El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigor el pasado 25 de mayo para completar la Ley de Protección de Datos (LOPD) española de 2017. Este hecho permitirá a los usuarios controlar la información personal que ceden a las empresas e, incluso, reclamar compensación económica si se incumple lo reflejado en la normativa. Una adaptación para la que, sin embargo, el 85% de las empresas europeas y estadounidense no están preparadas a tenor del informe “Seizing the DGPR Advantage: From mandate to high-value opportunity”, de Capgemini. El informe señala que estas no están adaptadas a los nuevos requerimientos del GDPR y que una de cada cuatro no habrá completado su adecuación a la ley ni siquiera a finales de año. Un panorama que debe cambiar claramente si las organizaciones no quieren ser penalizadas por su falta de compliance. Ahora bien, ¿qué cambios supone el nuevo GDPR para los responsables de la selección, fidelización y desarrollo del talento en el seno de las empresas?
Responsabilidad proactiva
En la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento”, la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos hacen hincapié en el principio de responsabilidad proactiva, esto es, “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme al reglamento”. En la práctica esto requiere que las organizaciones “analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo”. A partir de este conocimiento, recoge la guía, “deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que estas sean las adecuadas para cumplir con el mismo y de poder demostrarlo ante interesados y autoridades. En síntesis, “una actitud consciente, diligente y proactiva”.
El RGPD señala asimismo que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. “De acuerdo con este enfoque -matiza la guía-, algunas de las medidas que establece se aplicarán solo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten”. La aplicación de las medidas previstas por el RGPD deberá adaptarse, por lo tanto, a la naturaleza de las organizaciones.
De la LOPD al GDPR
La firma especializada en tecnología para el reclutamiento Talent Clue recogía hace unos meses los principales cambios que incluye el nuevo reglamento respecto a la ley orgánica y que afectan a los departamentos de Selección. ¡Aquí van!
- Los candidatos deben dar consentimiento explícito e inequívoco para la recogida de datos, mientras que la LOPD admitía formas de consentimiento tácito o por omisión.
- La información que se suministre a los candidatos deberá ser clara y sencilla, así como transparente, inteligible y de fácil acceso.
- Los candidatos tendrán derecho a la portabilidad de sus datos, pudiendo solicitar en cualquier momento una copia de ellos.
- Responsabilidad en caso de violación de la seguridad de los datos. Si esto ocurre el responsable del tratamiento deberá notificarlo a la autoridad competente, solo pudiendo saltarse este paso si la vulneración no implica riesgo para los derechos y libertades de los afectados.
- Evaluación del impacto de las operaciones de tratamiento.
- Solo se podrán conservar datos actualizados. Los que permanezcan más de 24 meses sin ser actualizados deberán borrarse o bloquearse, algo a tener en cuenta también con la tenencia de currículums.
Deja tu comentario