Cumplimiento del RGPD en los procesos de gestión del desempeño

Cumplimiento del RGPD en los procesos de gestión del desempeño: lo que los equipos de rr.hh. deben saber

La gestión del desempeño está llena de datos personales sensibles. Desde evaluaciones de desempeño hasta feedback de 360 grados, desde valoraciones hasta planes de desarrollo. Todos estos procesos generan datos sobre los empleados que están sujetos al RGPD. Y aunque la mayoría de los profesionales de RR.HH. son conscientes de ello, la aplicación práctica suele ser más compleja de lo esperado. El desafío no radica tanto en comprender que el RGPD es aplicable, sino en hacer concreto el cumplimiento dentro de los procesos de RR.HH. existentes. ¿Cómo garantizar que recopilas suficientes datos para una evaluación del desempeño significativa, sin superar los límites de la minimización de datos? ¿Y cómo mantener la transparencia hacia los empleados sobre lo que haces con sus datos?

Por qué el cumplimiento del RGPD en la gestión del desempeño es más complejo de lo que piensas

La gestión del desempeño se percibe en muchas organizaciones como un proceso interno donde la privacidad sería menos relevante. Después de todo, recopilas datos para ayudar a los empleados a desarrollarse y mejorar la organización. Sin embargo, es precisamente aquí donde el RGPD es estricto, porque se trata de datos que tienen un impacto directo en la carrera, el salario e incluso el despido de una persona. El RGPD requiere que tengas una base legal legítima para cada tratamiento de datos personales. En la gestión del desempeño, esto suele ser la ejecución del contrato de trabajo. Pero eso no significa que tengas carta blanca. Solo puedes recopilar datos que sean realmente necesarios para el objetivo, y debes informar a los empleados de antemano sobre qué recopilas y por qué. Donde a menudo surgen problemas es en la expansión de los procesos de gestión del desempeño. Una organización comienza con simples evaluaciones anuales, añade feedback de 360 grados, luego implementa herramientas de feedback continuo, y antes de que te des cuenta estás recopilando decenas de puntos de datos por empleado cada mes. Cada una de esas expansiones requiere una nueva evaluación: ¿sigue siendo esto necesario y proporcional?

Los fundamentos: vinculación de finalidad y minimización de datos en la práctica

La vinculación de finalidad significa que debes determinar de antemano para qué recopilas datos. No puedes simplemente recopilar todo el feedback posible «por si lo necesitamos más adelante». Si implementas feedback de 360 grados con fines de desarrollo, no puedes usar esos datos repentinamente para decisiones de despido sin informar a los empleados al respecto. La minimización de datos va más allá de simplemente limitar la cantidad de preguntas en un cuestionario. También significa examinar críticamente quién tiene acceso a qué datos. ¿Realmente necesita el CEO ver los resultados individuales de feedback, o son suficientes los datos agregados del equipo? ¿Deben registrarse textualmente las conversaciones de feedback, o es suficiente un resumen de los acuerdos? En la práctica, ves que las organizaciones exitosas toman decisiones conscientes en esto. Documentan por qué ciertos datos son necesarios, cuánto tiempo se conservan y quién tiene acceso a ellos. Puede sonar como burocracia administrativa, pero te obliga a mantenerte enfocado en lo que realmente necesitas.

Transparencia hacia los empleados: más allá de una declaración de privacidad

El RGPD requiere que los empleados comprendan qué sucede con sus datos de desempeño. Pero una declaración de privacidad general de diez páginas que nadie lee no cumple con el espíritu de la ley. Los empleados deben tener claro, en el momento en que dan feedback o reciben una evaluación, qué sucede con esa información. Esto significa comunicar concretamente en cada proceso de gestión del desempeño. Antes de que un empleado complete un cuestionario de feedback de 360 grados, debe estar claro si el feedback es anónimo, quién ve los resultados y cuánto tiempo se conservan. En las evaluaciones de desempeño debe estar claro qué se documenta y quién tiene acceso a esa documentación. La transparencia también se refiere a las consecuencias de los datos. Si los datos de desempeño se utilizan para decisiones de promoción o salario, los empleados deben saberlo. Si el feedback influye en los presupuestos de desarrollo o la composición de equipos, eso debe ser explícito. Esta apertura no solo previene problemas con el RGPD, sino que también aumenta la confianza en tus procesos de gestión del desempeño.

Medidas de seguridad que realmente marcan la diferencia

Los datos de desempeño son particularmente sensibles. Una filtración de la administración salarial es molesta, pero las evaluaciones de desempeño filtradas con feedback crítico pueden dañar carreras y envenenar el clima laboral. Por eso el RGPD exige medidas técnicas y organizativas apropiadas. La seguridad técnica comienza con el control de acceso. No todos en RR.HH. necesitan tener acceso a todos los datos de desempeño. Los gerentes solo deben poder ver los datos de su propio equipo, no los de otros departamentos. Los sistemas de gestión del desempeño deben tener registro de actividad, para que puedas ver quién ha visto o modificado qué datos y cuándo. Las medidas organizativas son igual de importantes. Eso significa protocolos claros sobre quién puede ver qué, cuánto tiempo se conservan los datos y cuándo se eliminan. Un empleado que deja la organización tiene derecho a la eliminación de ciertos datos. Pero algunos datos debes conservarlos precisamente para posibles procedimientos legales. Estas consideraciones requieren políticas. Una medida a menudo olvidada es la capacitación de gerentes y personal de RR.HH. Deben comprender por qué no pueden compartir capturas de pantalla de datos de desempeño por WhatsApp, por qué los documentos de feedback no deben estar en laptops personales, y cómo manejar las solicitudes de los empleados de acceso o corrección de sus datos.

Derechos de los empleados en la gestión del desempeño

Los empleados tienen derechos específicos bajo el RGPD que también se aplican a los datos de desempeño. El derecho de acceso significa que un empleado puede solicitar qué datos de desempeño has registrado sobre él o ella. Esto puede ser confrontativo si resulta que hay anotaciones que el empleado no conocía o interpretaba de manera diferente. El derecho de rectificación se vuelve relevante cuando un empleado no está de acuerdo con el feedback o las evaluaciones registradas. No estás obligado a cambiar evaluaciones subjetivas porque un empleado no esté de acuerdo, pero sí debes corregir información factual incorrecta. Y si hay discusión sobre una evaluación, debes dar espacio para que el empleado añada una respuesta al expediente. El derecho de supresión es complejo en la gestión del desempeño. No puedes simplemente eliminar todos los datos de desempeño porque un empleado lo solicite, ya que los necesitas para la ejecución del contrato de trabajo. Pero después de la terminación del empleo, debes examinar críticamente qué conservas por más tiempo y por qué. Estos derechos no son una carga burocrática, sino que pueden ayudarte a mejorar tus procesos de gestión del desempeño. Si los empleados solicitan regularmente la corrección de ciertos datos, es una señal de que tu documentación quizás no es lo suficientemente clara o que los gerentes registran de manera inconsistente.

Qué datos pertenecen y no pertenecen a la gestión del desempeño

No todos los datos que parecen relevantes para el desempeño pueden recopilarse y procesarse sin más. Los datos sobre la salud de alguien son datos personales especiales que gozan de protección adicional. Si un empleado habla durante una evaluación de desempeño sobre problemas de salud que afectan su rendimiento, debes manejarlo con cuidado. No puedes incluir esa información de forma estándar en el informe de la evaluación de desempeño. Si es relevante para los acuerdos laborales, es mejor registrar los acuerdos sin la razón médica subyacente. Por ejemplo: «El empleado trabajará desde casa los martes y jueves durante los próximos meses» en lugar de «El empleado tiene problemas de espalda y por eso debe trabajar desde casa». También en el feedback de 360 grados o cuestionarios de equipo debes tener cuidado con preguntas que puedan revelar indirectamente datos personales especiales. Las preguntas sobre preferencias de estilo de trabajo están bien, pero las preguntas que llevan a revelaciones sobre salud, religión u otras categorías protegidas es mejor evitarlas o formularlas con mucho cuidado. La minimización de datos también significa examinar críticamente el nivel de detalle del feedback. ¿Realmente necesitas citas textuales de conversaciones de feedback, o son suficientes los temas y puntos de desarrollo? ¿Debes registrar cada interacción en una herramienta de feedback continuo, o son suficientes resúmenes periódicos?

Del cumplimiento a la confianza

El cumplimiento del RGPD en la gestión del desempeño va en última instancia más allá de cumplir con requisitos legales. Se trata de crear una cultura en la que los empleados puedan confiar en que sus datos se manejan con cuidado y solo se utilizan para fines que comprenden y pueden respaldar. Las organizaciones que hacen esto bien ven que los empleados son más abiertos en las conversaciones de feedback y más honestos en la autorreflexión. Cuando las personas confían en que sus vulnerabilidades no se usarán en su contra, se atreven a compartirlas. Eso hace que la gestión del desempeño sea más efectiva, no a pesar sino gracias a las buenas prácticas de privacidad. La inversión en el cumplimiento del RGPD para la gestión del desempeño vale la pena en múltiples niveles. No solo previenes multas y daño reputacional, sino que también creas una base para una gestión del talento más efectiva. Los empleados que comprenden qué sucede con sus datos y experimentan control sobre ellos están más comprometidos con su propio desarrollo.

Pasos prácticos a seguir para tu organización

Comienza con un inventario exhaustivo de todos los procesos en los que recopilas y procesas datos de desempeño. No solo las evaluaciones anuales formales, sino también herramientas de feedback informal, revisiones entre pares, planes de desarrollo y matrices de talento. Para cada proceso determina el objetivo, la base legal legítima y qué datos son realmente necesarios. Luego documenta quién tiene acceso a qué datos y por qué. Toma decisiones conscientes sobre períodos de retención y registra cuándo se eliminan los datos. Asegúrate de que esta información no solo esté en un documento de políticas, sino que también esté implementada prácticamente en tus sistemas de RR.HH. Invierte en comunicación clara hacia los empleados. No una vez en una declaración de privacidad general, sino repetidamente en cada proceso de gestión del desempeño. Hazlo concreto: quién ve este feedback, cuánto tiempo se conserva, para qué se utiliza. No tiene que ser complicado, pero debe ser claro. Y finalmente: capacita regularmente a tus gerentes y equipo de RR.HH. El cumplimiento del RGPD no es un proyecto único sino un proceso continuo. Nuevas herramientas, procesos cambiantes y personal rotativo requieren atención continua a la privacidad en la gestión del desempeño. Eso no es un lujo, sino una inversión en confianza y efectividad.