Los departamentos de RRHH también se preparan para RGPD
Tratamiento de los datos interno o externo, los departamentos de Recursos Humanos tienen responsabilidades específicas frente a RGPD
La aplicación del nuevo RGPD afectará sensiblemente a todas aquellas empresas que gestionen directamente sus nóminas o realicen cualquier otro tratamiento de datos personales, ya que tendrán responsabilidad activa y el deber de demostrar que disponen de medidas de seguridad que garanticen la protección de los datos: minimización de datos almacenados, seudonimización, cifrado de datos personales, limitación en el acceso a datos, etc. Es decir, han de demostrar que pueden garantizar la confidencialidad, disponibilidad, integridad y resiliencia de los datos.
Cuando se confía esa gestión a un proveedor externo, las empresas siguen siendo las responsables últimas de sus datos, por lo que deben exigir a sus proveedores que garanticen los derechos de los titulares y el cumplimiento de todas sus obligaciones. Por ejemplo, en el caso de Seresco, como proveedor de externalización de nómina, actuamos como encargados del tratamiento siguiendo las instrucciones del responsable, y adoptando todas las medidas organizativas y operacionales necesarias para la prestación del servicio contratado dentro del marco legal que regula el RGPD.
Desde RRHH deberá garantizarse que el tratamiento de la información, si se realiza internamente, se realiza cumpliendo todas las obligaciones previstas en el reglamento relativas a medidas técnicas y organizativas. Si se ha optado por trasladar la gestión a un tercero deberá contrastarse que este puede garantizar el tratamiento en las condiciones debidas recabando cuantas evidencias sean necesarias sobre la gestión que el encargado del tratamiento viene realizando.
La exposición de información a través de herramientas como pueden ser los portales siempre ha sido un elemento que requiere toda la vigilancia de quien la expone para evitar que se puedan realizar los tan temidos hackeos; en este sentido es preciso extremar los controles que se vienen realizando con la realización de hackeos éticos (internos y externos) de forma periódica.
Pero si bien la exposición en Internet es un tema sobre el que existe ya una política preventiva no ocurre lo mismo con gestos tan cotidianos como la impresión de recibos en impresoras de uso común. Por ejemplo, debemos tener en cuenta que la impresión de recibos debe realizarse en impresoras controladas e incluso en espacios cuyo acceso esté restringido y registrado.
 |
Reyes Palomares Pérez Directora de Área |
