Parte de nuestra serie Compliance & Regulation
Leer la guía completaGestión de la privacidad de los datos de los empleados: equilibrar las necesidades de recursos humanos con los derechos de privacidad
Los datos de los empleados son la categoría más sensible de datos personales que procesan la mayoría de las empresas. Incluye información financiera (salario, detalles bancarios), identificadores gubernamentales (SSN, identificación fiscal), datos de salud (licencias por enfermedad, adaptaciones por discapacidad) y datos de comportamiento (revisiones de desempeño, registros disciplinarios). Sin embargo, los departamentos de recursos humanos recopilan y almacenan habitualmente muchos más datos de los empleados de los necesarios, a menudo con protecciones inadecuadas.
Esta guía cubre los requisitos legales, marcos prácticos e implementaciones técnicas para gestionar la privacidad de los datos de los empleados durante todo el ciclo de vida laboral.
Conclusiones clave
- El consentimiento rara vez es la base legal apropiada para el procesamiento de datos de los empleados --- el desequilibrio de poder hace que el consentimiento no sea libre
- El seguimiento de los empleados debe ser proporcionado, transparente y tener una base legal
- La transferencia transfronteriza de datos de empleados (por ejemplo, a la sede del grupo) requiere mecanismos de transferencia específicos
- La retención de datos de recursos humanos varía de 1 año (rechazos de contratación) a más de 30 años (registros de pensiones), según el tipo.
Bases Legales para el Tratamiento de Datos de Empleados
Bases legales del RGPD (artículo 6)
| Base Legal | Cuándo utilizar | Ejemplos |
|---|---|---|
| Ejecución del contrato (Art. 6(1)(b)) | Necesario para cumplir el contrato de trabajo | Procesamiento de salarios, cronograma de trabajo, administración de beneficios |
| Obligación jurídica (Art. 6(1)(c)) | Requerido por ley | Declaración de impuestos, contribuciones a la seguridad social, registros de seguridad en el lugar de trabajo |
| Interés legítimo (Art. 6(1)(f)) | Necesidad empresarial equilibrada con los derechos de los empleados | Monitoreo de seguridad TI, prevención de fraude, planificación organizacional |
| Consentimiento (Art. 6(1)(a)) | Actividades realmente opcionales | Foto directorio de empleados, eventos sociales, encuestas no obligatorias |
| Intereses vitales (Art. 6(1)(d)) | Situaciones que ponen en peligro la vida | Información médica de emergencia |
Importante: El consentimiento debe ser el último recurso para los datos de los empleados. El desequilibrio de poder entre empleador y empleado significa que el consentimiento no puede "darse libremente" como exige el RGPD. Utilice la ejecución del contrato o la obligación legal cuando sea posible.
Categorías especiales (Artículo 9)
Los datos de salud, datos biométricos, afiliación sindical y otras categorías especiales requieren una base jurídica adicional:
| Datos de categorías especiales | Base Legal | Escenario común de recursos humanos |
|---|---|---|
| Datos de salud | Obligación laboral o consentimiento explícito | Licencia por enfermedad, adaptaciones para discapacitados, salud ocupacional |
| Datos biométricos | Consentimiento explícito o interés público sustancial | Acceso por huella digital, asistencia por reconocimiento facial |
| Afiliación sindical | Derecho laboral, consentimiento explícito | Deducción de cuotas sindicales, negociación colectiva |
| Antecedentes penales | Obligación legal | Verificaciones de antecedentes (cuando esté permitido legalmente) |
| Creencia religiosa | Consentimiento explícito | Necesidades dietéticas, fiestas religiosas |
Datos de los empleados a lo largo del ciclo de vida
Reclutamiento
| Datos recopilados | Retención | Notas |
|---|---|---|
| CV / currículum | 6-12 meses después del rechazo | Una retención más corta es más segura |
| Notas de la entrevista | 6-12 meses después del rechazo | Mantenga sólo notas relevantes para el trabajo |
| Resultados de la verificación de referencias | 6 meses después de la decisión | Eliminar inmediatamente |
| Resultados de evaluación/pruebas | 6-12 meses después del rechazo | Informar a los candidatos de antemano |
| Verificación de antecedentes | 6 meses después de la decisión, o ninguna | Limitación estricta del propósito |
Los candidatos deben ser informados: Antes de la recopilación de datos, proporcione un aviso de privacidad que cubra qué datos se recopilan, por qué, durante cuánto tiempo se conservan y sus derechos. Los datos de los candidatos rechazados deben eliminarse en un plazo de 6 a 12 meses, a menos que el candidato dé su consentimiento para que se le mantenga en un grupo de talentos.
Incorporación
| Datos recopilados | Propósito | Base Legal |
|---|---|---|
| Nombre completo, dirección, fecha de nacimiento | Contrato de trabajo | Contrato |
| Identificación fiscal / SSN | Declaración de impuestos | Obligación legal |
| Datos bancarios | Pago de salario | Contrato |
| Contactos de emergencia | Seguridad en el trabajo | Interés legítimo |
| Foto (opcional) | Directorio de empleados | Consentimiento |
| Números de serie de los equipos | Seguimiento de activos | Interés legítimo |
| Documentos de elegibilidad laboral | Cumplimiento de inmigración | Obligación legal |
Durante el empleo
| Actividad de procesamiento | Base Legal | Se requiere transparencia |
|---|---|---|
| Procesamiento de nómina | Contrato | Estándar |
| Revisiones de desempeño | Interés legítimo | Alta (informar criterios) |
| Monitorización de sistemas informáticos | Interés legítimo | Alta (se requiere una política de seguimiento) |
| Monitoreo de correo electrónico | Interés legítimo (limitado) | Muy alto (se requiere una política específica) |
| CCTV | Interés legítimo | Alta (señalización + política) |
| Seguimiento GPS | Interés legítimo (si es proporcionado) | Muy alto |
| Horario y asistencia | Contrato + obligación legal | Estándar |
| Registros de formación | Contrato + interés legítimo | Estándar |
| Registros disciplinarios | Interés legítimo + obligación legal | Alto |
Offboarding
| Acción | Línea de tiempo | Notas |
|---|---|---|
| Revocar todo acceso al sistema | Día de salida | Lista de verificación de TI |
| Devolución de equipos de empresa | Día de salida | Recuperación de activos |
| Archivar registros de empleo | Día de salida | Pasar a acceso restringido |
| Eliminar datos no esenciales | 30 días | Fotos, archivos personales, preferencias dietéticas |
| Conservar los datos legalmente requeridos | Por cronograma de retención | Registros fiscales, pensiones, contratos laborales |
| Responder a solicitudes de referencia | En curso (datos limitados) | Fechas de empleo, puesto desempeñado |
Monitoreo de empleados
Marco de proporcionalidad
Cualquier seguimiento de los empleados debe pasar la prueba de proporcionalidad:
- Objetivo legítimo: ¿Cuál es el fin específico? (Seguridad, productividad, cumplimiento legal)
- Necesidad: ¿Es el seguimiento la forma menos intrusiva de lograr el objetivo?
- Proporcionalidad: ¿La necesidad empresarial supera el impacto en la privacidad?
- Transparencia: ¿Están los empleados claramente informados sobre lo que se monitorea?
Comparación de seguimiento por jurisdicción
| Tipo de monitoreo | UE (RGPD) | Estados Unidos | Reino Unido | Francia (CNIL) | Alemania |
|---|---|---|---|---|---|
| Monitoreo de contenido de correo electrónico | Restringido (solo proporcional) | Generalmente permitido (con previo aviso) | Restringido | Muy restringido (correos electrónicos privados protegidos) | Muy restringido (consentimiento del comité de empresa) |
| Monitoreo de navegación web | Permitido con aviso y propósito | Permitido (con previo aviso) | Permitido con previo aviso | Permitido únicamente para uso profesional | Restringido |
| CCTV en el lugar de trabajo | Permitido (no en áreas privadas) | Permitido (las leyes estatales varían) | Se aplican las directrices de la ICO | No en salas de descanso | Se requiere el consentimiento del comité de empresa |
| Seguimiento GPS de vehículos | Permitido únicamente durante el horario laboral | Generalmente permitido | Permitido durante el horario laboral | Solo horas de trabajo, empleado informado | Muy restringido |
| Registro de pulsaciones de teclas | Generalmente desproporcionado | Permitido (con previo aviso) | Generalmente desproporcionado | Desproporcionado | Desproporcionado |
| Grabación de pantalla | Restringido (por tiempo limitado, con un propósito específico) | Permitido (con previo aviso) | Restringido | Muy restringido | Muy restringido |
Transferencias transfronterizas de datos de empleados
Escenarios comunes
| Escenario | Mecanismo de transferencia requerido |
|---|---|
| Filial de la UE a la sede de EE. UU. (nómina) | Cláusulas Contractuales Tipo (SCC) + Evaluación de Impacto de la Transferencia |
| Filial del Reino Unido a matriz de la UE | Decisión de adecuación del Reino Unido (mutua) |
| UE a la India (soporte informático) | CCS + medidas complementarias |
| Sistema de recursos humanos multinacional (Odoo, Workday) | SCC con procesador de datos + DPA |
Implementación
Para empresas globales que utilizan un sistema de recursos humanos centralizado:
- Mapear flujos de datos: documente qué datos de empleados se mueven entre qué países
- Evaluar la adecuación: comprobar si el país receptor tiene una decisión de adecuación de la UE
- Implementar SCC: firmar cláusulas contractuales estándar entre el exportador y el importador de datos
- Evaluación del impacto de las transferencias: Evaluar si las leyes del país receptor socavan las protecciones de las CCE.
- Medidas complementarias: agregue cifrado, seudonimización o restricciones de acceso según sea necesario
Consulte nuestra guía de transferencia de datos transfronteriza para obtener orientación detallada sobre el mecanismo de transferencia.
Calendario de retención de datos de recursos humanos
| Tipo de datos | Período de retención | Base Legal |
|---|---|---|
| Contrato de trabajo | Duración + 6 años (prescripción) | Obligación legal |
| Registros de nómina | 7-10 años después del empleo (varía según el país) | Derecho tributario |
| Formularios de impuestos (W-2, P60) | 7 años (EE. UU.), 6 años (Reino Unido) | Derecho tributario |
| Registros de pensiones | Hasta 6 años después del último pago de la pensión | Obligación legal |
| Revisiones de desempeño | Duración del empleo + 2 años | Interés legítimo |
| Registros disciplinarios | Duración + 1-3 años (varía) | Interés legítimo |
| Registros de bajas por enfermedad | Duración + 3 años | Obligación legal |
| Registros de formación | Duración + 2-3 años | Interés legítimo |
| Datos de contratación (rechazados) | 6-12 meses | Consentimiento o interés legítimo |
| Imágenes de CCTV | 30 días (máximo 90 en la mayoría de las jurisdicciones) | Interés legítimo |
| Registros de acceso | 1-3 años | Seguridad + interés legítimo |
| Actas del comité de empresa | 10 años | Obligación legal |
Preguntas frecuentes
¿Podemos utilizar el consentimiento como base para procesar los datos de los empleados?
Sólo para actividades verdaderamente opcionales en las que el empleado tiene una verdadera libertad de elección sin consecuencias negativas por negarse. Ejemplos: suscripción opcional al boletín de la empresa, uso de una foto del empleado en el sitio web de la empresa, participación en encuestas no obligatorias para empleados. Para la nómina, la gestión del desempeño o cualquier procesamiento de datos esencial para la relación laboral, utilice en su lugar la ejecución del contrato o la obligación legal.
¿Podemos monitorear los correos electrónicos de los empleados?
En la mayoría de las jurisdicciones de la UE, puede monitorear las cuentas de correo electrónico comercial hasta cierto punto si: (1) los empleados están claramente informados sobre el monitoreo, (2) el monitoreo es proporcional a un objetivo legítimo, (3) el uso personal del correo electrónico comercial está prohibido (lo que hace que todos los correos electrónicos sean comerciales) o los correos electrónicos personales están excluidos del monitoreo, (4) el monitoreo es sistemático en lugar de estar dirigido a personas sin causa. Francia y Alemania son los más restrictivos.
¿Cómo manejamos los datos de los empleados en Odoo HR?
Los módulos de Recursos Humanos de Odoo recopilan una gran cantidad de datos de los empleados. Implementar: (1) grupos de acceso que restringen los datos de recursos humanos al personal autorizado, (2) control de acceso a nivel de campo para campos confidenciales (salario, SSN), (3) reglas de archivo automatizadas para datos de ex empleados, (4) funcionalidad de exportación de datos para solicitudes de interesados de los empleados, (5) registro de auditoría sobre cambios de campos confidenciales. ECOSIRE proporciona implementación de Odoo HR con controles de privacidad integrados.
¿Qué sucede si un empleado ejerce su derecho de cancelación?
El derecho de supresión (artículo 17 del RGPD) no anula las obligaciones legales de conservación. Puede rechazar la eliminación si la ley le exige conservar los datos (registros de impuestos, registros de pensiones). Debe eliminar los datos para los cuales no existe una base legal o legítima para su conservación (anteriores evaluaciones de desempeño de ex empleados más allá del período de retención, datos de reclutamiento de candidatos rechazados, fotografías de ex empleados en la intranet).
¿Qué viene después?
La privacidad de los datos de los empleados es un componente de su programa de gobernanza. Combínelo con políticas de retención de datos para la aplicación automatizada, implementación del RGPD DPO para la estructura de gobernanza y transferencias de datos transfronterizas para datos de la fuerza laboral internacional.
Comuníquese con ECOSIRE para obtener consultoría sobre privacidad de datos de RR.HH. e implementación de Odoo RR.HH. con controles de privacidad.
Publicado por ECOSIRE: ayuda a las empresas a proteger los datos de los empleados con respeto y cumplimiento.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
IA para recursos humanos y selección de personal: contratación más rápida y sin sesgos
Implemente IA en RR.HH. para la selección de currículums, la búsqueda de candidatos, la programación de entrevistas y el análisis de los empleados mientras mantiene la equidad y el cumplimiento.
Guía de implementación del consentimiento de cookies: gestión del consentimiento conforme a la ley
Implemente un consentimiento de cookies que cumpla con GDPR, ePrivacy, CCPA y regulaciones globales. Cubre banners de consentimiento, categorización de cookies e integración de CMP.
Regulaciones de transferencia de datos transfronteriza: navegando por los flujos de datos internacionales
Explore las regulaciones de transferencia de datos transfronterizas con SCC, decisiones de adecuación, BCR y evaluaciones de impacto de transferencia para el cumplimiento del RGPD, el Reino Unido y APAC.
Más de Compliance & Regulation
Lista de verificación de preparación para auditorías: cómo su ERP hace que las auditorías sean un 60 por ciento más rápidas
Lista de verificación completa de preparación de auditoría utilizando sistemas ERP. Reduzca el tiempo de auditoría en un 60 por ciento con documentación, controles y recopilación de evidencia automatizada adecuados.
Guía de implementación del consentimiento de cookies: gestión del consentimiento conforme a la ley
Implemente un consentimiento de cookies que cumpla con GDPR, ePrivacy, CCPA y regulaciones globales. Cubre banners de consentimiento, categorización de cookies e integración de CMP.
Regulaciones de transferencia de datos transfronteriza: navegando por los flujos de datos internacionales
Explore las regulaciones de transferencia de datos transfronterizas con SCC, decisiones de adecuación, BCR y evaluaciones de impacto de transferencia para el cumplimiento del RGPD, el Reino Unido y APAC.
Requisitos reglamentarios de ciberseguridad por región: un mapa de cumplimiento para empresas globales
Explore las regulaciones de ciberseguridad en EE. UU., la UE, el Reino Unido, APAC y Medio Oriente. Cubre NIS2, DORA, reglas SEC, requisitos de infraestructura crítica y cronogramas de cumplimiento.
Gobernanza y cumplimiento de datos: la guía completa para empresas de tecnología
Guía completa de gobernanza de datos que cubre marcos de cumplimiento, clasificación de datos, políticas de retención, regulaciones de privacidad y hojas de ruta de implementación para empresas de tecnología.
Políticas de retención de datos y automatización: conserve lo que necesita, elimine lo que deba
Cree políticas de retención de datos con requisitos legales, cronogramas de retención, aplicación automatizada y verificación del cumplimiento de GDPR, SOX e HIPAA.