Contenu
Recursos humanos
El asalariado… globalizado a su pesar
Control de las condiciones de uso de los ficheros los recursos humanos
En el marco del plan anual de inspecciones de 2007, la Comisión decidió efectuar misiones de control de las condiciones de uso de los ficheros en el sector de la gestión de los recursos humanos. Se realizaron cerca de cincuenta controles a fin de comprobar los tratamientos de los datos de carácter personal relativos a los empleados: ficheros de gestión del personal, de contratación, así como dispositivos biométricos, de geolocalización, líneas éticas, etc. A continuación, presentamos las principales conclusiones que emanaron de estos controles.
Evaluación de las condiciones de uso de las líneas éticas o denuncia de irregularidades
La ley estadounidense “Sarbanes-Oxley” obliga a todas las empresas que cotizan en algún mercado de valores norteamericano implantar sistemas de alarma profesional (líneas éticas) mediante los cuales los empleados pueden señalar, sin tener que recurrir primero a sus superiores jerárquicos, comportamientos contrarios a la ley o al reglamento interno de la empresa.
La primera constatación es que los asalariados franceses no recurren a este tipo de dispositivos. En efecto, estos instrumentos, creados por las sedes en el extranjero, no corresponden a las prácticas usuales de las empresas francesas. Parece ser que estos dispositivos no tienen aquí utilidad alguna, dadas las disposiciones previstas por el código laboral o por el respeto, más tradicional, del orden jerárquico para informar sobre posibles irregularidades.
La segunda observación es que cuando se lanzó el sistema de denuncia de irregularidades, no se aplicaron correctamente las disposiciones de la ley francesa de protección de datos “Informática y Libertades”. Este fue el caso de las empresas que suscribieron un certificado de adecuación únicamente para la autorización nº4 cuando, en virtud del primer articulo de la ley, tan solo unos cuantos dispositivos se limitan a los ámbitos “financiero, contable, bancario y de lucha contra la corrupción”. De hecho, las empresas suelen integrar estas líneas éticas en su código de conducta, que generalmente se redacta en la sede y cuyo alcance es más amplio que el previsto por la autorización única de la CNIL.
Importante desarrollo de los flujos transfronterizos
En 2007, la CNIL autorizó 1.682 de flujos transfronterizos y sigue estudiando otras 538 solicitudes.
En el sector de los recursos humanos, se pueden dar dos casos :
En el primero, la transferencia de datos se hace a petición de la sede, ubicada por ejemplo en Estados Unidos, en el marco de una racionalización de las herramientas de gestión de los recursos humanos: todas las filiales utilizan el mismo programa informático y los datos se almacenan en los servidores de las sede.
En este contexto, se observa a veces un incumplimiento absoluto de las obligaciones previstas por la ley “Informática y Libertades”: falta de información a las personas, desconocimiento del tiempo de conservación de los datos transferidos, ausencia de autorización de la CNIL, infracción sancionada con 5 años de encarcelamiento y 300.000 euros de multa, tal como estipula el artículo 226-16 del Código Penal.
En el segundo caso, los datos se transfieren al extranjero en el marco de una subcontratación. La empresa decide encomendar la gestión de los salarios o las operaciones de contratación a un prestatario externo, ubicado en el extranjero o que almacena sus datos en el extranjero. A menudo, la empresa responsable de la gestión de los datos desconoce la ubicación real de los datos que sin embargo tiene bajo su responsabilidad.
Esta situación supone un desconocimiento de las disposiciones de la ley que exigen informar a las personas cuyos datos se transfieran hacia un Estado no miembro de la Comunidad Europea, pero también de aquellas disposiciones que imponen al responsable del tratamiento un “control” de la seguridad de los datos que tiene bajo su responsabilidad. En efecto, ese control implica saber dónde se encuentran físicamente las bases de datos y velar por que se respete su confidencialidad durante la transferencia.
Dispositivos de geolocalización de los vehículos de los empleados
Estos dispositivos permiten a la empresa saber en cualquier momento dónde se encuentra un asalariado que conduzca un vehículo equipado con GPS.
Las empresas a veces tienden a malinterpretar la finalidad de la geolocalización, al no definir claramente cuáles son los objetivos perseguidos con el uso de este tipo de herramientas. Corren entonces el riesgo de no poder justificar una finalidad legítima, especialmente con respeto a las recomendaciones adoptadas por la CNIL el 16 de marzo de 2006.
La decena de controles efectuados mostró claramente una falta de información de los asalariados sobre sus derechos (derecho de acceso, modificación y oposición) y la ausencia de una definición de la duración de conservación de los datos recogidos por las empresas.
Qué opina…
Hubert BOUCHET
Miembro del Consejo económico y social
Comisario encargado del sector “Trabajo”
¿Por qué decidió centrarse en los dispositivos de denuncia de irregularidades?
La CNIL se movilizó nada más surgir los primeros proyectos de aplicación en Francia de las disposiciones de la ley Sarbanes-Oxley. Se estudió a fondo la cuestión, en colaboración con algunas autoridades estadounidenses, para definir el marco en el cual se podían aplicar estos dispositivos en condiciones que respetasen las exigencias francesas en materia de protección de datos de carácter personal. La CNIL adoptó un documento de orientación el 10 de noviembre de 2005, así como una autorización única el 8 de diciembre del mismo año (autorización única nº4). La segunda etapa consistió en supervisar en el seno mismo de las empresas la aplicación de estos dispositivos que generalmente excluyen todo aspecto social de su ámbito de acción.
¿Cuáles son entonces las primeras lecciones que se pueden sacar de estos controles?
No cabe duda de que estos dispositivos son instrumentos “importados” que no corresponden a la realidad social de las empresas francesas. No corresponden ni a las prácticas francesas, ni a la mentalidad de los asalariados franceses. Debo añadir además que la CNIL ha observado cierta reticencia por parte de muchos de los responsables de empresa encargados de instalar estos dispositivos. Desde el punto de vista de la ley "Informática y Libertades", estos dispositivos son complicados de instalar, en especial en lo que a su aplicación e información de los asalariados se refiere.
¿Qué otras conclusiones se puede sacar de estas misiones de control en materia de gestión de recursos humanos?
El uso de la informática en el campo de los recursos humanos – en el sentido más amplio de la palabra - es evidente: biometría, gestión informatizada de los empleos y de la contratación, videovigilancia, gestión automatizada de los accesos y del control de presencia, etc. Todos estos elementos quedan amparados por la ley “Informática y Libertades”. Pero los responsables de los recursos humanos a veces malinterpretan las disposiciones de la ley, especialmente en los referente a las notificaciones de tratamiento, la duración de conservación de los datos o la información de los asalariados. Esta observación es especialmente cierta cuando se trata de la transferencia de datos hacia terceros países no miembros de la Unión Europea, sujetos a reglas precisas a veces ignoradas por las empresas francesas que corren entonces graves riesgos judiciales o incluso penales.
Externalización informática : Cómo garantizar la protección de los datos ?Tras la publicación de las orientaciones del informe de actividad de 2006, la Comisión decidió crear un grupo de trabajo sobre la deslocalización de los centros de llamadas telefónicas y la externalización informática.