Hace ya meses que empezó la cuenta atrás para la aplicación obligatoria del nuevo Reglamento General de Protección de Datos de la UE (RGPD) y todas las empresas deben trabajar para llegar al 25 de mayo en perfecto estado de revista. En dicha fecha, no entra en vigor, como erróneamente alguno piensa, el mencionado RGPD, que lo hizo hace casi dos años, sino que finaliza el plazo transitorio concedido por el legislador europeo para que los sujetos obligados se adapten al RGPD, siendo desde entonces de obligado cumplimiento.

Como ya comentamos en nuestras sesiones informativas celebradas en Garrigues los días 19 y 22 de marzo en Barcelona y Madrid respectivamente, si algún área en la empresa se ve particularmente afectada por esta nueva normativa es la de recursos humanos (RRHH).

Efectivamente, el RGPD impactará de manera muy especial a nivel laboral y de RRHH en las empresas, ya que éstas deberán, entre otras muchas cosas, adecuar todos sus procesos internos para tratar y almacenar los datos de los empleados; identificar todos aquellos procesos que afecten a datos de empleados y candidatos; sistematizar el lanzamiento de nuevos proyectos que afecten a datos de los mismos; regular el reporting y la asistencia a la figura del delegado de protección de datos (DPO, por sus siglas en inglés) o tener previstas actuaciones específicas en caso de vulneración de seguridad de los ficheros de RRHH.

En todo este proceso de adaptación y cumplimiento del RGPD se tendrán que tener en cuenta los derechos de información y consulta de la representación legal de los trabajadores, teniendo que acudir los que a este respecto les confiere el artículo 64 del Estatuto de los Trabajadores, así como los convenios colectivos de aplicación, a los que un Considerando específico del RGPD (el 155), les confiere un papel activo en la materia estableciendo la posibilidad de fijar normas específicas sobre tratamiento de datos personales de trabajadores.

Para realizar los análisis referidos es esencial conocer: que es lícito todo tratamiento de datos que sea necesario para la ejecución de un contrato en el que el interesado es parte; que el consentimiento, para ser válido, debe de ser una declaración o clara acción afirmativa del interesado; que se tiene que informar fehacientemente a los interesados (trabajadores) sobre las particularidades del tratamiento de sus datos; que para el uso y tratamiento de datos biométricos (huella dactilar, firma digital biométrica, imágenes faciales, etc.), dichos datos están especialmente protegidos y, por lo tanto, requieren de un tratamiento particular y, por último, también resulta esencial saber y conocer el tiempo en que se pueden conservar los datos de los empleados.

Por otro lado, el RGPD agrava sustancialmente el régimen sancionador, estableciendo multas por importes muy elevados (se prevén sanciones de hasta 20 millones de euros o del 4% del volumen de negocio total anual) en caso de incumplimiento, lo que se convierte en un acicate necesario para el inmediato cumplimiento de todo lo comentado.

En definitiva, a casi un mes del cumplimiento obligatorio del RGPD resulta esencial ser conscientes de las novedades que su aplicación supone para la empresa y, en particular, en materia laboral y de RRHH, cumpliendo con todas las obligaciones impuestas y revisando y actualizando todos los procedimientos internos de tratamiento de datos.

El más vale prevenir que curar en este caso cobra especial vigencia ya que la “cura” por incumplimiento de las normas fijadas por el RGPD será especialmente dolorosa.