utilizarse para el fin contractual para el que fueron recabados. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. En el caso de los procesos de selección, una vez finalizados estos, deben destruirse los currículums, si no existe un motivo para su conservación. Sin embargo, si el candidato forma parte de una bolsa de empleo, o bien se anota en una ETT para tener acceso a los trabajos eventuales que puedan surgir, en este caso el periodo de retención del currículum sería indefinido, hasta el momento en que el candidato decida darse de baja.
Daños y perjuicios por uso indebido de datos
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
Libertad de los Estados para dictaminar nuevas disposiciones legislativas en materia de protección de datos
Además de las medidas recogidas en el RGPD, los Estados podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleados o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.
Transparencia y transferencia de datos
Se debe prestar especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.
Consentimiento del interesado
Las empresas de selección de personal deberán recabar el consentimiento del interesado para el tratamiento y traslado de sus datos, que debe ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Si los datos van a ser cedidos a terceros se deberá indicar claramente.
El CEF.- consciente de la importancia que tiene para las empresas la adaptación al RGPD, tiene dos programas formativos en esta materia el Curso Monográfico sobre la Nueva Normativa de Protección de Datos y el Seminario sobre los Aspectos Laborales del Nuevo Reglamento Europeo de Protección de Datos, donde se podrá profundizar en todo lo relativo al RGPD.
José Ramón Fernández de la Cigoña Fraga
Director Administrativo y Financiero (CFO)