La jornada, que contó con más de 90 profesionales inscritos, se celebró bajo el formato de mesa redonda de expertos, y fue inaugurada por Antonio Cebrián, Vicepresidente de AIAL y Socio Director de S&C Abogados, que destacó la trayectoria consolidada de la asociación tras sus tres años de andadura. Igualmente advirtió que, sin perjuicio de la aplicabilidad directa del RGPD, en el Parlamento se está tramitando la adaptación de la norma interna de 1999 al nuevo entorno, no siendo posible aventurar una fecha de entrada en vigor.
Mar Morales (Global Mobility en Talent & Culture de BBVA), que fue la encargada de moderar la mesa de expertos, comenzó recordando que todas las organizaciones llevan tiempo preparándose para cumplir con este Reglamento, una de las normativas de privacidad de datos más estrictas del mundo y que será, como es sabido, de obligado cumplimiento desde el viernes 25 de mayo.
Este Reglamento no sólo armonizará la regulación en los Estados Miembros de la UE, sino que, además, afectará a organizaciones de terceros países que operen y manejen datos de ciudadanos de la UE
Mar Morales señaló que el objetivo del RGPD es garantizar a los ciudadanos de la UE un mayor control sobre su información privada y mejorar la seguridad en las empresas que operan con estos datos. En el ámbito de la movilidad internacional, este objetivo es igualmente importante, ya que todos los procesos de movimiento de personas, conllevan necesariamente movimiento de sus datos personales. Pensemos en solicitudes de visados, transferencias de datos al país de destino para la elaboración de la nómina, revisión del talento, bonus variables por cumplimiento de objetivos anuales, cambio de datos personales en los sistemas e incluso traspaso de datos a proveedores externos para que ayuden a nuestros asignados internacionales en la búsqueda de colegios para sus hijos, de una vivienda, asesoramiento en sus declaraciones de impuestos en los países de origen y destino, contratación de pólizas de seguros médicos, etc
El uso de la tecnología en todos los ámbitos y, como no, también en el ámbito de la movilidad internacional, ha complicado aún más esta cuestión de la protección de los datos personales.
Para analizar el impacto del RGPD en la Movilidad Internacional, AIAL contó con la presencia de cuatro expertos en la materia que ayudaron a comprender mejor, tanto sus implicaciones jurídicas, como su aplicación práctica en el día a día de la movilidad internacional.
La moderadora planteó la primera cuestión a Carlos de la Torre, (Of Counsel de Baker & McKenzie y miembro del Comité Ejecutivo de AIAL), para conocer su opinión sobre el impacto del RGPD y las principales novedades para los departamentos de RRHH teniendo en cuenta que cuando estos departamentos mueven empleados en asignación internacional, también mueven sus datos.
Carlos de la Torre señaló que el RGPD viene a establecer un nuevo marco jurídico para el tratamiento de datos personales, que coloca a la protección de datos y a la privacidad en un derecho fundamental de primer orden, que devuelve la soberanía y el control de los datos al usuario, estableciendo obligaciones adicionales para las empresas y concediendo nuevos derechos a las personas físicas (el más señalado el de la portabilidad), siendo necesario que los departamentos de RRHH adapten sus políticas, procesos y procedimientos a esta nueva normativa. Hay dos enfoques clave en el nuevo Reglamento: el enfoque del riesgo (evaluaciones de impacto) y el enfoque de la responsabilidad activa (se debe acreditar diligencia debida) lo que obliga a que las empresas deban realizar medidas organizativas y/o técnicas para acreditar el cumplimiento.
En particular, en el ámbito de los datos de los empleados (incluyendo los datos de expatriados o de empleados locales en países de destino) será necesario analizar y adaptar las siguientes actividades:
- Las bases de licitud de los datos de los empleados (incluyendo expatriados). El RGPD incrementa la información que es obligatorio proporcionar respecto al tratamiento de datos personales. Así pues, ahora también habrá que informar de aspectos tales como la base jurídica que nos permite tratar los datos personales, el plazo durante el cual los conservaremos o los destinatarios de los mismos.
En un entorno laboral esto es particularmente relevante ya que se entiende que la base jurídica en la que podemos basar el tratamiento de los datos personales no debería ser el consentimiento del empleado, dado que no está en una posición de igualdad con la empresa. El RGPD establece otras bases jurídicas que se consideran lícitas y que se adaptan mejor al entorno laboral y entre las cuales destacan la ejecución de un contrato o el cumplimiento de obligaciones legales. Por tanto, será necesario distinguir entre aquellos tratamientos de datos personales que son estrictamente necesarios para la ejecución del contrato laboral u obligatorios legalmente, y aquellos que no lo son, estableciendo las correspondientes políticas y comunicándolos a los empleados de forma efectiva. Por ejemplo, los datos de salud de los expatriados seguirán reglas especiales al ser categorías especiales de datos.
- El Impacto del RGPD en los procesos de RRHH. Los procedimientos de RRHH tampoco quedan al margen del RGPD, de modo que los datos de los empleados que se capten y traten en los procesos de selección (con candidatos) y de contratación, desempeño, formación, retribución o desvinculación (con empleados) aunque tengan una base lícita diferente del consentimiento en el propio contrato, convenio colectivo o la ley aplicable, deben seguir con principios de obligado cumplimiento (transparencia, calidad de los datos, minimización, etc.) y establecer plazos de conservación limitados en el tiempo. En este contexto, es recomendable que las políticas de privacidad y las de movilidad global se revisen para garantizar su adecuación a las nuevas obligaciones del reglamento europeo.
- Comunicación de datos a terceros, a representantes legales de los trabajadores y empresas del Grupo. En el entorno laboral y de movilidad laboral es bastante habitual que tengamos que comunicar datos personales de empleados a proveedores, clientes, representantes legales de los trabajadores, sindicatos y otras empresas del mismo grupo empresarial. Con el RGPD será necesario analizar dichas comunicaciones, para asegurar que las mismas se llevan a cabo con las garantías adecuadas. Esto es posible que lleve a tener que firmar nuevos contratos con proveedores o clientes que regulen el tratamiento de datos personales por parte de estos o revisar la necesidad de comunicar datos personales entre las empresas del mismo grupo.
Por último, es necesario tomar en cuenta que el RGDP establece un nuevo orden jurídico para las transferencias internacionales de datos. Se parte de la base de la libre circulación de datos dentro del EEE y de la lista ya existente de países terceros con nivel adecuado de protección. Sin embargo, fuera de la UE se ha limitado la necesidad de autorizaciones por las Autoridades de Control y se amplían los instrumentos que pueden dar cobertura a las transferencias internacionales de datos que ahora incluyen a:
- las normas corporativas vinculantes para los grupos multinacionales previa aprobación de la Comisión;
- (ii) las cláusulas contractuales tipo adoptadas por la Comisión;
- (iii) los códigos de conducta exigibles a responsables o encargados del tratamiento en destino; o
- (iv) los mecanismos de certificación en país de destino.
La siguiente intervención corrió a cargo de Cecilia Álvarez, Presidenta de APEP (Asociación Española de Profesionales de la Privacidad), representante de CEDPO (Confederation of European Data Protection Organizations) y miembro de la Real Academia de Jurisprudencia y Legislación, (Sección de Derecho de las Tecnologías de Información y el Conocimiento).
Continuando con las novedades del RGPD, la moderadora planteó a Cecilia Álvarez las siguientes cuestiones: ¿cuáles crees que son las novedades más importantes del Reglamento en lo relativo a las transferencias internacionales de datos de empleados?, ¿Podrías comentar también el sistema “Privacy Shield” para transferencia de datos desde la UE a Estados Unidos?
Para Cecilia Álvarez, la movilidad internacional de empleados lleva aparejada una transmisión de datos personales hacia el nuevo empleador o la entidad de destino de un secondment por ejemplo, amén de la transmisión de datos a las autoridades de inmigración, de trabajo y seguridad social del país de destino. Como quiera que la movilidad del empleado se hace con su “consentimiento”, esto es, el vinculado a la firma de un nuevo contrato de trabajo con el nuevo empleador o de las condiciones laborales que enmarcan la movilidad en el país de destino de que se trate, el RGPD no tendrá un impacto particular más allá del deber de informar sobre las nuevas condiciones del tratamiento de datos de que se trate (e. g., nuevo empleador, nuevas formas de ejercitar los derechos de protección de datos, etc.). Tan sólo si se deben transmitir datos de salud (u otros especialmente protegidos) o las finalidades del tratamiento en destino exceden de la gestión de la nueva relación laboral, la aceptación de las nuevas condiciones laborales no será suficiente, y se deberá recabar el consentimiento expreso a efectos de este tratamiento.
Estas reglas aplican con independencia del tipo de país de destino. Sin embargo, si el destino son países no UE, es más adecuado que las entidades que remiten y reciben los datos adopten salvaguardas específicas, sean éstas las (todavía vigentes) cláusulas contractuales tipo de la Comisión Europea (que ya no requerirán una autorización previa de la autoridad de control española, AEPD) u otros mecanismos reconocidos por el RGPD, como las reglas corporativas vinculantes, los códigos de conducta (que pueden abordar las transferencias internacionales) o certificaciones.
Mención aparte merecen los EE.UU., como país de destino que ofrece además un sistema denominado Privacy Shield (heredero del difunto Safe Harbor, invalidado por el TJUE en 2016), que pretenden facilitar las transferencias de datos personales de la UE a los EE.UU. Sin embargo, hay una cierta incertidumbre sobre el futuro de estas salvaguardas a raíz de los distintos procesos que, con o sin razón, tratan de poner en tela de juicio a todos los sistemas jurídicos que no ofrecen un régimen de protección de datos sustancialmente equivalente al de la UE
El tercer experto en intervenir fue Ramiro Mirones, (socio de Advisory Services de Ernst & Young, especializado en “Data Privacy”), a quien Mar Morales propuso hablar sobre los desafíos que plantea el nuevo RGPD para las organizaciones y de cómo impacta en los procesos internos de la compañías, desde el punto de vista de la movilidad internacional.
Para Ramiro Mirones, el RGPD está suponiendo un cambio de paradigma en cuanto a cómo las organizaciones están abordando la privacidad, de forma que la están situando en el centro de sus estrategias de negocio. El adecuado tratamiento de los datos de los clientes, empleados, etc., se ha convertido en el corazón de la transformación digital de las organizaciones, que a la postre implica cuál va a ser su futuro en el medio y largo plazo.
La gestión de la privacidad se encuentra, en estos momentos, tratándose en los Consejos de Administración y Comités de Dirección de las organizaciones. Derivado de esta importancia, las organizaciones están realizando un importantísimo esfuerzo para garantizar que devuelven a los ciudadanos el control de sus datos, y que, a través de esta transparencia, aumentan su cadena de valor para ellos.
En un reciente estudio, publicado por EY, se identifican cuáles son las prioridades, dificultades y desafíos que están abordando las compañías, siendo éstas, principalmente, las relacionadas con la gestión de los derechos de los ciudadanos y de su consentimiento, así como, en clave interna, la definición de un adecuado modelo de gobierno y operativo para la gestión de los programas de privacidad, dado el gran número de departamentos e interlocutores involucrados en la misma.
Asimismo, la moderadora le invitó a explicar cómo los proveedores globales están adaptando sus procesos internos y sus aplicaciones para cumplir con la legislación y proteger a su clientes (recogida de datos para declaraciones fiscales, visados, TA300, propuestas de expatriación, etc.).
Ramiro Mirones señaló que, como proveedores de servicios relacionados con la movilidad internacional, los proveedores globales, hemos adaptado tanto nuestras relaciones contractuales como nuestros procesos internos, para garantizar el adecuado cumplimiento con la nueva regulación. Esta adaptación ha incluido, además de los mencionados contratos, el proceso de gestión de los derechos de privacidad de nuestros clientes, así como de nuestras herramientas de gestión de sus datos, para poder garantizar tanto el cumplimiento de la normativa, como la transparencia en la gestión de datos a dichos clientes, principio rector de nuestra adaptación.
Por último, el panel de expertos se cerró con la intervención de Enrique Robles, (Business Partner en Talent & Culture de Blue Indico -a BBVA Tech Company- y miembro de las Comisiones de RRHH y Marketing de AIAL), que analizó el impacto del RGPD en la movilidad internacional desde el punto de visto de tecnologías “Next Generation” como el Blockchain y nuevas formas de trabajo como la filosofía AGILE.
Enrique Robles lo definió como el “Sprint hacia el RGPD: la oportunidad de oro que los Mobility Managers tienen para liderar el cambio definitivo en los procesos de RRHH”.
Señaló que las exigencias y presiones que el nuevo RGPD pone sobre todos los procesos de RRHH, requieren de un mayor sobreesfuerzo e ingenio si hablamos de la Gestión del Talento Global y Movilidad Internacional. No obstante, es importante destacar que: (1) No empezamos de cero y (2) Se nos brinda una oportunidad de oro para, una vez más, posicionar a la función como referente en los procesos de RRHH, implementación de una verdadera filosofía AGILE así como coquetear con las nuevas aplicaciones del Blockchain. Sus sellos electrónicos y certificaciones HR en el cumplimiento del RGPD tendrán mucho que decir en un futuro muy próximo.
Para finalizar, la jornada fue clausurada por Miguel Recio (Abogado, doctorando en protección de datos por la Universidad San Pablo CEU y autor de numerosas publicaciones, tanto en el Derecho de las TIC como en protección de datos), que destacó que el tratamiento de datos personales de empleados, en virtud del RGPD y demás normativa aplicable, específicamente por lo que se refiere a la transferencia internacional como consecuencia de su movilidad internacional, requiere considerar cuál es la base de legitimación adecuada. Al respecto, el Grupo de Trabajo del artículo 29 (GT29) ha indicado claramente en diversas ocasiones la necesidad de considerar el consentimiento como último recurso y siempre que el trabajador pueda prestarlo libremente, es decir, atendiendo a su dependencia de la empresa, que podría condicionarlo, y sin ningún tipo de consecuencia negativa para el mismo.
Además, la empresa tiene que adoptar e implementar las demás medidas aplicables, prestando especial atención a la gestión de solicitudes de ejercicio de los derechos, de manera que se garantice el derecho fundamental a la protección de datos personales de los trabajadores en esta nueva etapa de responsabilidad proactiva (“accountability”) exigible a los responsables del tratamiento.