Datos HR y GDPR: algunas interpretaciones sobre el consentimiento

Está de moda. El nuevo Reglamento General de Protección de Datos, que entrará en vigor a nivel europeo el próximo 25 de mayo, está dando mucho que hablar. Ahora bien. ¿Sabemos qué es realmente? ¿A quién afecta? ¿Qué cambios implica? ¿Cómo afrontar el nuevo Reglamento desde el ámbito de los Recursos Humanos?

Nuestros compañeros de UK han resumido perfectamente lo qué es el GDPR en este completo post, que ya te aviso, está publicado en inglés. En todo caso, además del incremento de las sanciones administrativas que se fijan inicialmente en 2M€ o el 2% del volumen de negocio anual -cifra que podría multiplicarse por 2 en los casos más graves- lo cierto es que el nuevo Reglamento insiste en la creación de una cultura del compromiso en el entorno empresarial.

El nuevo GDPR regula los derechos de acceso, transparencia, información, portabilidad, rectificación, limitación del tratamiento, oposición y, derecho al olvido. En España, la actual LOPD recoge, bajo el acrónimo ARCO solo los derechos de acceso, rectificación, cancelación y oposición. O sea que, el nuevo GDPR será más completo, aunque, como decía, las sanciones administrativas pueden ser también mucho mayores.

Ahora bien. ¿Qué pasa en el ámbito concreto de los Recursos Humanos? El nuevo Reglamento General de Protección de Datos también implica importantes cambios, referidos, principalmente, al mayor nivel de consentimiento que se exige a los datos personales. Cambios que afectan a todos los trabajadores de la UE. Y también nuevos requisitos que se imponen a las empresas para gestionar y proteger la información que poseen de sus empleados, lo que necesitan documentar y el acceso que proporcionan a la misma. Sin duda alguna, el nuevo Reglamente exige una mayor responsabilidad. Pero, cuando hablamos de la recopilación y el procesamiento de los datos de los trabajadores, el Reglamento no es del todo claro y la interpretación de la norma puede ser muy peligrosa. Te cuento por qué.

Consentimiento: ¿por qué no confiar en él para el tratamiento de los datos de los trabajadores?

El nuevo GDPR dice que el consentimiento debe ser libre, específico, informado e inequívoco. Debe ser verificable, demostrado por una acción afirmativa clara y debe haber una forma sencilla que permita retirarlo.

A simple vista, estos requisitos parecen tan relevantes para la información referida a los empleados como para los datos recopilados en, prácticamente, cualquier otro tipo de relación. De hecho, como empleadores responsables, podríamos pensar que este nivel de transparencia y colaboración es un “plus” adicional y una base sobre la que construir el compromiso y la confianza de los empleados.

Sin embargo, en relación al consentimiento de los trabajadores para recopilar y gestionar sus datos personales, nuestra opinión es que:

• Está fuera de contexto de la legislación laboral general
• Será complejo de gestionar
• Será potencialmente problemático en el contexto de las obligaciones de la empresa para con sus empleados, así como para contribuir a que el negocio funcione eficazmente.
• En su mayor parte, no está exigido por la Ley.

Déjame explicarte.

En una relación empleado/empleador, hace tiempo que se ha aceptado legalmente que una de las partes, el empleador, juega ventaja.

Un empleado puede sentir que, al negarse a proporcionar la información solicitada por su empleador, pone en peligro su relación laboral. Esto significa que, en términos legales, sería discutible que el consentimiento se da libremente.

Luego, habría que hablar también de cómo se obtiene el consentimiento. Y aquí, las palabras específico, informado, inequívoco y verificable proporcionan la clave.

O sea que, incluir una frase de carácter general en el contrato de trabajo ya no es suficiente. Tampoco seleccionar por defecto una casilla de verificación. De hecho, llevar esto a su conclusión lógica podría implicar que, cada vez que le pidas a un empleado que complete o actualice o, incluso, compruebe su información, tendrías que explicar porqué lo haces, es decir, porqué recopilas la información, para qué se va a utilizar y, por supuesto, proporcionar la opción de negarse a dar el consentimiento.

Un empleado puede sentir que al negarse a aceptar la información solicitada por su empleador, pone en peligro su relación laboral.

Esto lleva a una cuestión clave. ¿Qué sucede si se retira el consentimiento?

Por ejemplo, si se solicita un consentimiento específico por escrito para procesar datos tales como necesidades de formación o evaluaciones del rendimiento, la organización debe estar dispuesta a prescindir de dicho tratamiento para los empleados que se nieguen a consentir o para aquellos que retiren su consentimiento después de haberlo dado, ya que, en caso contrario, podrían ser objeto de infracción legal.

Dicho de otra manera, pedir el consentimiento podría interpretarse como una admisión de que dicho procesamiento no sería legal sin él, y podría tener consecuencias desagradables.

Fundamento jurídico: como alternativa al consentimiento

En su lugar, los empleadores tienen la opción de basarse en intereses comerciales legítimos, o como se especifica en la normativa «otra base legal».  Esto incluye situaciones en las que:

• el proceso sea necesario para la ejecución de un contrato con el interesado o para tomar las medidas necesarias para la firma de un contrato. 6(1)(b)
• el tratamiento sea necesario para cumplir una obligación legal. 6(1)(c)
• el tratamiento sea necesario a los efectos de los intereses legítimos perseguidos por el responsable del procesamiento o un tercero, salvo que dichos intereses sean anulados por los intereses, derechos o libertades del interesado. 6(1)(f).

Ya te habrás dado cuenta de que, es relativamente sencillo ver que estas cláusulas cubren la mayor parte de las operaciones diarias de recursos humanos.

Entonces me surgen muchas dudas: ¿cómo se contrata o paga a los empleados a menos que se pueda recopilar información sobre el lugar donde viven, sus datos bancarios y su número de la Seguridad Social, los derechos de vacaciones, las horas contratadas y trabajadas, las bajas por enfermedad, etc?

¿Es posible cumplir con sus obligaciones legales sin datos sobre su contrato de trabajo, cuando se trasladan de casa, la caducidad de sus visados, las cualificaciones requeridas, sus incidentes de salud y seguridad, discapacidades, etc.?

¿Cuál sería el impacto para tu empresa si no se pudiera llevar un registro del rendimiento de los empleados, quejas y sanciones disciplinarias, elaborar planes de sucesión o gestionar cualquiera de las otras actividades relacionadas con los recursos humanos y que están diseñadas para garantizar la continuidad, el crecimiento y el éxito a largo plazo del negocio?

Consentimiento: cuando se necesite

Sin embargo, sí parece lógico requerir el consentimiento si el procesamiento de los datos va más allá de la operación legítima de recursos humanos.

Por ejemplo, si la empresa tiene la intención de utilizar los datos personales de los empleados para promover servicios de terceros, incluso cuando esto se hace en el contexto de ofrecer beneficios como descuentos negociados por la empresa para todos sus empleados o para mejorar el bienestar de los mismos.

Lo mismo ocurre con la recogida de datos sobre los empleados que no están estrictamente relacionados con el funcionamiento legítimo de los recursos humanos; por ejemplo, llevar un registro de quién tiene sobrepeso, aunque se haga de buena fe con la intención de ayudar al empleado, no sería lícito a menos que la organización tenga razones organizativas legítimas para supervisar o controlar el peso de sus trabajadores.

Para este tipo de tratamiento de datos, sería necesario el consentimiento, y tendría que ser específico, detallando claramente el tipo de datos y el uso que se hará de los mismos.

Conclusión: entonces, ¿qué debe hacer HR ahora?

Las condiciones que hacen lícito el tratamiento de los datos personales, incluso sin consentimiento, no han cambiado sustancialmente con respecto a la formulación contenida en la actual LOPD, vigente en España. EL nuevo GDPR no es más estricto en este aspecto. Lo que significa que, si no se cuenta con el consentimiento antes de la entrada en vigor del nuevo Reglamento en mayo, este seguirá siendo legal, aunque sí estará sujeto, por supuesto, a cualquier legislación adicional que se promulgue a nivel de país.

Esto no significa que, como empresario o profesional HR, se pueda ignorar el GDPR en el contexto de los datos de los empleados. Todavía queda mucho por hacer para garantizar el cumplimiento de la Ley (y evitar las fuertes sanciones que tanto gustan publicarse en titulares). La Agencia Española de Protección de Datos proporciona una serie de Guías que incluyen información interesante y altamente recomendable sobre el GDPR que incluye desde qué datos personales de los que se posee se deben documentar, hasta su procedencia, con quién se comparten, cómo garantizar la protección adecuada de los mismos, y muchas cosas más.

Para aquellas empresas y organizaciones que siguen confiando la gestión de sus Recursos Humanos en hojas de cálculo o documentos en papel -claramente difíciles de gestionar y de mantener seguros-, podría ser un buen momento para empezar a utilizar un sistema HR moderno y seguro como Cezanne HR.

El desarrollo de sistemas HR en cloud ha democratizado el uso de este tipo de aplicativos siendo asequibles para empresas de todos los tamaños.

Antes de terminar dos apuntes más. El primero, que el nuevo GDPR introduce una recomendación sobre mejores prácticas, instando a las organizaciones a que, en la medida de lo posible, proporcionen acceso remoto a un sistema de autoservicio seguro, que facilitaría al individuo el acceso directo a su información.

Y, el segundo, simplemente aclarar que este artículo se basa en la interpretación que nosotros hacemos del GDPR y que nunca debe utilizarse como consejo legal para determinar cómo aplicar este nuevo Reglamente en ninguna organización. En todo caso, se deberá acudir a la legislación vigente y, si existen dudas, solicitar la ayuda de un profesional cualificado en este aspecto para analizar y decidir cómo aplicar el GDPR específicamente en la propia organización y cuál es la mejor manera de garantizar su cumplimiento.