Los 10 errores más comunes en RR.HH tras el GDPR
Tras la aplicación del Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo, todas las compañías pusieron en marcha procesos para aplicar la nueva normativa a la gestión de sus datos. En el caso de las áreas de Recursos Humanos, donde existe una especial sensibilidad por la naturaleza de la información que se gestiona, también tuvieron que adaptarse a este nuevo marco regulatorio. Sin embargo, cabe preguntarse ¿se está haciendo de manera correcta o se siguen cometiendo errores?
Una compañía española especializada en soluciones tecnológicas y transformación digital de empresas y organismos públicos, ha analizado desde su área de Nóminas y Recursos Humanos los errores más frecuentes que las compañías y los departamentos de Recursos Humanos podrían estar cometiendo.
Así, ha elaborado un decálogo con los diez errores más comunes:
- Reenviar por correo electrónico un curriculum que nos hacen llegar: Muchas veces recibimos CV de contactos o amigos que llegan a nuestro correo electrónico laboral, y por lo general, nuestra primera reacción es reenviar el documento a nuestro departamento de Recursos Humanos. Con el nuevo RGPD lo más conveniente es facilitar el correo electrónico de Recursos Humanos para que el contacto pueda facilitarle el CV directamente al departamento.
- Mantener un curriculum que se recibe para un proceso de selección tras su finalización: Los curriculums impresos deben destruirse mediante una destructora una vez finalizado el proceso de selección. Sin embargo, pueden mantenerse en formato electrónico. El tiempo durante el que podremos hacerlo está ligado a la finalidad del tratamiento del mismo. Si el curriculum se recibe para un proceso de selección, será mientras dure dicho proceso. En caso de una autocandidatura, el plazo de conservación puede ser mayor, siempre que se informe previamente al interesado y garantice que los datos estén actualizados.
- No registrar la entrada y salida de soportes de almacenamiento: Los soportes de almacenaje de información, como CD, DVD o dispositivos USB son una herramienta fundamental para muchas compañías y en ocasiones solemos almacenar información confidencial en ellos. Como medida exigida por la Ley Orgánica 15/1999 (LOPD) se han de registrar las entradas y salidas de estos soportes por el personal autorizado en un documento. El RGPD añade nuevas exigencias de seguridad, se recomienda el cifrado de información en este tipo de soportes.
- Abandonar la oficina con la pantalla del ordenador o portátil encendido: Nuestro ordenador o portátil de trabajo almacena en muchos casos información muy sensible que debemos proteger en todo momento, incluso cuando no estamos en la oficina. Para ello, tan solo debemos cerrar la sesión cuando finalice nuestro turno de trabajo y protegerla mediante una contraseña. Es habitual en las empresas adoptar políticas de bloqueo de sesión tras un tiempo corto de inactividad, para añadir una capa de seguridad por encima de las acciones del propio usuario. De igual forma, tampoco debemos dejar desatendidos nuestros dispositivos móviles en lugares públicos (aunque formen parte del entorno de trabajo, como podría ser una sala de reuniones). Debemos proteger todos los dispositivos que almacenen información sensible a terceros.
- Dejar documentos con información confidencial encima de nuestra mesa: En la medida de lo posible, debemos evitar dejar sobre nuestra mesa documentos con información confidencial de forma que puedan ser leídos por otras personas, y el puesto de trabajo debe permanecer despejado de información al finalizar el turno de trabajo. Esta información es sensible, y aunque estemos la mayor parte de nuestra jornada en nuestro espacio de trabajo, debemos evitar dejar este tipo de documentación a la vista.
- Dejar en la impresora o escáner documentación confidencial: Ya sean documentos impresos o escaneados, o se trate de dispositivos que forman parte de nuestro lugar de trabajo, debemos evitar dejar esta documentación en estos dispositivos más tiempo del estrictamente necesario. Es habitual en las empresas disponer de áreas de impresión con acceso restringido, y de sistemas de escaneado que evitan el uso de carpetas compartidas en red, derivando la información al correo del usuario.
- Archivar información sensible en soportes extraíbles sin cifrar: Es recomendable que, en el caso de necesitar almacenar información confidencial en soportes extraíbles, estos sean cifrados. Además de los dispositivos extraíbles, debemos realizar un cifrado de las carpetas o información que contenga el soporte.
- No etiquetar los soportes extraíbles con información confidencial: Los soportes, ya sean en formato CD, DVD o en dispositivos USB que contengan información protegida deben estar etiquetados.
- No almacenar dichos soportes bajo llave y acceso restringido: Cuando hayamos terminado de trabajar con estos dispositivos extraíbles, su almacenamiento es fundamental para proteger esta información sensible. Para ello, debemos almacenarlos en un armario cerrado bajo llave y con acceso restringido al personal autorizado en la gestión de esos datos.
- No cifrar los correos electrónicos que contienen datos personales o información confidencial: En ocasiones necesitamos enviar correos electrónicos que contienen información sensible o datos personales. Para protegernos y adaptarnos al nuevo reglamento, debemos firmar digitalmente y cifrar los correos enviados con información confidencial.
Para garantizar la adaptación a este Reglamento, se recuerda la importancia de llevar a cabo un análisis de riesgos del que se deriven las medidas de seguridad a adoptar, entre las cuales no debe faltar una campaña de formación y sensibilización al personal, que pueda prevenir incumplimientos involuntarios de la normativa.