Volver al blog

RGPD aplicado a recursos humanos: 7 errores comunes que pueden costarte 20.000 €

Los siete errores más caros que cometen las empresas españolas al gestionar datos de personal: selfies, CVs antiguos, WhatsApp, Excel sin cifrar y más. Cómo evitarlos.

Equipo GestihumRGPD, Privacidad, Compliance

El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD llevan vigentes desde 2018, pero la realidad en muchas pymes españolas es que la gestión de datos de personal sigue siendo un campo de minas. La AEPD publica trimestralmente las sanciones impuestas, y los datos de RRHH están casi siempre en el top: selfies guardadas sin base legal, CVs olvidados en buzones, WhatsApp con tablas de nóminas...

Estos son los siete errores más comunes que vemos al hacer auditorías y consultorías en empresas con menos de 250 empleados, junto con su sanción típica y cómo evitarlos.

Error 1: Tratar selfies de fichaje sin base legal clara

Cada vez más empresas adoptan el fichaje con selfie para prevenir el fraude (que alguien fiche por otro compañero). Pero la imagen facial es un dato biométrico de categoría especial (art. 9 RGPD) y su tratamiento requiere:

  • Una base legal específica (consentimiento explícito o interés legítimo bien argumentado).
  • Una evaluación de impacto (DPIA) previa.
  • Medidas técnicas reforzadas: cifrado en reposo, retención mínima.

Sanción típica: 20.000 – 70.000 € por tratamiento sin base legal, con agravante si la imagen se conserva más de lo necesario.

Cómo evitarlo: usa una herramienta que documente la DPIA, permita configurar políticas de retención y borre las selfies tras validar el fichaje. En Gestihum, la imagen se compara contra la referencia y se descarta inmediatamente; nunca se almacena permanentemente salvo por petición expresa de auditoría.

Error 2: Conservar CVs descartados más de 1 año

Es la práctica más extendida: el departamento de personas guarda en una carpeta compartida todos los CVs recibidos por si en el futuro encaja. Esto vulnera el principio de limitación del plazo de conservación (art. 5.1.e RGPD).

La AEPD recomienda un plazo máximo de un año desde la última interacción con el candidato, y solo si has obtenido su consentimiento expreso e informado para mantenerlo en bolsa.

Sanción típica: 5.000 – 30.000 €. La AEPD ha sancionado a varias empresas por esta razón solo en el último año.

Cómo evitarlo: implementa un proceso automático que avise antes del año y solicite renovación del consentimiento, o elimine el CV automáticamente.

Error 3: WhatsApp para comunicación interna sin DPA

WhatsApp es cómodo, todos lo tenemos. Pero usarlo como canal oficial para enviar nóminas, partes de baja o información personal de empleados implica:

  • Transferencia internacional de datos (Meta procesa fuera de la UE en algunos flujos).
  • Falta de un contrato de encargado del tratamiento (DPA) con Meta.
  • Imposibilidad de borrado garantizado en backups del trabajador.

Sanción típica: 10.000 – 50.000 € en casos documentados; la AEPD considera agravante la negligencia recurrente.

Cómo evitarlo: usa canales internos pensados para RRHH (Gestihum incorpora intranet con mensajería interna), o al menos un Microsoft Teams / Slack empresarial con DPA firmado.

Error 4: Compartir Excel con datos de personal por email sin cifrado

Enviar un Excel con la lista de empleados, sus DNIs y salarios por email sin cifrar es —literalmente— estar publicando esos datos en la red. Cualquier intermediario o servidor con un mal día puede leerlo.

Sanción típica: 8.000 – 40.000 €. La sanción se eleva si el Excel se filtra a un destinatario erróneo (fuga de datos notificable en 72h).

Cómo evitarlo:

  • Cifrar el Excel con contraseña (compartiendo esa contraseña por otro canal).
  • Usar plataformas con cifrado en tránsito (Drive, OneDrive, Gestihum…).
  • Reducir el principio: ¿realmente necesita el destinatario todos esos datos?

Error 5: No nombrar DPO cuando aplica

El artículo 34 de la LOPDGDD lista los casos en los que es obligatorio nombrar un Delegado de Protección de Datos: clínicas, asesorías que tratan datos masivos, entidades financieras, empresas que hacen observación habitual y sistemática de personas a gran escala (¡cuidado con la geolocalización!).

Muchas pymes con fichaje geolocalizado de >100 empleados podrían entrar en esa categoría y no haberlo evaluado nunca.

Sanción típica: 5.000 – 25.000 € por omisión, más sanciones derivadas si además hay otras infracciones que un DPO habría detectado.

Cómo evitarlo: evalúa formalmente si tu actividad encaja en alguno de los supuestos del art. 34. Si lo haces, designa DPO interno o externo y comunícalo a la AEPD.

Error 6: Falta de derecho de oposición a vigilancia (geolocalización)

La geolocalización en fichaje es lícita y útil, pero exige:

  • Informar de forma clara y previa (no solo en un anexo del contrato).
  • Permitir al trabajador oponerse salvo que sea imprescindible para el servicio.
  • Restringir la geolocalización a la jornada laboral y al ámbito necesario.

Hacerlo fuera de la jornada o sin información suficiente es una de las sanciones más caras que aplica la AEPD.

Sanción típica: 15.000 – 75.000 € en casos recientes documentados.

Cómo evitarlo: configura tu sistema para geolocalizar solo al inicio y fin de la jornada, en perímetros (geofences) bien definidos, e incluye el aviso en el contrato y en el primer fichaje.

Error 7: Hosting fuera de la UE sin garantías

Si tu software de RRHH almacena datos en AWS US-East, Google US o cualquier proveedor extra-UE sin las cláusulas contractuales tipo y un análisis de transferencia internacional actualizado (post-Schrems II), estás incumpliendo el RGPD.

Es uno de los puntos que la AEPD revisa de oficio cuando hay una denuncia.

Sanción típica: 10.000 – 60.000 € en sanciones recientes a SaaS con hosting US sin garantías.

Cómo evitarlo: elige un proveedor con hosting íntegro en la UE. Gestihum corre sobre Hetzner Cloud (Alemania y Finlandia) y no transfiere datos personales fuera del EEE.

Cómo Gestihum te ayuda a evitar los siete errores

Gestihum está diseñado by design para que tu empresa cumpla el RGPD sin tener que pensar en ello:

  • Selfies efímeras con políticas de retención configurables y DPIA pre-documentada.
  • Bolsa de talento con expiración automática y solicitud de renovación al candidato.
  • Mensajería interna nativa que sustituye al WhatsApp informal.
  • Cifrado en tránsito y en reposo, sin Excels viajando por email.
  • Plantillas para DPO, registro de actividades de tratamiento y RAT exportable.
  • Geolocalización ajustable con perímetros y aviso al trabajador.
  • Hosting íntegramente en la UE (Hetzner) con DPA firmado por defecto.

Si quieres dejar atrás los Excels y el WhatsApp y ponerte serio con el RGPD, empieza tu trial de 7 días gratis y migramos contigo. Vale más prevenir que pagar 70.000 € de multa.