El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos y representará el mayor cambio de una ley de protección de datos en tres décadas. Por un lado, actualiza la ley anterior, previa a la emergencia de Facebook, LinkedIn y la nube, y por otro unifica la legislación de protección de datos a través de los 28 estados miembros. Asimismo incrementa los requisitos de seguridad y de aquellas otras actividades ligadas al tratamiento de datos personales susceptibles de conllevar riesgo. Es importante destacar que el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) es un reglamento, no una directiva, lo que significa que aplica de igual manera a los 28 estados miembros sin necesidad de transformarse en una ley a nivel nacional. La directiva de protección de datos existente se aprobó en 1995 y no es adecuada para la protección de los datos personales de los individuos en un mundo en que el almacenamiento e intercambio online de información de carácter personal es cosa habitual. El GDPR representa, por tanto, un gran paso adelante en la homogeneización y modernización de la ley de protección de datos en Europa.
La definición de datos de carácter personal es muy amplia: incluye toda aquella información que
puede o podría permitir la identificación directa o indirecta de un individuo. Esto incluye los
identificadores obvios como nombre o número de identificación, pero también los datos de
ubicación o dirección IP, así como la información biométrica o genética. Es importante destacar
que entre los datos de carácter personal figuran tanto los de los empleados de una empresa
como los de sus clientes.
El GPDR otorga idénticos derechos a los datos de los empleados que a los de los clientes. Esto significa que se incrementan las obligaciones de la compañía con respecto a la protección de sus datos de RR.HH., que se refuerzan los derechos de acceso, rectificación y anulación de los datos por parte de los empleados, y que las consecuencias del no cumplimiento son graves. Sin embargo, los departamentos de RR.HH. no están solo limitados por el entorno relacionado con el GDPR y la privacidad de los datos. El número de reglamentos que han de cumplir, propios de cada país es un desafío en sí mismo.
Las organizaciones piden cada vez más a sus departamentos de RR.HH. que sean proactivos y se involucren en toda clase de “riesgos relacionados con las personas”. Dichos riesgos son aún más complejos para las organizaciones que trabajan en diferentes jurisdicciones, con filiales o matrices en diferentes ubicaciones. Lo importante aquí es entender que el cumplimiento en el ámbito de RR.HH. se debe ver como una función general de gestión del riesgo que también potencia la agenda de recursos humanos.
Auditorías en servicios cloud
Los servicios cloud constituyen en esencia una forma de externalización. Como para cualquier actividad de externalización, se debe proceder con la auditoría del proveedor. Los tratamientos de RR.HH. basados en la nube deben por tanto someterse al mismo nivel contractual de auditoría. Sin embargo, la nube es diferente en términos de la multiplicidad de factores involucrados. Las empresas han de abordar la auditoría de manera práctica mediante diversas preguntas sobre el nivel de seguridad y los procesos de protección de datos existentes, y mediante el análisis de informes de auditoría, incluyendo los informes independientes de terceros, posiblemente facilitados por el proveedor de servicios cloud.
Resulta crítico, por ejemplo, entender la seguridad física del centro de datos en que se alojan los datos de carácter personal. Las normas corporativas vinculantes están emergiendo como la forma más sólida de garantía jurídica para abordar las transferencias de datos. No existe por tanto ningún impedimento legal ni técnico para el almacenamiento de datos de recursos humanos en la nube. Algunas empresas pueden optar por una configuración con un centro de datos ubicado en la UE con certificaciones probadas de seguridad física y seguridad lógica. Además, el acceso a los datos de la UE se debe producir únicamente desde el interior de la UE: el acceso desde el exterior constituiría una transferencia de datos (efectuado por datos en tránsito) y disminuiría la eficacia de los centros de datos de la UE.
Los proveedores de tecnología y su papel en la transformación y el
cumplimiento normativo de RRHH
Se dice a menudo que las empresas pueden externalizar el tratamiento, pero jamás la responsabilidad. En lo que se refiere al GDPR esto sigue siendo válido pero la ampliación de la responsabilidad para incluir a los responsables del tratamiento implica que al menos parte de la responsabilidad del cumplimiento se pueda trasladar a un tercero, proveedor de tratamiento de datos. Pero el principal requisito para el responsable del tratamiento de los datos es que sea capaz de implementar las medidas, tanto a nivel técnico como a nivel organizativo, acordadas con un controlador. También se enfrenta a las mismas sanciones por incumplimiento. Esto plantea la siguiente pregunta: ¿cómo puede saber un controlador que el responsable del tratamiento es capaz de cumplir este requisito?
Los líderes de RR.HH. se enfrentan al desafío de los enfoques tradicionales relativos al tratamiento de los datos de los empleados. Este puede variar de manera significativa entre la central y las filiales, por una combinación de factores como el uso de diferentes aplicaciones de software, proveedores de servicios de externalización y centros de datos distribuidos. Asimismo, la adopción generalizada de la nube (cloud) supone una presión aún mayor desde el punto de vista de las normas de seguridad. Un factor determinante para obtener el retorno esperado de estas iniciativas es trabajar con un proveedor de tecnología de RR.HH. que pueda garantizar una integración consistente entre la política de protección de datos y el cumplimiento normativo dentro de sus servicios y ofertas de software.
Contar con la ayuda de un experto es fundamental
Según una encuesta de Gestión de Capital Humano realizada por IDC en 2016, el 33 % de los responsables de RR. HH. se preocupa por la protección de datos y el GDPR. Las empresas no pueden acabar con los riesgos pero escoger un proveedor fiable es un buen paso para mitigarlos. Según IDC, pocos proveedores de externalización de RR. HH. consiguen ser eficientes en organizaciones con varios empleadores mediante las operaciones a escala a la vez que demuestran conocer las leyes y prácticas laborales locales. Así, muchas empresas usarán servicios en la nube o externalizarán el procesamiento de datos de RR. HH. y otras funciones para reducir los riesgos, garantizar una protección de datos coherente y cumplir con las obligaciones legales.
Es necesario estar preparado
A la luz del GDPR, las empresas están encontrando dificultades para entender y dar respuesta a los cambios regulatorios a medida que se van produciendo. Los costes y los riesgos de no conformidad pueden ser significativos. La nube, siempre y cuando esté correctamente implementada, puede mitigar los riesgos de no conformidad con el GDPR y con las leyes laborales locales. Pero un proveedor de servicios de externalización de recursos humanos deberá tener un sólido plan de acción, mapas de flujo de datos, planes de conservación de datos, robustas plataformas de seguridad y programas de transferencia de datos, todo ello con el soporte de la Oficina de Protección de Datos (Data Protection Office, DPO). Ahora que el reloj ya ha empezado la cuenta atrás hacia el 25 de mayo de 2018 es importante que las empresas no ignoren el GDPR ni los cambios sustanciales que conlleva. El ámbito técnico y jurídico del GDPR es amplio y la mayoría de las organizaciones tendrán dificultades para implementarlo en su totalidad para la fecha de su entrada en vigor. Si las organizaciones no han comenzado aún a analizar el impacto del GDPR, deberían empezar inmediatamente.