Desde el 25 de mayo de 2018 pasado, todas las empresas españolas tienen que cumplir con el Reglamento General de Protección de Datos (RGPD). Sin embargo, según la ‘Encuesta sobre el grado de preparación de las empresas españolas ante el RGPD’, elaborada por la Agencia Española de Protección de Datos (AEPD) y CEPYME, casi cuatro de cada diez pymes españolas (36,5%) no conocen el nuevo Reglamento General de Protección de Datos (RGPD), frente a un 63,5% de empresas que sí tiene conocimiento de esta normativa. Entre los diferentes departamentos de la empresa, los de Recursos Humanos forman parte de los más afectados por este nuevo reglamento, ya que recogen, tratan y archivan un volumen significativo de datos personales.
Recordemos que el RGPD obliga a cualquier organismo que gestione datos personales de ciudadanos de la Unión Europea a informar a la autoridad de control local, en un plazo de 72 horas, cualquier infracción que haya podido detectar. La multa para la empresa denunciada puede alcanzar los 20 millones de euros o el 4% de su facturación mundial (según la suma más importante de las dos), una medida particularmente coercitiva que apunta a proteger a los ciudadanos de la Unión Europea contra el robo o pirateo de datos y las suplantaciones de identidad potenciales.
Según el estudio Finding The Missing Link in GDPR Compliance (Encontrar el eslabón perdido en el cumplimiento del RGPD), existe una marcada diferencia en las actitudes demostradas en los diferentes países de la Unión Europea. Resulta haber un problema específico en España, donde el 76% de los ejecutivos encuestados dice que está preocupado en cuanto a la capacidad de su organización para cumplir con el RGPD. Todavía más alarmante, el 41% dice que está “muy preocupado” por el cumplimiento del RGPD. Los siguientes países que demuestran más preocupaciones son Italia, con el 43% de los ejecutivos expresando su ansiedad, y el Reino Unido (39%). Francia y Alemania parecen estar menos preocupados, con un 31% y 33% respectivamente que expresan su preocupación.
Obviamente, las sanciones van a acelerar el proceso de adecuación de las empresas y según el mismo estudio, el 51% de las empresas españolas prevé realizar cambios en sus sistemas de tratamiento de datos, el 19% contratar más personal y el 16% externalizar los servicios relacionados con el RGPD. Es imprescindible para las empresas cumplir con el RGPD. Aunque este objetivo ataña a toda la empresa, el departamento de recursos humanos (RRHH) se ve particularmente afectado debido al gran volumen y diversidad de datos personales que gestiona a lo largo de los diferentes procesos.
Un impacto que abarca todas las actividades de los RRHH
Debido al volumen de datos personales que gestiona durante todos sus procesos, la contribución del departamento de RRHH para el cumplimiento del RGPD es crucial. Por consiguiente, es imprescindible tener en cuenta el conjunto de sus actividades para implementar un plan de acción eficaz y protegerse contra cualquier riesgo de incumplimiento.
El departamento de RRHH que maneja muchos datos (reclutamiento, gestión administrativa, formación, evaluaciones, nóminas, informes) tiene que volver a estudiar en el marco del RGDP, sus métodos de gestión, securización y mantenimiento de los datos personales. Este esfuerzo tiene que referirse a todas las etapas del proceso, y también a la formación y sensibilización de los colaboradores involucrados. Los subcontratistas y proveedores de la empresa también están involucrados y tienen que demostrar que cumplen con el RGPD. Por todo ello, los departamentos de RRHH tienen que poder contar con soluciones de RRHH que cumplen con el RGPD y que garantizan un tratamiento de los datos conforme a lo dispuesto por la ley.
Para los rezagados: ¿Qué hacer para cumplir con RGPD?
Lo importante para evitar las multas es emprender las acciones necesarias para el cumplimiento con el fin de demostrar que la empresa ha iniciado acciones tangibles.
1. Nombrar a un Delegado de Protección de Datos (DPO)
Reclutar o nombrar a un DPO tal y como lo dicta el artículo 37 del RGPD. Este nuevo perfil tiene como objetivo dirigir el cumplimiento de la empresa y también es el primer interlocutor de la Agencia Española de Protección de Datos (AEPD), la empresa y los contratistas.
2. Realizar el inventario de los tratamientos de datos personales
- Identificar los datos personales, los datos sensibles y sus flujos.
- Hacer una lista de los tratamientos existentes y verificar su conformidad.
- Hacer una lista de las personas que tienen acceso a dichos datos e identificar la razón por la que tienen acceso a ellos.
- Hacer una lista de todos los tratamientos analizados en el registro de los tratamientos.
- Hacer una lista y controlar los subcontratistas y proveedores externos que trabajan con datos personales de la empresa y revisar los contratos de subcontratación.
- Verificar que el tratamiento que aplican los subcontratistas/proveedores, tanto en papel como digital, cumple con el RGPD (acceso, consentimiento informado y unívoco de la persona interesada y tiempo de conservación).
- Analizar las prácticas de archivo y tiempo de conservación de los datos personales de RRHH.
- Asegurarse de que las soluciones de RRHH y Sistema de Información de Recursos Humanos (SIRH) cumplen con el RGPD.
3. Poner en marcha un plan de acción correctivo
4. Informar a los colaboradores y recoger su consentimiento
Más allá de la obligación que parece representar, el RGPD puede contribuir a mejorar el rendimiento de la empresa, y también la confianza y el bienestar de los empleados, siempre y cuando se racionalicen las herramientas, los métodos y los procesos.
Desde hace unos años, la transformación digital ya ha alterado considerablemente las actividades del departamento de RRHH. El cumplimiento del RGPD acentúa dicha transformación al obligar a los tomadores de decisiones a optimizar los procesos y a prestar una atención específica a los sistemas de información de recursos humanos.
Gracias a estos nuevos retos, los departamentos de RRHH van a poder ser los motores de la internacionalización de su empresa, reforzar la calidad de su cooperación con sus proveedores y subcontratistas, y, gracias a una política clara de gestión de datos personales, cuidar su reputación y hacer que la empresa sea atractiva como empleador.
Firmado: Rick Hammel, CEO de Element Global Services