COMUNICACIÓN
Tratamiento de datos personales en el trabajo de RRHH
Las empresas suelen llevar a cabo el tratamiento de datos personales en el contexto del trabajo de RRHH. Todo, desde la contratación, durante el empleo hasta después de la terminación del empleo.
Ejemplos de tratamiento de datos personales en el trabajo de RRHH
La mayoría de las empresas deben procesar datos personales en su trabajo de recursos humanos. Por ejemplo, los nombres, los datos de contacto, los detalles de la cuenta bancaria y similares de los empleados. Además, puede haber otras reglas además del RGPD que requieran que el empleador guarde ciertos datos personales de los empleados. Por ejemplo, para reportar las contribuciones del empleador.
Bases jurídicas que pueden ser apropiadas para su uso en relación con el trabajo de RRHH
Contrato
Muchos datos personales que el empleador procesa sobre sus empleados están respaldados por la base legal de ejecución de un contrato con los interesados.
Interés legítimo
En algunos casos, el empleador puede tener un interés legítimo en procesar algunos de los datos personales de los empleados en el trabajo de recursos humanos. Tenga en cuenta que en tales casos, el empleador debe hacer un equilibrio de intereses, para ver si los intereses del empleador superan a los del empleado.
Obligación jurídica
Obligación legal significa que está regulado en otra ley o reglamento que el empleador debe procesar ciertos datos personales de los empleados. Por ejemplo, datos sobre licencia por enfermedad, para informar sobre las contribuciones del empleador o similares.
Tenga en cuenta que el consentimiento es a menudo una base legal inapropiada para que los empleadores la utilicen, ya que existe una relación de poder desigual entre el empleador y el empleado. Esto también se aplica a la contratación, donde la relación de poder es desigual entre el empleador y el solicitante de empleo.
¿Pueden los empleadores procesar datos personales sensibles en su trabajo de recursos humanos?
De acuerdo con la regla principal, está prohibido procesar datos personales confidenciales bajo el RGPD, pero hay excepciones. Los empleadores generalmente procesan datos personales sensibles que pertenecen a los empleados y esto puede permitirse en algunos casos. Sin embargo, es importante tener en cuenta que las reglas son más estrictas. Por ejemplo, el empleador debe tomar las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, y los requisitos son más altos cuando se procesan datos personales sensibles.
Los empleadores generalmente necesitan procesar datos sobre la salud
Un empleador generalmente necesita procesar datos sobre la salud, como licencia por enfermedad, posibles alergias u otros datos sobre la salud que pueden ser necesarios para procesar. Por ejemplo, un empleador no debe enviar recibos de pago que contengan información sobre baja por enfermedad u otros datos personales confidenciales a través de correo electrónico no cifrado, ya que no se considera lo suficientemente seguro.
¿Puede el empleador permitir que un procesador de datos maneje el procesamiento?
Sí, no hay reglas que prohíban a un empleador contratar a otra empresa para hacer parte o la totalidad del trabajo de recursos humanos. Por ejemplo, si una empresa contrata a una empresa de contabilidad para administrar la nómina de sus empleados. En tales casos, la oficina de contabilidad es un procesador de datos para el procesamiento. Tenga en cuenta, sin embargo, que no es posible transferir la responsabilidad real del procesamiento, sino solo la ejecución práctica del procesamiento.
Empleadores que procesan datos subjetivamente sensibles a la privacidad, por ejemplo, en su trabajo sobre el desarrollo de habilidades
Es importante tener en cuenta que las notas relativas a las capacidades de los empleados pueden ser datos subjetivamente sensibles a la privacidad. Por lo tanto, estos datos personales deben procesarse con restricción y seguridad suficiente, ya que pueden tener consecuencias importantes para los empleados si se filtran a través de una violación de datos personales. Tenga en cuenta que debe quedar claro cuándo se borran estos datos personales.
Desarrollo de habilidades que incluye elaboración de perfiles y decisiones automatizadas
RGPD regula cómo las empresas pueden trabajar con la elaboración de perfiles y las decisiones automatizadas. No siempre es fácil cumplir con RGPD cuando se utilizan sistemas que brindan servicios de desarrollo de habilidades e incluyen la elaboración de perfiles y decisiones automatizadas. Por ejemplo, las herramientas deben permitir al responsable del tratamiento cumplir los requisitos relativos a los derechos de los interesados, como el derecho a la información, la rectificación, etc.
Cómo deben hacer las empresas paso a paso en su trabajo de recursos humanos de acuerdo con RGPD
Finalidad
Las empresas siempre deben tener un propósito para cada procesamiento individual. Por ejemplo, para procesar ciertos datos personales con el fin de poder pagar salarios.
Base jurídica
Cuando la empresa conoce el propósito del procesamiento, la empresa puede elegir una base legal adecuada. Tenga en cuenta que el consentimiento suele ser una base legal inadecuada en el trabajo de recursos humanos, ya que la relación de poder entre el empleador y el empleado no es igual.
Transferencia a terceros
Si la empresa transfiere los datos personales a un tercero, se informará a los interesados. Un ejemplo de una transferencia a un tercero es si la empresa contrata a una empresa de contabilidad para manejar la nómina.
Borrado
Las empresas suprimirán los datos personales cuando ya no sean necesarios para los fines del tratamiento. Esto también se aplica a los datos personales que se procesan como parte del trabajo de recursos humanos.
Escribir instrucciones para los empleados
Son los empleados de la empresa los que en la práctica trabajan con cuestiones relacionadas con el RGPD. Por ejemplo, cuando un gerente recibe una solicitud de empleo de un individuo. En tales casos, se trata de un procesamiento de datos personales y luego el gerente necesita saber cómo proceder correctamente. Por lo tanto, es bueno elaborar instrucciones escritas sobre cómo deben actuar los empleados al procesar datos personales en su trabajo diario.
Datos personales almacenados de un empleado mucho después de la terminación del empleo
Una empresa en Finlandia/Suecia (Viking Line) tuvo que pagar una multa después de, entre otras cosas, haber seguido almacenando datos personales durante mucho tiempo después de que terminara el empleo. Además, incluía el tratamiento de datos personales sensibles.
Tratamiento de datos personales en la contratación
Las empresas generalmente necesitan procesar datos personales al reclutar personal, como la información de contacto. Esto también se aplica a las personas que no necesariamente consiguen un trabajo. Esto constituye un procesamiento de datos personales y, por lo tanto, el RGPD debe tenerse en cuenta en el proceso.
Diferentes cosas a tener en cuenta al procesar datos personales al reclutar personal
Aquí hay algunas cosas que son importantes tener en cuenta cuando las empresas procesan datos personales al reclutar personal:
Derecho de acceso
Los interesados tienen derecho a acceder a la información de conformidad con el RGPD. En otras palabras, el derecho a saber qué datos personales sobre el interesado está procesando la empresa, cuánto tiempo se lleva a cabo el procesamiento, qué derechos tiene el interesado, etc. El derecho de acceso también se aplica a la contratación. Si una empresa ha creado una página en el sitio web donde los solicitantes pueden ingresar sus datos de contacto y adjuntar su CV, deben informarles sobre el procesamiento en relación con la recopilación de los datos. Esto generalmente se hace en un aviso de privacidad que el solicitante puede leer antes de enviar los datos.
Decisiones de contratación automatizadas
Puede ser ilegal que una empresa utilice decisiones automatizadas al reclutar. Por ejemplo, si las pruebas en la contratación implican la elaboración de perfiles, hay varias cuestiones a considerar, como el consentimiento que no es una base jurídica adecuada.
Datos sobre infracciones penales
Los datos sobre infracciones penales constituyen una categoría especial de datos personales de conformidad con el artículo 10 del RGPD. Significa, entre otras cosas, que deben tratarse con mayor certeza que los «datos personales ordinarios». En algunas profesiones, es un requisito para el empleador solicitar información al respecto, y en tales casos la base legal para el procesamiento es una obligación legal. Por ejemplo, para los agentes de policía y el personal de la escuela. Por otro lado, hay empresas que solicitan antecedentes penales a pesar de que no existe un requisito legal, y en tales casos las reglas son estrictas.
Concluir un acuerdo de procesador de datos personales si otra empresa se encarga de la contratación
No es raro que las empresas contraten a otras empresas para gestionar la contratación de personal. Es importante tener en cuenta que en tales casos la empresa de contratación es un procesador de datos y que debe celebrarse un acuerdo escrito de procesamiento de datos entre las partes de conformidad con el artículo 28 del RGPD.
No permitido con «listas negras»
No está permitido crear un registro de personas que no son buscadas o acogidas, las denominadas «listas negras». En algunos casos, los gerentes pueden crear tales listas para tratar de racionalizar su trabajo en la contratación, pero esto está prohibido.
RGPD regula cómo las empresas pueden trabajar con la elaboración de perfiles y las decisiones automatizadas. No siempre es fácil cumplir con RGPD cuando se utilizan sistemas que brindan servicios de desarrollo de habilidades e incluyen la elaboración de perfiles y decisiones automatizadas. Por ejemplo, las herramientas deben permitir al responsable del tratamiento cumplir los requisitos relativos a los derechos de los interesados. Como el derecho a la información, rectificación, etc.
Tratamiento de datos personales durante el empleo
Por lo general, hay muchos tipos diferentes de tratamiento de los datos personales de los empleados durante el período de empleo.
Informar sobre el tratamiento de datos personales en los contratos de trabajo
En los contratos de trabajo, es bueno referirse a un aviso de privacidad separado desarrollado específicamente para los empleados. Describe qué procesamiento de datos personales sobre el empleado tiene lugar.
Bases legales que pueden ser apropiadas para el procesamiento durante el empleo
Aquí hay tres bases legales que pueden ser apropiadas para que las empresas apoyen el procesamiento de datos personales, cuando se trata de empleados dentro del período de empleo.
Contrato
El contrato de trabajo podrá proporcionar una base jurídica para las operaciones de tratamiento necesarias para el desempeño de las funciones de la persona. Por ejemplo, procesar el nombre y el apellido para crear una dirección de correo electrónico relacionada con el trabajo para el empleado. Tenga en cuenta, sin embargo, que puede ser difícil utilizar un contrato de trabajo como base legal si el propósito del procesamiento no está claro.
Interés legítimo
Un empleador puede tener un interés legítimo en el procesamiento de ciertos datos personales sobre los empleados. Sin embargo, la empresa debe realizar primero una evaluación de impacto para demostrarlo. Un ejemplo de cuándo podría ser apropiado es si una firma de corretaje publica una foto de un artículo de ventas y una foto de perfil del corredor en las redes sociales de la compañía.
Obligación jurídica
Existen varias leyes que regulan el procesamiento de datos personales por parte de los empleados. Por ejemplo, las empresas necesitan procesar datos personales sobre la licencia por enfermedad de los empleados, reportar lesiones ocupacionales y similares. Cuando un tratamiento se lleva a cabo con el fin de cumplir con las disposiciones de otra ley, la base jurídica es una obligación legal.
Tenga en cuenta que el consentimiento suele ser una base legal inadecuada para usar, ya que existe una relación de poder desigual entre el empleador y el empleado.
Continuar procesando datos personales después del empleo
Puede ser posible que una empresa procese datos personales incluso después del empleo. Por ejemplo, para que el empleador sea una referencia futura a la persona.
Referencia futura - el consentimiento puede ser apropiado
Como se mencionó anteriormente, el consentimiento no es apropiado cuando la relación de poder entre las partes es desigual. Si una persona deja de trabajar para una empresa, ya no está empleada. Puede redundar en interés del interesado que determinados datos sigan siendo tratados por el antiguo empleador. Por ejemplo, información sobre el rendimiento, revisiones o similares que pueden formar la base para una referencia futura. Por otro lado, no es necesario que la empresa continúe procesando estos datos si el ex empleado no desea hacerlo. Por lo tanto, puede ser útil obtener el consentimiento cuando finalice el empleo para que la empresa pueda continuar procesando estos e informar a la persona que puede solicitar que se elimine en el futuro.
Puede haber otras leyes que requieran un procesamiento adicional
Puede haber otras leyes además del RGPD que requieran que las empresas procesen datos personales durante un cierto período de tiempo, incluso después de la terminación del empleo. Como tener que guardar las nóminas de acuerdo con la legislación fiscal o contable. Si el procesamiento continuo es requerido por la ley, la base legal para el procesamiento continuo es una obligación legal. Tenga en cuenta que, en tales casos, los datos personales deben almacenarse en un lugar separado de otros datos personales utilizados en el trabajo diario. Por ejemplo, en carpetas digitales archivadas y protegidas con contraseña almacenadas en un área de almacenamiento separada.
MÁS SOBRE RGPD
Normas relativas al tratamiento de datos personales en las redes sociales
Hay muchas empresas que procesan datos personales en las redes sociales y creen que no tienen ninguna responsabilidad por el procesamiento allí, ya que no es su plataforma. Sin embargo, este no es siempre el caso. En algunos casos, una empresa puede tener corresponsabilidad con la empresa que opera la plataforma de redes sociales. Por ejemplo, esto se aplica si un cliente se pone en contacto con la empresa a través de las redes sociales para que se satisfagan los derechos. Aunque la compañía puede haber informado que dicha información debe enviarse por correo electrónico en su aviso de privacidad, sigue siendo una operación de procesamiento cuando reciben un mensaje a través de las redes sociales. Tenga en cuenta, por ejemplo, limpiar la bandeja de entrada y salida en las redes sociales de la empresa, al igual que el correo electrónico y otras rutas de comunicación.