Protección de datos

Cumplimiento del RGPD del departamento de RR.HH. – Pasos clave

Muchos procesos de recursos humanos recopilan y manejan datos personales de los empleados y, por lo tanto, se verán directamente afectados por el RGPD (consulte el informe técnico dedicado sobre el impacto del RGPD en las organizaciones y los servicios de recursos humanos). Los pasos clave a continuación le permitirán comprender mejor el cumplimiento de su departamento de recursos humanos.

1. Habla con tu responsable de Protección de Datos

Para impulsar el cumplimiento de GDPR, su empresa probablemente haya designado un Oficial de Protección de Datos, OPD.
El OPD interviene en todas las áreas de la empresa, incluido RR.HH. Es importante que hables con él sobre tus herramientas, tus procesos, los datos que guardas. Como experto en protección de datos, está para informarle y asesorarle sobre el contenido de la normativa y sobre las actuaciones a realizar. Será el enlace entre tu y la autoridad de control. Esta colaboración será sostenible en el tiempo porque también te mantendrá informado del contenido de las nuevas obligaciones.

EL OPD

Una de las principales medidas del RGPD es la designación de un OPD. Este nombramiento se detalla en los artículos 37 a 39 del reglamento.

El responsable de Protección de Datos es el verdadero conductor del RGPD. Su función es asesorar, informar y apoyar a los responsables del tratamiento, subcontratistas y empleados.

El OPD es el garante de la coordinación de los distintos actores (internos o externos) que intervienen en el proceso de cumplimiento del RGPD y su respeto a lo largo del tiempo.

En términos concretos, el OPD debe:

  • Participar en las diferentes etapas de cumplimiento
  • Crear y actualizar el inventario de procesamiento
  • Definir acciones de concientización sobre la seguridad de los datos
  • Asistir/asesorar a los tomadores de decisiones
  • Manténgase informado de nuevas obligaciones
  • Ser el punto de contacto para las autoridades de control

Ten en cuenta que el OPD no es responsable del cumplimiento del RGPD, esta responsabilidad recae en el controlador.

2. Mapea el procesamiento de tus datos personales

Nadie conoce mejor que tú el tratamiento de los datos personales de sus empleados. Por lo tanto, deberás participar activamente en el mapeo de estos tratamientos.

El objetivo es identificar:

  • Los diferentes procesos que incluyen datos personales
  • La finalidad de este tratamiento
  • Los actores (internos o externos) involucrados en este procesamiento
  • Flujos de procesamiento (en caso de transferencia de datos fuera de la UE)

Para cada tratamiento, pregúntese:

  • ¿Quién? (Quién es el controlador de datos, quiénes son los subcontratistas)
  • ¿Qué? (Qué categoría de datos)
  • ¿Por qué? (Finalidad del procesamiento)
  • ¿Dónde? (Alojamiento / país)
  • ¿Hasta cuándo? (Tiempo de retención de datos)
  • ¿Cómo? (Seguridad implementada)

3. Comprobar la capacidad de respuesta a las denuncias y tramitación

Recursos humanos debe tramitar (dentro del plazo legal) las solicitudes y reclamaciones de los empleados relacionadas con el ejercicio de sus derechos (derecho al olvido, retirada del consentimiento, derecho de rectificación, etc.). Por lo tanto, debe asegurarse de que los distintos actores identifiquen y dominen los procesos de recursos humanos para responder a ellos.

El plazo legal

Artículo 12.3. El responsable del tratamiento facilitará al interesado información sobre las medidas adoptadas a raíz de una solicitud presentada de conformidad con los artículos 15 a 22, tan pronto como sea posible y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. En caso necesario, este plazo podrá prorrogarse dos meses, teniendo en cuenta la complejidad y el número de solicitudes. El responsable del tratamiento informa al interesado de esta prórroga y de los motivos del aplazamiento en el plazo de un mes desde la recepción de la solicitud. Cuando el interesado presente la solicitud en formato electrónico, la información se proporcionará electrónicamente cuando sea posible, a menos que el interesado solicite lo contrario.

Artículo 12.4. Si el responsable del tratamiento no atiende a la solicitud formulada por el interesado, deberá informar a este último sin demora y, a más tardar, dentro del mes siguiente a la recepción de la solicitud, de los motivos de su inacción y de la posibilidad de presentar una reclamación ante un supervisor. autoridad y de presentar un recurso judicial.

4. Priorizar las acciones de cumplimiento del RGPD

Tras los pasos de mapeo y análisis de la situación existente, en colaboración con tu OPD, deberás identificar las acciones à realizar de forma prioritaria para cumplir con la directiva. La prioridad de las acciones debe definirse de acuerdo con los riesgos e impactos del procesamiento sobre la libertad y los derechos de sus empleados. El uso de una matriz de riesgo le permitirá resaltar los lotes a tratar.

Matriz de ejemplo:

https://adequasys.com/wp-content/uploads/2017/09/Matrice-dévaluation-des-risques-GDPR-RH.png

Una vez que su departamento de recursos humanos y los procesos de recursos humanos cumplan con el RGPD, deberá asegurarse de que todo se mantenga a diario (lea el artículo dedicado «El RGPD a diario en los servicios y procesos de recursos humanos»).