Parte de nuestra serie Compliance & Regulation
Leer la guía completaGestión de la privacidad de los datos de los empleados: equilibrar las necesidades de recursos humanos con los derechos de privacidad
Los datos de los empleados son la categoría más sensible de datos personales que procesan la mayoría de las empresas. Incluye información financiera (salario, detalles bancarios), identificadores gubernamentales (SSN, identificación fiscal), datos de salud (licencias por enfermedad, adaptaciones por discapacidad) y datos de comportamiento (revisiones de desempeño, registros disciplinarios). Sin embargo, los departamentos de recursos humanos recopilan y almacenan habitualmente muchos más datos de los empleados de los necesarios, a menudo con protecciones inadecuadas.
Esta guía cubre los requisitos legales, marcos prácticos e implementaciones técnicas para gestionar la privacidad de los datos de los empleados durante todo el ciclo de vida laboral.
Conclusiones clave
- El consentimiento rara vez es la base legal apropiada para el procesamiento de datos de los empleados --- el desequilibrio de poder hace que el consentimiento no sea libre
- El seguimiento de los empleados debe ser proporcionado, transparente y tener una base legal
- La transferencia transfronteriza de datos de empleados (por ejemplo, a la sede del grupo) requiere mecanismos de transferencia específicos
- La retención de datos de recursos humanos varía de 1 año (rechazos de contratación) a más de 30 años (registros de pensiones), según el tipo.
Bases Legales para el Tratamiento de Datos de Empleados
Bases legales del RGPD (artículo 6)
| Base Legal | Cuándo utilizar | Ejemplos |
|---|---|---|
| Ejecución del contrato (Art. 6(1)(b)) | Necesario para cumplir el contrato de trabajo | Procesamiento de salarios, cronograma de trabajo, administración de beneficios |
| Obligación jurídica (Art. 6(1)(c)) | Requerido por ley | Declaración de impuestos, contribuciones a la seguridad social, registros de seguridad en el lugar de trabajo |
| Interés legítimo (Art. 6(1)(f)) | Necesidad empresarial equilibrada con los derechos de los empleados | Monitoreo de seguridad TI, prevención de fraude, planificación organizacional |
| Consentimiento (Art. 6(1)(a)) | Actividades realmente opcionales | Foto directorio de empleados, eventos sociales, encuestas no obligatorias |
| Intereses vitales (Art. 6(1)(d)) | Situaciones que ponen en peligro la vida | Información médica de emergencia |
Importante: El consentimiento debe ser el último recurso para los datos de los empleados. El desequilibrio de poder entre empleador y empleado significa que el consentimiento no puede "darse libremente" como exige el RGPD. Utilice la ejecución del contrato o la obligación legal cuando sea posible.
Categorías especiales (Artículo 9)
Los datos de salud, datos biométricos, afiliación sindical y otras categorías especiales requieren una base jurídica adicional:
| Datos de categorías especiales | Base Legal | Escenario común de recursos humanos |
|---|---|---|
| Datos de salud | Obligación laboral o consentimiento explícito | Licencia por enfermedad, adaptaciones para discapacitados, salud ocupacional |
| Datos biométricos | Consentimiento explícito o interés público sustancial | Acceso por huella digital, asistencia por reconocimiento facial |
| Afiliación sindical | Derecho laboral, consentimiento explícito | Deducción de cuotas sindicales, negociación colectiva |
| Antecedentes penales | Obligación legal | Verificaciones de antecedentes (cuando esté permitido legalmente) |
| Creencia religiosa | Consentimiento explícito | Necesidades dietéticas, fiestas religiosas |
Datos de los empleados a lo largo del ciclo de vida
Reclutamiento
| Datos recopilados | Retención | Notas |
|---|---|---|
| CV / currículum | 6-12 meses después del rechazo | Una retención más corta es más segura |
| Notas de la entrevista | 6-12 meses después del rechazo | Mantenga sólo notas relevantes para el trabajo |
| Resultados de la verificación de referencias | 6 meses después de la decisión | Eliminar inmediatamente |
| Resultados de evaluación/pruebas | 6-12 meses después del rechazo | Informar a los candidatos de antemano |
| Verificación de antecedentes | 6 meses después de la decisión, o ninguna | Limitación estricta del propósito |
Los candidatos deben ser informados: Antes de la recopilación de datos, proporcione un aviso de privacidad que cubra qué datos se recopilan, por qué, durante cuánto tiempo se conservan y sus derechos. Los datos de los candidatos rechazados deben eliminarse en un plazo de 6 a 12 meses, a menos que el candidato dé su consentimiento para que se le mantenga en un grupo de talentos.
Incorporación
| Datos recopilados | Propósito | Base Legal |
|---|---|---|
| Nombre completo, dirección, fecha de nacimiento | Contrato de trabajo | Contrato |
| Identificación fiscal / SSN | Declaración de impuestos | Obligación legal |
| Datos bancarios | Pago de salario | Contrato |
| Contactos de emergencia | Seguridad en el trabajo | Interés legítimo |
| Foto (opcional) | Directorio de empleados | Consentimiento |
| Números de serie de los equipos | Seguimiento de activos | Interés legítimo |
| Documentos de elegibilidad laboral | Cumplimiento de inmigración | Obligación legal |
Durante el empleo
| Actividad de procesamiento | Base Legal | Se requiere transparencia |
|---|---|---|
| Procesamiento de nómina | Contrato | Estándar |
| Revisiones de desempeño | Interés legítimo | Alta (informar criterios) |
| Monitorización de sistemas informáticos | Interés legítimo | Alta (se requiere una política de seguimiento) |
| Monitoreo de correo electrónico | Interés legítimo (limitado) | Muy alto (se requiere una política específica) |
| CCTV | Interés legítimo | Alta (señalización + política) |
| Seguimiento GPS | Interés legítimo (si es proporcionado) | Muy alto |
| Horario y asistencia | Contrato + obligación legal | Estándar |
| Registros de formación | Contrato + interés legítimo | Estándar |
| Registros disciplinarios | Interés legítimo + obligación legal | Alto |
Offboarding
| Acción | Línea de tiempo | Notas |
|---|---|---|
| Revocar todo acceso al sistema | Día de salida | Lista de verificación de TI |
| Devolución de equipos de empresa | Día de salida | Recuperación de activos |
| Archivar registros de empleo | Día de salida | Pasar a acceso restringido |
| Eliminar datos no esenciales | 30 días | Fotos, archivos personales, preferencias dietéticas |
| Conservar los datos legalmente requeridos | Por cronograma de retención | Registros fiscales, pensiones, contratos laborales |
| Responder a solicitudes de referencia | En curso (datos limitados) | Fechas de empleo, puesto desempeñado |
Monitoreo de empleados
Marco de proporcionalidad
Cualquier seguimiento de los empleados debe pasar la prueba de proporcionalidad:
- Objetivo legítimo: ¿Cuál es el fin específico? (Seguridad, productividad, cumplimiento legal)
- Necesidad: ¿Es el seguimiento la forma menos intrusiva de lograr el objetivo?
- Proporcionalidad: ¿La necesidad empresarial supera el impacto en la privacidad?
- Transparencia: ¿Están los empleados claramente informados sobre lo que se monitorea?
Comparación de seguimiento por jurisdicción
| Tipo de monitoreo | UE (RGPD) | Estados Unidos | Reino Unido | Francia (CNIL) | Alemania |
|---|---|---|---|---|---|
| Monitoreo de contenido de correo electrónico | Restringido (solo proporcional) | Generalmente permitido (con previo aviso) | Restringido | Muy restringido (correos electrónicos privados protegidos) | Muy restringido (consentimiento del comité de empresa) |
| Monitoreo de navegación web | Permitido con aviso y propósito | Permitido (con previo aviso) | Permitido con previo aviso | Permitido únicamente para uso profesional | Restringido |
| CCTV en el lugar de trabajo | Permitido (no en áreas privadas) | Permitido (las leyes estatales varían) | Se aplican las directrices de la ICO | No en salas de descanso | Se requiere el consentimiento del comité de empresa |
| Seguimiento GPS de vehículos | Permitido únicamente durante el horario laboral | Generalmente permitido | Permitido durante el horario laboral | Solo horas de trabajo, empleado informado | Muy restringido |
| Registro de pulsaciones de teclas | Generalmente desproporcionado | Permitido (con previo aviso) | Generalmente desproporcionado | Desproporcionado | Desproporcionado |
| Grabación de pantalla | Restringido (por tiempo limitado, con un propósito específico) | Permitido (con previo aviso) | Restringido | Muy restringido | Muy restringido |
Transferencias transfronterizas de datos de empleados
Escenarios comunes
| Escenario | Mecanismo de transferencia requerido |
|---|---|
| Filial de la UE a la sede de EE. UU. (nómina) | Cláusulas Contractuales Tipo (SCC) + Evaluación de Impacto de la Transferencia |
| Filial del Reino Unido a matriz de la UE | Decisión de adecuación del Reino Unido (mutua) |
| UE a la India (soporte informático) | CCS + medidas complementarias |
| Sistema de recursos humanos multinacional (Odoo, Workday) | SCC con procesador de datos + DPA |
Implementación
Para empresas globales que utilizan un sistema de recursos humanos centralizado:
- Mapear flujos de datos: documente qué datos de empleados se mueven entre qué países
- Evaluar la adecuación: comprobar si el país receptor tiene una decisión de adecuación de la UE
- Implementar SCC: firmar cláusulas contractuales estándar entre el exportador y el importador de datos
- Evaluación del impacto de las transferencias: Evaluar si las leyes del país receptor socavan las protecciones de las CCE.
- Medidas complementarias: agregue cifrado, seudonimización o restricciones de acceso según sea necesario
Consulte nuestra guía de transferencia de datos transfronteriza para obtener orientación detallada sobre el mecanismo de transferencia.
Calendario de retención de datos de recursos humanos
| Tipo de datos | Período de retención | Base Legal |
|---|---|---|
| Contrato de trabajo | Duración + 6 años (prescripción) | Obligación legal |
| Registros de nómina | 7-10 años después del empleo (varía según el país) | Derecho tributario |
| Formularios de impuestos (W-2, P60) | 7 años (EE. UU.), 6 años (Reino Unido) | Derecho tributario |
| Registros de pensiones | Hasta 6 años después del último pago de la pensión | Obligación legal |
| Revisiones de desempeño | Duración del empleo + 2 años | Interés legítimo |
| Registros disciplinarios | Duración + 1-3 años (varía) | Interés legítimo |
| Registros de bajas por enfermedad | Duración + 3 años | Obligación legal |
| Registros de formación | Duración + 2-3 años | Interés legítimo |
| Datos de contratación (rechazados) | 6-12 meses | Consentimiento o interés legítimo |
| Imágenes de CCTV | 30 días (máximo 90 en la mayoría de las jurisdicciones) | Interés legítimo |
| Registros de acceso | 1-3 años | Seguridad + interés legítimo |
| Actas del comité de empresa | 10 años | Obligación legal |
Preguntas frecuentes
¿Podemos utilizar el consentimiento como base para procesar los datos de los empleados?
Sólo para actividades verdaderamente opcionales en las que el empleado tiene una verdadera libertad de elección sin consecuencias negativas por negarse. Ejemplos: suscripción opcional al boletín de la empresa, uso de una foto del empleado en el sitio web de la empresa, participación en encuestas no obligatorias para empleados. Para la nómina, la gestión del desempeño o cualquier procesamiento de datos esencial para la relación laboral, utilice en su lugar la ejecución del contrato o la obligación legal.
¿Podemos monitorear los correos electrónicos de los empleados?
En la mayoría de las jurisdicciones de la UE, puede monitorear las cuentas de correo electrónico comercial hasta cierto punto si: (1) los empleados están claramente informados sobre el monitoreo, (2) el monitoreo es proporcional a un objetivo legítimo, (3) el uso personal del correo electrónico comercial está prohibido (lo que hace que todos los correos electrónicos sean comerciales) o los correos electrónicos personales están excluidos del monitoreo, (4) el monitoreo es sistemático en lugar de estar dirigido a personas sin causa. Francia y Alemania son los más restrictivos.
¿Cómo manejamos los datos de los empleados en Odoo HR?
Los módulos de Recursos Humanos de Odoo recopilan una gran cantidad de datos de los empleados. Implementar: (1) grupos de acceso que restringen los datos de recursos humanos al personal autorizado, (2) control de acceso a nivel de campo para campos confidenciales (salario, SSN), (3) reglas de archivo automatizadas para datos de ex empleados, (4) funcionalidad de exportación de datos para solicitudes de interesados de los empleados, (5) registro de auditoría sobre cambios de campos confidenciales. ECOSIRE proporciona implementación de Odoo HR con controles de privacidad integrados.
¿Qué sucede si un empleado ejerce su derecho de cancelación?
El derecho de supresión (artículo 17 del RGPD) no anula las obligaciones legales de conservación. Puede rechazar la eliminación si la ley le exige conservar los datos (registros de impuestos, registros de pensiones). Debe eliminar los datos para los cuales no existe una base legal o legítima para su conservación (anteriores evaluaciones de desempeño de ex empleados más allá del período de retención, datos de reclutamiento de candidatos rechazados, fotografías de ex empleados en la intranet).
¿Qué viene después?
La privacidad de los datos de los empleados es un componente de su programa de gobernanza. Combínelo con políticas de retención de datos para la aplicación automatizada, implementación del RGPD DPO para la estructura de gobernanza y transferencias de datos transfronterizas para datos de la fuerza laboral internacional.
Comuníquese con ECOSIRE para obtener consultoría sobre privacidad de datos de RR.HH. e implementación de Odoo RR.HH. con controles de privacidad.
Publicado por ECOSIRE: ayuda a las empresas a proteger los datos de los empleados con respeto y cumplimiento.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Haga crecer su negocio con ECOSIRE
Soluciones empresariales en ERP, comercio electrónico, inteligencia artificial, análisis y automatización.
Artículos relacionados
Procesamiento de nómina: configuración, cumplimiento y automatización
Guía completa de procesamiento de nómina que cubre la clasificación de empleados, retenciones federales y estatales, impuestos sobre la nómina, embargos, plataformas de automatización y cumplimiento del formulario W-2 de fin de año.
Cumplimiento LGPD de Brasil: Protección de datos para operaciones en América Latina
Guía completa de la ley de protección de datos LGPD de Brasil que cubre las bases legales, los derechos de los interesados, la aplicación de la ANPD, los requisitos de DPO y las reglas de transferencia transfronteriza.
Práctica Jurídica Implementación de ERP: Gestión de Asuntos y Cumplimiento
Guía de implementación de ERP legal paso a paso que cubre la configuración de gestión de asuntos, configuración de contabilidad fiduciaria, facturación LEDES, verificación de conflictos y capacitación de abogados.
Más de Compliance & Regulation
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Informes de sostenibilidad y ESG con ERP: Guía de cumplimiento 2026
Navegue por el cumplimiento de informes ESG en 2026 con sistemas ERP. Cubre CSRD, GRI, SASB, emisiones de alcance 1/2/3, seguimiento de carbono y sostenibilidad de Odoo.
Lista de verificación de preparación para la auditoría: Cómo preparar sus libros
Lista de verificación completa para la preparación de auditorías que cubre la preparación de los estados financieros, la documentación de respaldo, la documentación de controles internos, las listas de PBC de los auditores y los hallazgos comunes de las auditorías.
Guía australiana del GST para empresas de comercio electrónico
Guía completa del GST australiano para empresas de comercio electrónico que cubre el registro ATO, el umbral de $75 000, las importaciones de bajo valor, la presentación de BAS y el GST para servicios digitales.