Nòmines i contractes a RH: què exigeix el RGPD
RH gestiona nòmines, contractes, baixes mèdiques i dades bancàries. Això és el que demana el RGPD a qui els tracta, i per què processar-los al teu equip ajuda.
Una taula de RH és dels llocs amb més dades sensibles de qualsevol empresa. Un dimarts normal, una sola persona obre una nòmina, un contracte signat, una baixa mèdica, un certificat bancari i una còpia del DNI d’algú. Cadascuna d’aquestes coses és un PDF, i cada PDF parla d’una persona real que mai no arriba a veure com es gestiona.
Aquesta és la feina. El dubte és què espera el RGPD que facis amb tot allò, i on encaixa el tràfec diari de PDF dins de les regles.
Les dades que toca RH són de les delicades
No totes les dades personals pesen igual sota el RGPD. Un correu de feina és una dada personal. Una xifra de sou també, però pesa més, i RH està assegut sobre un munt.
Les nòmines diuen quant cobra cadascú. Els contractes recullen condicions, de vegades clàusules sobre salut o situació familiar. Una baixa mèdica pot revelar una malaltia, que és una categoria especial de dades amb protecció extra. Les dades bancàries obren la porta al frau. El DNI i el número de la Seguretat Social són just el que busca qui vol suplantar algú. Ajunta tot això en un departament i tens un objectiu.
Al RGPD li preocupa més aquest material perquè el dany d’una filtració és més gran. Una llista de màrqueting filtrada és una molèstia. Un munt de nòmines i escanejos de DNI filtrats pot destrossar les finances i la tranquil·litat d’una persona.
Què et demana de debò la norma
No cal memoritzar el reglament per complir-lo. Uns pocs deures cobreixen gairebé tot el que fa RH amb aquests fitxers.
Mantén les dades segures. L’article 32 demana mesures tècniques i organitzatives adequades. Dit en clar, els fitxers s’han de protegir d’una manera acord amb el sensibles que són. Una nòmina mereix més cura que el menú del menjador.
Fes servir només el que necessites, durant el temps que el necessites. Reculls un contracte per gestionar l’ocupació, no per guardar-lo eternament en una carpeta compartida que mitja oficina pot llegir. Quan el motiu desapareix, el fitxer hauria de marxar també.
Sàpigues per on viatgen les dades. Cada vegada que un fitxer surt del teu control, hauries de saber qui el rep i per a què. Si entregues dades personals a un servei extern que les tracta per tu, aquest servei és un encarregat del tractament, i hauria d’existir un contracte que reguli què pot fer amb elles.
Tingues amb què respondre. Si alguna cosa surt malament, has de poder demostrar que vas prendre mesures raonables. “El vaig pujar a una web gratis que va sortir al cercador” no és una mesura que vulguis defensar.
On va el fitxer forma part de la feina
Aquí hi ha el forat que enxampa la gent amb bona intenció. A RH es pensa molt en qui pot obrir la carpeta compartida, i després s’uneixen dues nòmines a la primera web de PDF que apareix. Tot aquell control d’accés a la carpeta no serveix de res si el fitxer es puja a un altre lloc trenta segons després.
La majoria de les eines PDF en línia funcionen enviant el teu fitxer al seu servidor, executant l’operació allà i retornant-te el resultat. El fitxer aterra en una màquina que no és teva, gestionada per una empresa que mai no vas revisar, en un lloc que no saps anomenar. Potser l’esborren quan toca. Potser una còpia de seguretat en guarda un duplicat. Potser tot corre sobre infraestructura llogada que passa el teu fitxer per emmagatzematge del qual mai no sabràs. No ho pots comprovar, i la persona la baixa mèdica de la qual acabes d’enviar per internet, tampoc.
Per a una baixa mèdica o un certificat bancari, aquella còpia pujada és el punt feble. Un fitxer que mai no surt del portàtil de RH no pot quedar exposat en una bretxa que passa al servidor d’una altra persona.
Fer la feina al teu propi equip
Existeix un tipus d’eina PDF que no puja res. Tota l’operació corre dins del navegador, al mateix ordinador que ja estàs fent servir. El codi es carrega una vegada, el teu PDF s’obre a la memòria del navegador, fas la feina, i el fitxer acabat es guarda de tornada a la teva màquina. No s’envia res a fora, perquè no hi ha cap pas de servidor on enviar-ho.
Així funciona reader.me, i per això encaixa amb els documents de RH. Ajuntar un grup de nòmines, treure unes pàgines d’un contracte, reduir el pes d’un escaneig perquè càpiga en un correu, tot passa al teu ordinador. Tanques la pestanya i la memòria de treball se’n va amb ella.
No cal que em creguis. Obre les DevTools del navegador, ves a la pestanya Network, executa una operació i mira. Cap petició s’emporta el teu fitxer. Si el fitxer no apareix al cos de cap petició, no es va enviar enlloc. Aquesta és la mena de comprovació que li agrada a l’article 32, perquè la pots demostrar de debò.
Dues coses que val la pena fer avui
Protegeix els fitxers que surten de l’oficina. Quan envies una nòmina o un contracte per correu, el correu en si gairebé mai no és segur d’extrem a extrem. Posa una contrasenya al PDF abans, perquè el document no serveixi de res a qui l’intercepti o al destinatari equivocat. Ho pots fer al teu propi equip amb protegir PDF, sense pujar res, i passar la contrasenya per un altre canal, com una trucada.
Signa sense imprimir i reescanejar. Els contractes i les aprovacions necessiten signatura, i la rutina de sempre d’imprimir, signar, escanejar i llençar el paper deixa còpies soltes per tot arreu. Afegir la signatura al PDF directament deixa un únic fitxer net i s’estalvia el rastre de paper. L’eina de signar PDF ho fa al navegador, així que el contracte mai no surt del teu ordinador per signar-se.
El tràfec diari de PDF a RH sembla anodí, i aquí hi ha la trampa. Unir dos fitxers o signar un contracte triga segons, i en aquests segons les dades sensibles es queden on són o surten sense que ningú se n’adoni. Si vols la versió llarga de com es veu això quan els documents passen per una gestoria, aquest article sobre nòmines i privacitat ho explica. Mantén la feina a l’equip i la part del RGPD es torna molt més senzilla.
Explora per categoria