El próximo 25 de mayo entra en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
El RGPD viene a establecer un nuevo marco jurídico para el tratamiento de datos personales estableciendo obligaciones adicionales para las empresas y concediendo nuevos derechos a las personas físicas, marco que impacta directamente en el ámbito de los Recursos Humanos, siendo necesario que los departamentos de Recursos Humanos adapten sus políticas y procedimientos a esta nueva normativa, ya que la misma es directamente aplicable, sin perjuicio de que la normativa nacional pueda establecer normas más específicas para garantizar la protección de los datos personales en el ámbito laboral.
En particular, será necesario analizar y adaptar los siguientes procesos a la nueva normativa:
Transparencia en la información
El RGPD incrementa la información que es obligatorio proporcionar respecto al tratamiento de datos personales. Así pues, ahora también habrá que informar de aspectos tales como la base jurídica que nos permite tratar los datos personales, el plazo durante el cual los conservaremos o los destinatarios de los mismos. En un entorno laboral esto es particularmente relevante ya que se entiende que la base jurídica en la que podemos basar el tratamiento de los datos personales no debería ser el consentimiento del empleado, dado que no está en una posición de igualdad con la empresa.
El RGPD establece otras bases jurídicas que se consideran lícitas y que se adaptan mejor al entorno laboral y entre las cuáles destacan la ejecución de un contrato de trabajo o el cumplimiento de obligaciones legales. Por tanto, será necesario distinguir entre aquellos tratamientos de datos personales que son estrictamente necesarios para la ejecución del contrato laboral u obligatorios legalmente y aquellos que no lo son, estableciendo las correspondientes políticas y comunicándolos a los empleados de forma efectiva.
Selección de Empleados
Los procedimientos de selección de personal tampoco quedan al margen del RGPD. Habrá que prestar especial atención a la información que proporcionamos a los candidatos siendo de particular importancia el tiempo durante el cual trataremos los datos una vez el candidato ya no sea elegido. Las fuentes de información que se utilicen durante los procedimientos de selección de personal también habrá que revisarlas dado que es necesario tener una causa que justifique también dichos tratamientos de datos con independencia de que no se obtengan directamente del interesado.
Comunicación de datos a terceros, a representantes legales de los trabajadores y empresas del Grupo
En el entorno laboral es bastante probable que tengamos que comunicar datos personales de empleados a proveedores, clientes, representantes legales de los trabajadores, sindicatos y otras empresas del mismo grupo empresarial (e.g. transferencia de datos personales de empleados con motivo de procesos de movilidad global). Con el RGPD será necesario analizar dichas comunicaciones para garantizar que las mismas se llevan a cabo con las garantías adecuadas. Esto es posible que conlleve la firma de nuevos contratos con proveedores o clientes que regulen el tratamiento de datos personales por parte de estos o revisar la necesidad de comunicar datos personales entre las empresas del mismo grupo.
Por último, es necesario tomar en cuenta que el RGDP establece un principio de «responsabilidad proactiva» en virtud del cuál no sólo habrá que cumplir con la normativa sino que también será necesario ser capaz de demostrarlo. Consecuentemente, incluso en el caso de que las políticas y procedimientos utilizados por recursos humanos ya cumplan con el RGPD será también necesario establecer procedimientos que permitan acreditar dicho cumplimiento.
