Reglamento de Protección de Datos
El próximo día 25 de mayo entrará en vigor el Reglamento General de Protección de Datos (RGPD), implicando significativos cambios en los procesos y políticas utilizados por las empresas para la recogida y tratamiento de datos de carácter personal, tanto de sus clientes como de sus propios trabajadores.
Como consecuencia de ello, un gran número de entidades se encuentran inmersas en un proceso de adaptación de sus procesos a un nuevo marco normativo que plantea numerosas incógnitas y que, puede dar lugar a errores en el diseño de las nuevas políticas y procedimientos en el tratamiento de datos de carácter personal. La preocupación es elevada y no es para menos ya que el RGPD no olvida incluir un régimen sancionador en el que en el peor de los casos las multas pueden llegar incluso hasta los 20 millones de euros.
En cuanto a las previsiones que las empresas deberán tomar para con sus empleados, se encuentra la posible obligación de tener que nombrar un Delegado de Protección de Datos, ya sea un empleado o un consultor externo que se responsabilice del cumplimiento de los procesos de recogida y tratamiento de los datos personales de los trabajadores y los clientes de la empresa, o la formación en materia de protección de datos que todos los trabajadores deben recibir antes del 25 de mayo y que implica entre otros, la obligatoriedad de conocer todas las novedades. Como puede apreciarse, se trata de una labor para la empresa que supondrá un coste significativo en muchos casos, pues dependerá de la actividad a la que se dedique la empresa y el número de trabajadores que conforme su plantilla.
Por tanto todos los departamentos de la empresa y sus trabajadores, dependiendo del grado de exposición a la privacidad se verán afectados por el RGPD. Concretamente estarán especialmente afectados los departamentos de Recursos Humanos de las empresas que realizan como es natural, tratamiento de datos personales con habitualidad de sus trabajadores, lo que conllevará un gran impacto en los procesos de las organizaciones, asumiendo estos departamentos una carga de trabajo más especializada con la necesidad de contar con expertos en protección de datos.
A modo de ejemplo y sin intención de profundizar en los pormenores del reglamento, los ámbitos en los que los departamentos de Recursos Humanos deben tener especial celo en el cumplimiento del RGPD son:
- Tratamiento de datos biométricos: Nos referimos al registro de huella dactilar, firma digital, imágenes faciales y otros identificadores únicos que cada vez están más extendidos como forma de control de accesos a sistemas de la empresa o de control de la asistencia al trabajo, están considerados como datos especialmente sensibles.
- Videovigilancia y control de los emails de los trabajadores: El reglamento indica que el empleador tiene derecho a controlar al empleado, aunque siempre manteniendo los principios de proporcionalidad, idoneidad e información. Es muy importante cumplir con lo dispuesto en el reglamento en cuanto a esta forma de control a la vista de la jurisprudencia que viene analizando la procedencia de estas actuaciones.
- Fotos en la web: La imagen del trabajador es indudablemente un dato de carácter personal. Así, que la captación de fotos o la publicación de imágenes en la web corporativa de miembros de la empresa requerirá un consentimiento expreso porque tienen una función de promoción y calidad del servicio.
- Gestión, capacitación y evaluación del desempeño: Los departamentos de Recursos Humanos trabajan constantemente con datos de los trabajadores de la empresa, datos que incluyen la gestión de nóminas, pero también otros especialmente sensibles sobre su capacitación laboral en cuanto a la vigilancia de la salud en el cumplimiento de la normativa de Prevención de Riesgos Laborales o la publicación y comunicación de sus evaluaciones del desempeño en sus puestos de trabajo.
¿Qué opinas de este nuevo Reglamento General de Protección de Datos? ¿Está tu empresa o departamento tomando las medidas oportunas para llegar a la línea de meta del 25 de mayo cumpliendo los nuevos requisitos en cuanto a protección de datos?