24. marzo 2021 | Imprimir artículo |

Protección de datos personales: Un tema que trasciende el ámbito de RRHH

10 min de lectura

Actualizado por última vez: marzo de 2026 | Publicado originalmente: 2021

A partir de enero de 2027, la nómina digital será obligatoria. Al mismo tiempo, las autoridades alemanas de protección de datos están imponiendo multas récord: 900.000 euros solo por conservar datos durante demasiado tiempo. Quien aún gestione los expedientes de personal según el esquema de 2020 no solo corre el riesgo de incumplir la normativa, sino también de asumir una responsabilidad personal como director bajo el marco del NIS2.

En resumen

  • A partir del 1 de enero de 2027, todos los empleadores deberán llevar sus documentos salariales de forma digital; las solicitudes de exención expiran a finales de 2026 (Ley de modificación n.º 7 del Código de Seguridad Social).
  • En 2024, las autoridades alemanas de protección de datos impusieron un total de 266 multas por valor de 2,5 millones de euros; la multa individual más elevada fue de 900.000 euros por conservar datos más allá del plazo legal (dsgvo-portal.de).
  • El 37 % de todos los datos personales robados en Alemania durante ciberataques corresponden a información de empleados, una proporción mayor que la de los datos financieros (Estudio sobre ciberseguridad de KPMG, 2024).
  • El proyecto de Ley de Datos de Empleados ha fracasado tras la ruptura de la coalición en noviembre de 2024; sigue vigente únicamente el artículo 26 de la Ley Federal de Protección de Datos como disposición supletoria.
  • El NIS2 entró en vigor en diciembre de 2025: los incidentes de seguridad en los sistemas de RRHH ahora desencadenan tanto la obligación de notificación del NIS2 como la notificación de violaciones de datos prevista en el RGPD.

Por qué los expedientes de personal son en 2026 un tema estratégico de seguridad

Durante mucho tiempo, los expedientes de personal se consideraron un asunto exclusivo de RRHH. Esa percepción ha cambiado radicalmente. Tres tendencias obligan a las empresas a replantearse su manejo de los datos de empleados: la obligatoriedad de la nómina digital a partir de 2027, la aplicación más estricta de la normativa de protección de datos y las obligaciones de notificación del NIS2, que incorporan por primera vez los sistemas de RRHH al ámbito de la regulación de ciberseguridad.

La razón es clara: los expedientes de personal constituyen una de las colecciones de datos más valiosas de cualquier empresa. Contienen cuentas bancarias, identificadores fiscales, datos de salud, evaluaciones de desempeño: suficiente material para robo de identidad, extorsión o ingeniería social dirigida contra altos directivos.

37 %
de todos los datos robados en Alemania durante ciberataques corresponden a información de empleados
Fuente: Estudio sobre ciberseguridad de KPMG, 2024

Marco jurídico en 2026: ¿qué está vigente y qué ha fracasado?

Las esperanzas puestas en una ley específica sobre datos de empleados se han disipado. El Ministerio Federal de Trabajo y Asuntos Sociales presentó en octubre de 2024 un borrador de ley que pretendía establecer por primera vez reglas claras sobre datos de candidatos, vigilancia de la salud en el puesto de trabajo y decisiones de personal basadas en inteligencia artificial. Tras la ruptura de la coalición el 6 de noviembre de 2024, el borrador no llegó al Parlamento. En el actual acuerdo de coalición entre CDU/CSU y SPD, este tema ni siquiera aparece.

En la práctica, esto significa que para la protección de los datos de empleados sigue aplicándose el artículo 26 de la Ley Federal de Protección de Datos como cláusula nacional de apertura del RGPD. Una norma que incluso los expertos en derecho de protección de datos califican de «escasa», ya que básicamente solo permite tratar los datos de empleados cuando sea necesario para la relación laboral.

En cambio, la aplicación del RGPD en Alemania se ha endurecido notablemente. El estudio de DLA Piper de enero de 2025 documenta multas europeas por valor de 1.200 millones de euros en 2024. En Alemania, se tramitaron 266 procedimientos con una suma total de 2,5 millones de euros. La multa individual más alta ascendió a 900.000 euros, impuesta a un proveedor de servicios que había almacenado datos cinco años más allá del plazo legal sin base jurídica alguna.

«La autoridad de protección de datos de Hamburgo inició en 2024 el doble de procedimientos sancionadores que en todo el año anterior. La autoridad de Sajonia alcanzó, ya en el primer semestre, el volumen total del año 2023.»
– Resumen de las tendencias en materia de aplicación (security-insider.de, 2024)

Dos casos que toda empresa debería conocer

Caso uno: Una organización cultural documentaba sistemáticamente el estado de salud de sus empleados y su interés en crear un comité de empresa. Objetivo: facilitar despidos durante el período de prueba. La autoridad de protección de datos impuso una multa de 215.000 euros por infracción del artículo 9 del RGPD (categorías especiales de datos) y del artículo 26 de la Ley Federal de Protección de Datos.

Caso dos: Vigilancia oculta mediante cámaras integradas en enchufes, instaladas para grabar a tres pasantes sin su conocimiento ni base jurídica. Multa: 4.000 euros. Aunque el daño económico fue limitado, el daño reputacional para la empresa fue considerable.

Ambos casos demuestran que las autoridades no examinan únicamente las medidas técnicas, sino también la intención detrás del tratamiento de los datos. Quien utilice los expedientes de personal como arma contra sus empleados pagará un precio múltiple.

Plazos de conservación: la tabla que debe estar en toda oficina de RRHH

No existe un plazo legal único para «el expediente de personal». Distintos documentos están sujetos a distintas obligaciones de conservación, lo cual constituye uno de los errores de cumplimiento más frecuentes. La multa de 900.000 euros por conservación indebida muestra adónde conducen las reglas genéricas del tipo «conservamos todo durante 10 años».

Tipo de documento Plazo Base jurídica
Documentos fiscales relacionados con el impuesto sobre la renta y recibos ELStAM 6 años Artículo 41, apartado 1, de la Ley del Impuesto sobre la Renta; artículo 147 de la Ordenanza Fiscal
Nóminas y comprobantes contables 10 años Artículo 257 del Código de Comercio; artículo 147 de la Ordenanza Fiscal
Certificados de afiliación a la seguridad social 5 años Código de Seguridad Social IV
Comprobantes del salario mínimo 2 años Ley del Salario Mínimo
Previsión de jubilación complementaria hasta 30 años Ley de Previsión de Jubilación Complementaria (derecho de prescripción)
Bajas médicas (menos de 6 semanas/año) 12 meses Principio de minimización de datos del RGPD
Reclamaciones laborales generales 3 años Artículos 195 y 199 del Código Civil

Regla fundamental: Las obligaciones legales de conservación prevalecen sobre la obligación de supresión del RGPD. Pero tan pronto como expire el último plazo aplicable, entra en vigor el artículo 17 del RGPD, y surge una obligación activa de eliminar los datos. Quien carezca de conceptos automatizados de eliminación acabará, tarde o temprano, almacenando datos de forma ilegal.

Nómina digital: qué será obligatorio a partir de 2027

La Ley de modificación n.º 7 del Código de Seguridad Social establece, a partir del 1 de enero de 2027, la obligatoriedad de llevar los documentos salariales de forma digital para todos los empleadores. La posibilidad actual de solicitar exenciones caduca a finales de 2026. Quedan afectados los documentos relacionados con la remuneración y la seguridad social:

  • Comprobantes de inscripción y certificados de afiliación a las mutuas de salud
  • Registros de jornada laboral y nóminas
  • Certificados relacionados con la remuneración y comunicaciones a la seguridad social

Importante: La obligación afecta al núcleo de los documentos salariales, no al expediente de personal completo. Las evaluaciones de desempeño, amonestaciones o certificados de formación pueden seguir gestionándose en papel, aunque entonces surge la duda de si resulta razonable mantener un sistema paralelo digital y analógico.

Los requisitos van más allá de un simple archivo en PDF: protocolización segura de auditoría, organización estructurada y asignación inequívoca al empleado. Los sistemas que no cumplan estos requisitos no serán conformes con la normativa a partir de 2027.

Conservación de expedientes de personal en formato físico

Aunque la digitalización avanza, los expedientes de personal en papel siguen siendo una realidad en muchas empresas. La Ley Federal de Protección de Datos subraya expresamente, en su artículo 32, apartado 2, la validez del formato físico y establece requisitos especiales para su seguridad física.

Los archivadores y cajas fuertes deben cumplir normas europeas específicas: EN 1143-1 para protección certificada contra robos y EN 1047-1 para protección contra incendios. Con cajas fuertes o archivadores de seguridad de Kaiser+Kraft, los expedientes de personal sensibles pueden almacenarse de forma segura conforme a estas normas.

Anzeige

Respecto al acceso a los expedientes de personal: solo las personas autorizadas pueden consultarlos. Ni siquiera los superiores jerárquicos tienen acceso ilimitado; un fallo fundamental del Tribunal Federal de Trabajo (asunto 5 AZR 215/86) limita el círculo de personas autorizadas al mínimo indispensable. El acceso solo está permitido en el contexto de un asunto concreto de personal o para fines de gestión administrativa.

NIS2 y RRHH: cuando los expedientes de personal se convierten en un tema de ciberseguridad

Desde el 6 de diciembre de 2025 está en vigor la ley de transposición del NIS2. Aproximadamente 29.500 empresas en Alemania están afectadas, todas aquellas con más de 50 empleados o un volumen de negocios superior a 10 millones de euros en los 18 sectores definidos. Su relevancia para los datos de RRHH es indirecta, pero real:

  • Obligación de gestión de riesgos: Las empresas sujetas al NIS2 deben demostrar una gestión sistemática de riesgos para sus sistemas informáticos. Esto incluye los sistemas de RRHH que contienen expedientes de personal.
  • Doble obligación de notificación: Un incidente de seguridad en los datos de RRHH desencadena tanto la obligación de notificación del NIS2 como la notificación de violación de datos del RGPD según los artículos 33 y 34. Dos autoridades, dos plazos, dos procesos.
  • Responsabilidad personal de los directivos: El artículo 30 de la Ley de Seguridad de la Información hace personalmente responsables a los directivos en caso de infracciones culposas de las obligaciones de gestión de riesgos.
  • Sanciones: Hasta 10 millones de euros o el 2 % del volumen de negocios mundial anual.

Lista de comprobación práctica: 7 pasos hacia una gestión conforme de los expedientes de personal

  1. Implementar un plan de eliminación: Plazos automáticos de eliminación para cada tipo de documento (véase la tabla anterior). Nada de reglas genéricas del tipo «10 años para todo».
  2. Realizar una evaluación de impacto sobre la protección de datos: El artículo 35 del RGPD exige una evaluación de impacto antes de implantar cualquier nuevo software de RRHH. Corregir los sistemas existentes que carezcan de dicha evaluación.
  3. Revisar el plan de acceso: Principio de privilegios mínimos basado en roles. Los administradores de RRHH ven todo, los jefes de equipo solo a sus reportes directos y la contabilidad solo los datos salariales. Cada acceso queda registrado.
  4. Involucrar al comité de empresa: Artículo 87, apartado 1, número 6, de la Ley de Comités de Empresa: la implantación de dispositivos técnicos para la vigilancia de los empleados requiere la participación obligatoria del comité de empresa. Una nómina electrónica sin convenio colectivo es impugnable.
  5. Separar las categorías especiales de datos: Datos de salud, afiliación sindical y convicciones religiosas (artículo 9 del RGPD) deben almacenarse separadamente de los datos personales generales. Acceso diferenciado y plan de eliminación independiente.
  6. Preparar la nómina digital: Instalar, antes de finales de 2026, un sistema seguro de auditoría. Requisitos: organización estructurada, asignación inequívoca y protocolización.
  7. Definir un plan de respuesta ante incidentes para los datos de RRHH: ¿Quién notifica a qué autoridad y dentro de qué plazo? RGPD: 72 horas ante la autoridad de protección de datos. NIS2: notificación inicial al BSI en 24 horas (para empresas sujetas al NIS2).

Conclusión: los expedientes de personal ya no son un asunto de RRHH

Entre la obligación de la nómina digital en 2027, la aplicación más estricta del RGPD y las obligaciones de notificación del NIS2, la gestión de los expedientes de personal se ha convertido en un tema transversal que deben abordar conjuntamente los departamentos de RRHH, seguridad informática, legal y dirección general. Quien aún trabaje con listas de Excel y carpetas de papel, tiene poco margen.

El primer paso no cuesta nada: imprimir la tabla de plazos de conservación, compararla con el proceso de eliminación actual y documentar dónde hay lagunas. Quien descubra que no existe un proceso de eliminación, al menos sabe por dónde empezar.

Preguntas frecuentes

¿Cuánto tiempo pueden conservarse los expedientes de personal después de la finalización de la relación laboral?

No existe un plazo uniforme. Los documentos fiscales deben conservarse durante 6 años y los comprobantes de contabilidad durante 10 años (artículo 147 del Código Penal). Las reclamaciones laborales generales prescriben después de 3 años (artículos 195 y 199 del Código Penal). Una vez transcurridos todos los plazos aplicables, existe una obligación de eliminación según el artículo 17 del RGPD. La práctica de muchas empresas de conservar los expedientes durante 10 años no está legalmente justificada si no existe una obligación específica de conservación para el tipo de documento correspondiente.

¿Quién puede acceder a los expedientes de personal?

Solo un círculo muy restringido: el departamento de RRHH en el marco de la gestión de personal, el propio empleado (derecho de acceso según el artículo 15 del RGPD) y los superiores jerárquicos solo en caso de un asunto concreto de personal. El Tribunal Federal de Trabajo (asunto 5 AZR 215/86) ha dejado claro que el círculo de personas autorizadas a acceder debe ser lo más pequeño posible. Cada acceso debe ser registrado.

¿Deben ser completamente digitales los expedientes de personal a partir de 2027?

No, solo los documentos de nómina (nómina, comprobantes de seguridad social, registros de horas de trabajo). La modificación del artículo 7 del Código de Seguridad Social obliga a partir de enero de 2027 a la nómina digital. Otros componentes como las evaluaciones de rendimiento o las amonestaciones pueden seguir llevándose en formato papel. Sin embargo, los requisitos para la gestión digital van más allá del almacenamiento en PDF: la protocolización segura de auditoría y la organización estructurada son obligatorias.

¿Qué ocurre en caso de una brecha de seguridad con los expedientes de personal?

Se aplican hasta dos obligaciones de notificación paralelas: el artículo 33 del RGPD exige una notificación a la autoridad de protección de datos competente dentro de las 72 horas. Si la empresa está sujeta al NIS2 (a partir de 50 empleados en sectores regulados), se añade una notificación inicial al BSI dentro de las 24 horas. En caso de alto riesgo para los afectados, estos deben ser notificados individualmente según el artículo 34 del RGPD.

¿Necesito una evaluación de impacto sobre la protección de datos para el software de RRHH?

En la mayoría de los casos, sí. El artículo 35 del RGPD exige una evaluación de impacto sobre la protección de datos si el tratamiento de datos probablemente entrañe un alto riesgo para los derechos de los interesados. En los sistemas de RRHH que procesan sistemáticamente datos de empleados, incluidos categorías especiales como datos de salud, esto es habitual. Las autoridades alemanas de protección de datos incluyen explícitamente los sistemas de gestión de personal en sus listas positivas de tratamientos sujetos a evaluación de impacto sobre la protección de datos.

Más del MBF Media Network

Fuente de imagen: Pexels / Element5 Digital (px:1370294)

Tobias Massow

Sobre el autor: Tobias Massow

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH