PUBLICIDAD
PUBLICIDAD

El nuevo RGPD y su impacto en la movilidad internacional de trabajadores y directivos

|

El impacto del nuevo RGPD que entró en vigor este pasado viernes 25 de mayo es claro en cualquier actividad de nuestra sociedad. La Asociación de Expertos en Movilidad Internacional (AIAL), organizó un evento titulado “Impacto del Reglamento General de Protección de Datos de la UE (RGPD) en la movilidad internacional”, con el patrocinio de CIGNA y AON.

La jornada, que contó con más de 90 profesionales inscritos, se celebró bajo el formato  de mesa redonda de expertos, y fue inaugurada por Antonio Cebrián, vicepresidente de AIAL y socio Director de S&C Abogados.

Por su parte, Mar Morales (Global Mobility en Talent & Culture de BBVA), fue la encargada de moderar la mesa de expertos, comenzó recordando que todas las organizaciones llevan tiempo preparándose para cumplir con este Reglamento, una de las normativas de privacidad de datos más estrictas del mundo y que ya es , como es sabido, de obligado cumplimiento desde el viernes 25 de mayo.

En el ámbito de la movilidad internacional, este objetivo es igualmente importante, ya que todos los procesos de movimiento de personas, conllevan necesariamente movimiento de sus datos personales.

PUBLICIDAD
PUBLICIDAD

Así se refirió a las  solicitudes de visados, transferencias de datos al país de destino para la elaboración de la nómina, revisión del talento, bonus variables por cumplimiento de objetivos anuales, cambio de datos personales en los sistemas e incluso traspaso de datos a proveedores externos para que ayuden a nuestros asignados internacionales en la búsqueda de colegios para sus hijos, de una vivienda, asesoramiento en sus declaraciones de impuestos en los países de origen y destino, contratación de pólizas de seguros médicos, etc.

Para analizar el impacto del RGPD en la Movilidad Internacional, AIAL contó con la presencia de cuatro expertos en la materia que ayudaron a comprender mejor, tanto sus implicaciones jurídicas, como su aplicación práctica en el día a día de la movilidad internacional.

El primero de ellos, Carlos de la Torre, (Of Counsel de Baker & McKenzie y miembro del Comité Ejecutivo de AIAL),   señaló que el RGPD viene a establecer un nuevo marco jurídico para el tratamiento de datos personales, que coloca a la protección de datos y a la privacidad en un derecho fundamental de primer orden.

PUBLICIDAD

Al mismo tiempo destacó  que devuelve la soberanía y el control de los datos al usuario, estableciendo obligaciones adicionales para las empresas y concediendo nuevos derechos a las personas físicas (el más señalado el de la portabilidad), siendo necesario que los departamentos de RRHH adapten sus políticas, procesos y procedimientos a esta nueva normativa.

Para este experto hay dos enfoques clave en el nuevo Reglamento: el enfoque del riesgo (evaluaciones de impacto) y el enfoque de la responsabilidad activa (se debe acreditar diligencia debida) lo que obliga a que las empresas deban realizar medidas organizativas y/o técnicas para acreditar el cumplimiento.

Sobre los datos de empleados, incluyendo los datos de  expatriados o de empleados locales en países de destino) subrayó que será necesario analizar y adaptar las siguientes actividades.

PUBLICIDAD

En primer lugar comentó que el RGPD incrementa la información que es obligatorio proporcionar respecto al tratamiento de datos personales. Así pues, ahora también habrá que informar de aspectos tales como la base jurídica que nos permite tratar los datos personales, el plazo durante el cual los conservaremos o los destinatarios de los mismos.

PUBLICIDAD

También destacó  que será necesario distinguir entre aquellos tratamientos de datos personales que son estrictamente necesarios para la ejecución del contrato laboral u obligatorios legalmente, y aquellos que no lo son, estableciendo las correspondientes políticas y comunicándolos a los empleados de forma efectiva. Por ejemplo, los datos de salud de los expatriados seguirán reglas especiales al ser categorías especiales de datos.

El Impacto del RGPD en los procesos de RRHH también es claro. Ahora los datos de los empleados que se capten y traten en los procesos de selección (con candidatos) y de contratación, desempeño, formación, retribución o desvinculación (con empleados) aunque tengan una base lícita diferente del consentimiento en el propio contrato, convenio colectivo o la ley aplicable, deben seguir con principios de obligado cumplimiento (transparencia, calidad de los datos, minimización, etc.) y establecer plazos de conservación limitados en el tiempo.

Sobre la Comunicación de datos a terceros, a representantes legales de los trabajadores y empresas del Grupo De la Torre comentó que  en el entorno laboral y de movilidad laboral  refierió que es bastante habitual que tengamos que comunicar datos personales de empleados a proveedores, clientes, representantes legales de los trabajadores, sindicatos y otras empresas del mismo grupo empresarial. Habrá que  analizar dichas comunicaciones, para asegurar que las mismas se llevan a cabo con las garantías adecuadas.

Mar Morales de BBVA y Carlos de la Torre de Baker & Mckenzie, analizando el papel del RGPD en los Dptos de RRHH y en sus políticas internas.

Por último, indicó que es necesario tomar en cuenta que el RGDP establece un nuevo orden jurídico para las transferencias internacionales de datos. Se parte de la base de la libre circulación de datos dentro del EEE y de la lista ya existente de países terceros con nivel adecuado de protección.

PUBLICIDAD

Sin embargo, fuera de la UE se limita la necesidad de autorizaciones por las Autoridades de Control y se amplían los instrumentos que pueden dar cobertura a las transferencias internacionales de datos que ahora incluyen tanto a las normas corporativas vinculantes para los grupos multinacionales previa aprobación de la Comisión; las cláusulas contractuales tipo adoptadas por la Comisión; los códigos de conducta exigibles a responsables o encargados del tratamiento en destino; o  los mecanismos de certificación en país de destino.

Transmisión de datos hacia nuevo empleador

Por su parte, en su intervención Cecilia Álvarez, presidenta de APEP (Asociación Española de Profesionales de la Privacidad, representante de CEDPO (Confederation of European Data Protection Organizations) destacó que la movilidad internacional de empleados lleva aparejada una transmisión de datos personales hacia el nuevo empleador o la entidad de destino de un secondment por ejemplo, amén de la transmisión de datos a las autoridades de inmigración, de trabajo y seguridad social del país de destino.

Para esta experta, como quiera que la movilidad del empleado se hace con su “consentimiento”, esto es, el vinculado a la firma de un nuevo contrato de trabajo con el nuevo empleador o de las condiciones laborales que enmarcan la movilidad en el país de destino de que se trate, el RGPD no tendrá un impacto particular más allá del deber de informar sobre las nuevas condiciones del tratamiento de datos de que se trate (e. g., nuevo empleador, nuevas formas de ejercitar los derechos de protección de datos, etc.).

Tan sólo si se deben transmitir datos de salud (u otros especialmente protegidos) o las finalidades del tratamiento en destino exceden de la gestión de la nueva relación laboral, la aceptación de las nuevas condiciones laborales no será suficiente, y se deberá recabar el consentimiento expreso a efectos de este tratamiento.

Estas reglas aplican con independencia del tipo de país de destino. Sin embargo, Álvarez comentó que si el destino son países no de la UE, es más adecuado que las entidades que remiten y reciben los datos adopten salvaguardas específicas, sean éstas las (todavía vigentes) cláusulas contractuales tipo de la Comisión Europea (que ya no requerirán una autorización previa de la autoridad de control española, AEPD) u otros mecanismos reconocidos por el RGPD, como las reglas corporativas vinculantes, los códigos de conducta (que pueden abordar las transferencias internacionales) o certificaciones.

Mención aparte merecen los EE.UU., como país de destino que ofrece además un sistema denominado Privacy Shield (heredero del difunto Safe Harbor, invalidado por el TJUE en 2016), que pretenden facilitar las transferencias de datos personales de la UE a los EE.UU. Sin embargo, hay una cierta incertidumbre sobre el futuro de estas salvaguardas a raíz de los distintos procesos que, con o sin razón, tratan de poner en tela de juicio a todos los sistemas jurídicos que no ofrecen un régimen de protección de datos sustancialmente equivalente al de la UE.

El RGPD está suponiendo un cambio de paradigma en cuanto a cómo las organizaciones están abordando la privacidad, de forma que la están situando en el centro de sus estrategias de negocio.

Un reto para las organizaciones

El tercer experto en intervenir fue Ramiro Mirones, (socio de Advisory Services de Ernst & Young, especializado en “Data Privacy”), a quien Mar Morales propuso hablar sobre los desafíos que plantea el nuevo RGPD para las organizaciones y de cómo impacta en los procesos internos de las compañías, desde el punto de vista de la movilidad internacional.

Ramiro Mirones de EY y Enrique Robles de BBVA Blue Company hablan sobre el RGPD y el reto que supone para las organizaciones.

Para Mirones, el RGPD está suponiendo un cambio de paradigma en cuanto a cómo las organizaciones están abordando la privacidad, de forma que la están situando en el centro de sus estrategias de negocio. El adecuado tratamiento de los datos de los clientes, empleados, etc., se ha convertido en el corazón de la transformación digital de las organizaciones, que a la postre implica cuál va a ser su futuro en el medio y largo plazo.

En un reciente estudio, publicado por EY, se identifican cuáles son las prioridades, dificultades y desafíos que están abordando las compañías, siendo éstas, principalmente, las relacionadas con la gestión de los derechos de los ciudadanos y de su consentimiento, así como, en clave interna, la definición de un adecuado modelo de gobierno y operativo para la gestión de los programas de privacidad, dado el gran número de departamentos e interlocutores involucrados en la misma.

Por último, el panel de expertos se cerró con la intervención de Enrique Robles, (Business Partner en Talent & Culture de Blue Indico -a BBVA Tech Company- y miembro de las Comisiones de RRHH y Marketing de AIAL), que analizó el impacto del RGPDen la movilidad internacional desde el punto de visto de tecnologías “Next Generation” como el Blockchain y nuevas formas de trabajo como la filosofía AGILE.

Señaló que las exigencias y presiones que el nuevo RGPD pone sobre todos los procesos de RRHH, requieren de un mayor sobreesfuerzo e ingenio si hablamos de la Gestión del Talento Global y Movilidad Internacional. No obstante, es importante destacar que: “En primer lugar, no empezamos de cero y además “se nos brinda una oportunidad de oro para, una vez más, posicionar a la función como referente en los procesos de RRHH, implementación de una verdadera filosofía AGILE así como coquetear con las nuevas aplicaciones del Blockchain. Sus sellos electrónicos y certificaciones HR en el cumplimiento del RGPD tendrán mucho que decir en un futuro muy próximo”.