{"id":8347,"date":"2021-03-24T15:23:22","date_gmt":"2021-03-24T15:23:22","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-2813\/"},"modified":"2026-05-10T19:15:46","modified_gmt":"2026-05-10T19:15:46","slug":"proteccion-de-datos-personales-un-tema-que-trasciende-el-ambito-de-rrhh","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2021\/03\/24\/proteccion-de-datos-personales-un-tema-que-trasciende-el-ambito-de-rrhh\/","title":{"rendered":"Protecci\u00f3n de datos personales: Un tema que trasciende el \u00e1mbito de RRHH"},"content":{"rendered":"<p style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;margin-bottom:18px;\">10 min de lectura<\/p>\n<p style=\"color:#888;font-size:0.85em;margin-bottom:18px;\">Actualizado por \u00faltima vez: marzo de 2026 | Publicado originalmente: 2021<\/p>\n<p><b>A partir de enero de 2027, la n\u00f3mina digital ser\u00e1 obligatoria. Al mismo tiempo, las autoridades alemanas de protecci\u00f3n de datos est\u00e1n imponiendo multas r\u00e9cord: 900.000 euros solo por conservar datos durante demasiado tiempo. Quien a\u00fan gestione los expedientes de personal seg\u00fan el esquema de 2020 no solo corre el riesgo de incumplir la normativa, sino tambi\u00e9n de asumir una responsabilidad personal como director bajo el marco del NIS2.<\/b><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li>A partir del 1 de enero de 2027, todos los empleadores deber\u00e1n llevar sus documentos salariales de forma digital; las solicitudes de exenci\u00f3n expiran a finales de 2026 (Ley de modificaci\u00f3n n.\u00ba 7 del C\u00f3digo de Seguridad Social).<\/li>\n<li>En 2024, las autoridades alemanas de protecci\u00f3n de datos impusieron un total de 266 multas por valor de 2,5 millones de euros; la multa individual m\u00e1s elevada fue de 900.000 euros por conservar datos m\u00e1s all\u00e1 del plazo legal (dsgvo-portal.de).<\/li>\n<li>El 37 % de todos los datos personales robados en Alemania durante ciberataques corresponden a informaci\u00f3n de empleados, una proporci\u00f3n mayor que la de los datos financieros (Estudio sobre ciberseguridad de KPMG, 2024).<\/li>\n<li>El proyecto de Ley de Datos de Empleados ha fracasado tras la ruptura de la coalici\u00f3n en noviembre de 2024; sigue vigente \u00fanicamente el art\u00edculo 26 de la Ley Federal de Protecci\u00f3n de Datos como disposici\u00f3n supletoria.<\/li>\n<li>El NIS2 entr\u00f3 en vigor en diciembre de 2025: los incidentes de seguridad en los sistemas de RRHH ahora desencadenan tanto la obligaci\u00f3n de notificaci\u00f3n del NIS2 como la notificaci\u00f3n de violaciones de datos prevista en el RGPD.<\/li>\n<\/ul>\n<h2>Por qu\u00e9 los expedientes de personal son en 2026 un tema estrat\u00e9gico de seguridad<\/h2>\n<p>Durante mucho tiempo, los expedientes de personal se consideraron un asunto exclusivo de RRHH. Esa percepci\u00f3n ha cambiado radicalmente. Tres tendencias obligan a las empresas a replantearse su manejo de los datos de empleados: la obligatoriedad de la n\u00f3mina digital a partir de 2027, la aplicaci\u00f3n m\u00e1s estricta de la normativa de protecci\u00f3n de datos y las obligaciones de notificaci\u00f3n del NIS2, que incorporan por primera vez los sistemas de RRHH al \u00e1mbito de la regulaci\u00f3n de ciberseguridad.<\/p>\n<p>La raz\u00f3n es clara: los expedientes de personal constituyen una de las colecciones de datos m\u00e1s valiosas de cualquier empresa. Contienen cuentas bancarias, identificadores fiscales, datos de salud, evaluaciones de desempe\u00f1o: suficiente material para robo de identidad, extorsi\u00f3n o ingenier\u00eda social dirigida contra altos directivos.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">37 %<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">de todos los datos robados en Alemania durante ciberataques corresponden a informaci\u00f3n de empleados<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Fuente: Estudio sobre ciberseguridad de KPMG, 2024<\/div>\n<\/div>\n<h2>Marco jur\u00eddico en 2026: \u00bfqu\u00e9 est\u00e1 vigente y qu\u00e9 ha fracasado?<\/h2>\n<p>Las esperanzas puestas en una ley espec\u00edfica sobre datos de empleados se han disipado. El Ministerio Federal de Trabajo y Asuntos Sociales present\u00f3 en octubre de 2024 un borrador de ley que pretend\u00eda establecer por primera vez reglas claras sobre datos de candidatos, vigilancia de la salud en el puesto de trabajo y decisiones de personal basadas en inteligencia artificial. Tras la ruptura de la coalici\u00f3n el 6 de noviembre de 2024, el borrador no lleg\u00f3 al Parlamento. En el actual acuerdo de coalici\u00f3n entre CDU\/CSU y SPD, este tema ni siquiera aparece.<\/p>\n<p>En la pr\u00e1ctica, esto significa que para la protecci\u00f3n de los datos de empleados sigue aplic\u00e1ndose el <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/26\/post_id-3531\/\">art\u00edculo 26 de la Ley Federal de Protecci\u00f3n de Datos como cl\u00e1usula nacional de apertura del RGPD<\/a>. Una norma que incluso los expertos en derecho de protecci\u00f3n de datos califican de \u00abescasa\u00bb, ya que b\u00e1sicamente solo permite tratar los datos de empleados cuando sea necesario para la relaci\u00f3n laboral.<\/p>\n<p>En cambio, la aplicaci\u00f3n del RGPD en Alemania se ha endurecido notablemente. El estudio de DLA Piper de enero de 2025 documenta multas europeas por valor de 1.200 millones de euros en 2024. En Alemania, se tramitaron 266 procedimientos con una suma total de 2,5 millones de euros. La multa individual m\u00e1s alta ascendi\u00f3 a 900.000 euros, impuesta a un proveedor de servicios que hab\u00eda almacenado datos cinco a\u00f1os m\u00e1s all\u00e1 del plazo legal sin base jur\u00eddica alguna.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\">\n<p>\n  \u00abLa autoridad de protecci\u00f3n de datos de Hamburgo inici\u00f3 en 2024 el doble de procedimientos sancionadores que en todo el a\u00f1o anterior. La autoridad de Sajonia alcanz\u00f3, ya en el primer semestre, el volumen total del a\u00f1o 2023.\u00bb<br \/>\n  <cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\"> &#8211;  Resumen de las tendencias en materia de aplicaci\u00f3n (security-insider.de, 2024)<\/cite>\n<\/p>\n<\/blockquote>\n<h2>Dos casos que toda empresa deber\u00eda conocer<\/h2>\n<p>Caso uno: Una organizaci\u00f3n cultural documentaba sistem\u00e1ticamente el estado de salud de sus empleados y su inter\u00e9s en crear un comit\u00e9 de empresa. Objetivo: facilitar despidos durante el per\u00edodo de prueba. La autoridad de protecci\u00f3n de datos impuso una multa de 215.000 euros por infracci\u00f3n del art\u00edculo 9 del RGPD (categor\u00edas especiales de datos) y del art\u00edculo 26 de la Ley Federal de Protecci\u00f3n de Datos.<\/p>\n<p>Caso dos: Vigilancia oculta mediante c\u00e1maras integradas en enchufes, instaladas para grabar a tres pasantes sin su conocimiento ni base jur\u00eddica. Multa: 4.000 euros. Aunque el da\u00f1o econ\u00f3mico fue limitado, el da\u00f1o reputacional para la empresa fue considerable.<\/p>\n<p>Ambos casos demuestran que las autoridades no examinan \u00fanicamente las medidas t\u00e9cnicas, sino tambi\u00e9n la intenci\u00f3n detr\u00e1s del tratamiento de los datos. Quien utilice los expedientes de personal como arma contra sus empleados pagar\u00e1 un precio m\u00faltiple.<\/p>\n<h2>Plazos de conservaci\u00f3n: la tabla que debe estar en toda oficina de RRHH<\/h2>\n<p>No existe un plazo legal \u00fanico para \u00abel expediente de personal\u00bb. Distintos documentos est\u00e1n sujetos a distintas obligaciones de conservaci\u00f3n, lo cual constituye uno de los errores de cumplimiento m\u00e1s frecuentes. La multa de 900.000 euros por conservaci\u00f3n indebida muestra ad\u00f3nde conducen las reglas gen\u00e9ricas del tipo \u00abconservamos todo durante 10 a\u00f1os\u00bb.<\/p>\n<table style=\"width:100%;border-collapse:collapse;margin:24px 0;\">\n<thead>\n<tr style=\"background:#f0f9fa;\">\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Tipo de documento<\/th>\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Plazo<\/th>\n<th style=\"padding:12px;text-align:left;border-bottom:2px solid #69d8ed;\">Base jur\u00eddica<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Documentos fiscales relacionados con el impuesto sobre la renta y recibos ELStAM<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">6 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Art\u00edculo 41, apartado 1, de la Ley del Impuesto sobre la Renta; art\u00edculo 147 de la Ordenanza Fiscal<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">N\u00f3minas y comprobantes contables<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">10 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Art\u00edculo 257 del C\u00f3digo de Comercio; art\u00edculo 147 de la Ordenanza Fiscal<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Certificados de afiliaci\u00f3n a la seguridad social<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">5 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">C\u00f3digo de Seguridad Social IV<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Comprobantes del salario m\u00ednimo<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">2 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Ley del Salario M\u00ednimo<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Previsi\u00f3n de jubilaci\u00f3n complementaria<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">hasta 30 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Ley de Previsi\u00f3n de Jubilaci\u00f3n Complementaria (derecho de prescripci\u00f3n)<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Bajas m\u00e9dicas (menos de 6 semanas\/a\u00f1o)<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">12 meses<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Principio de minimizaci\u00f3n de datos del RGPD<\/td>\n<\/tr>\n<tr>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Reclamaciones laborales generales<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">3 a\u00f1os<\/td>\n<td style=\"padding:10px;border-bottom:1px solid #eee;\">Art\u00edculos 195 y 199 del C\u00f3digo Civil<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Regla fundamental:<\/strong> Las obligaciones legales de conservaci\u00f3n prevalecen sobre la obligaci\u00f3n de supresi\u00f3n del RGPD. Pero tan pronto como expire el \u00faltimo plazo aplicable, entra en vigor el art\u00edculo 17 del RGPD, y surge una obligaci\u00f3n activa de eliminar los datos. Quien carezca de conceptos automatizados de eliminaci\u00f3n acabar\u00e1, tarde o temprano, almacenando datos de forma ilegal.<\/p>\n<h2>N\u00f3mina digital: qu\u00e9 ser\u00e1 obligatorio a partir de 2027<\/h2>\n<p>La Ley de modificaci\u00f3n n.\u00ba 7 del C\u00f3digo de Seguridad Social establece, a partir del 1 de enero de 2027, la obligatoriedad de llevar los documentos salariales de forma digital para todos los empleadores. La posibilidad actual de solicitar exenciones caduca a finales de 2026. Quedan afectados los documentos relacionados con la remuneraci\u00f3n y la seguridad social:<\/p>\n<ul>\n<li>Comprobantes de inscripci\u00f3n y certificados de afiliaci\u00f3n a las mutuas de salud<\/li>\n<li>Registros de jornada laboral y n\u00f3minas<\/li>\n<li>Certificados relacionados con la remuneraci\u00f3n y comunicaciones a la seguridad social<\/li>\n<\/ul>\n<p>Importante: La obligaci\u00f3n afecta al n\u00facleo de los documentos salariales, no al expediente de personal completo. Las evaluaciones de desempe\u00f1o, amonestaciones o certificados de formaci\u00f3n pueden seguir gestion\u00e1ndose en papel, aunque entonces surge la duda de si resulta razonable mantener un sistema paralelo digital y anal\u00f3gico.<\/p>\n<p>Los requisitos van m\u00e1s all\u00e1 de un simple archivo en PDF: protocolizaci\u00f3n segura de auditor\u00eda, organizaci\u00f3n estructurada y asignaci\u00f3n inequ\u00edvoca al empleado. Los sistemas que no cumplan estos requisitos no ser\u00e1n conformes con la normativa a partir de 2027.<\/p>\n<h2>Conservaci\u00f3n de expedientes de personal en formato f\u00edsico<\/h2>\n<p>Aunque la digitalizaci\u00f3n avanza, los expedientes de personal en papel siguen siendo una realidad en muchas empresas. La Ley Federal de Protecci\u00f3n de Datos subraya expresamente, en su art\u00edculo 32, apartado 2, la validez del formato f\u00edsico y establece requisitos especiales para su seguridad f\u00edsica.<\/p>\n<p>Los archivadores y cajas fuertes deben cumplir normas europeas espec\u00edficas: EN 1143-1 para protecci\u00f3n certificada contra robos y EN 1047-1 para protecci\u00f3n contra incendios. Con <a href=\"https:\/\/www.kaiserkraft.de\/bueromoebel\/tresore\/c\/63910-KK\/\" target=\"_blank\" rel=\"noopener\">cajas fuertes o archivadores de seguridad de Kaiser+Kraft<\/a>, los expedientes de personal sensibles pueden almacenarse de forma segura conforme a estas normas.<\/p>\n<p style=\"text-align: right;\"><em>Anzeige<\/em><\/p>\n<p>Respecto al acceso a los expedientes de personal: solo las personas autorizadas pueden consultarlos. Ni siquiera los superiores jer\u00e1rquicos tienen acceso ilimitado; un fallo fundamental del Tribunal Federal de Trabajo (asunto 5 AZR 215\/86) limita el c\u00edrculo de personas autorizadas al m\u00ednimo indispensable. El acceso solo est\u00e1 permitido en el contexto de un asunto concreto de personal o para fines de gesti\u00f3n administrativa.<\/p>\n<h2>NIS2 y RRHH: cuando los expedientes de personal se convierten en un tema de ciberseguridad<\/h2>\n<p>Desde el 6 de diciembre de 2025 est\u00e1 en vigor la ley de transposici\u00f3n del NIS2. Aproximadamente 29.500 empresas en Alemania est\u00e1n afectadas, todas aquellas con m\u00e1s de 50 empleados o un volumen de negocios superior a 10 millones de euros en los 18 sectores definidos. Su relevancia para los datos de RRHH es indirecta, pero real:<\/p>\n<ul>\n<li><strong>Obligaci\u00f3n de gesti\u00f3n de riesgos:<\/strong> Las empresas sujetas al NIS2 deben demostrar una gesti\u00f3n sistem\u00e1tica de riesgos para sus sistemas inform\u00e1ticos. Esto incluye <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/19\/post_id-5412\/\">los sistemas de RRHH que contienen expedientes de personal<\/a>.<\/li>\n<li><strong>Doble obligaci\u00f3n de notificaci\u00f3n:<\/strong> Un incidente de seguridad en los datos de RRHH desencadena tanto la obligaci\u00f3n de notificaci\u00f3n del NIS2 como la notificaci\u00f3n de violaci\u00f3n de datos del RGPD seg\u00fan los art\u00edculos 33 y 34. Dos autoridades, dos plazos, dos procesos.<\/li>\n<li><strong>Responsabilidad personal de los directivos:<\/strong> <a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/20\/post_id-5461\/\">El art\u00edculo 30 de la Ley de Seguridad de la Informaci\u00f3n<\/a> hace personalmente responsables a los directivos en caso de infracciones culposas de las obligaciones de gesti\u00f3n de riesgos.<\/li>\n<li><strong>Sanciones:<\/strong> Hasta 10 millones de euros o el 2 % del volumen de negocios mundial anual.<\/li>\n<\/ul>\n<h2>Lista de comprobaci\u00f3n pr\u00e1ctica: 7 pasos hacia una gesti\u00f3n conforme de los expedientes de personal<\/h2>\n<ol>\n<li><strong>Implementar un plan de eliminaci\u00f3n:<\/strong> Plazos autom\u00e1ticos de eliminaci\u00f3n para cada tipo de documento (v\u00e9ase la tabla anterior). Nada de reglas gen\u00e9ricas del tipo \u00ab10 a\u00f1os para todo\u00bb.<\/li>\n<li><strong>Realizar una evaluaci\u00f3n de impacto sobre la protecci\u00f3n de datos:<\/strong> El art\u00edculo 35 del RGPD exige una evaluaci\u00f3n de impacto antes de implantar cualquier nuevo software de RRHH. Corregir los sistemas existentes que carezcan de dicha evaluaci\u00f3n.<\/li>\n<li><strong>Revisar el plan de acceso:<\/strong> Principio de privilegios m\u00ednimos basado en roles. Los administradores de RRHH ven todo, los jefes de equipo solo a sus reportes directos y la contabilidad solo los datos salariales. Cada acceso queda registrado.<\/li>\n<li><strong>Involucrar al comit\u00e9 de empresa:<\/strong> Art\u00edculo 87, apartado 1, n\u00famero 6, de la Ley de Comit\u00e9s de Empresa: la implantaci\u00f3n de dispositivos t\u00e9cnicos para la vigilancia de los empleados requiere la participaci\u00f3n obligatoria del comit\u00e9 de empresa. Una n\u00f3mina electr\u00f3nica sin convenio colectivo es impugnable.<\/li>\n<li><strong>Separar las categor\u00edas especiales de datos:<\/strong> Datos de salud, afiliaci\u00f3n sindical y convicciones religiosas (art\u00edculo 9 del RGPD) deben almacenarse separadamente de los datos personales generales. Acceso diferenciado y plan de eliminaci\u00f3n independiente.<\/li>\n<li><strong>Preparar la n\u00f3mina digital:<\/strong> Instalar, antes de finales de 2026, un sistema seguro de auditor\u00eda. Requisitos: organizaci\u00f3n estructurada, asignaci\u00f3n inequ\u00edvoca y protocolizaci\u00f3n.<\/li>\n<li><strong>Definir un plan de respuesta ante incidentes para los datos de RRHH:<\/strong> \u00bfQui\u00e9n notifica a qu\u00e9 autoridad y dentro de qu\u00e9 plazo? RGPD: 72 horas ante la autoridad de protecci\u00f3n de datos. NIS2: notificaci\u00f3n inicial al BSI en 24 horas (para empresas sujetas al NIS2).<\/li>\n<\/ol>\n<h2>Conclusi\u00f3n: los expedientes de personal ya no son un asunto de RRHH<\/h2>\n<p>Entre la obligaci\u00f3n de la n\u00f3mina digital en 2027, la aplicaci\u00f3n m\u00e1s estricta del RGPD y las obligaciones de notificaci\u00f3n del NIS2, la gesti\u00f3n de los expedientes de personal se ha convertido en un tema transversal que deben abordar conjuntamente los departamentos de RRHH, seguridad inform\u00e1tica, legal y direcci\u00f3n general. Quien a\u00fan trabaje con listas de Excel y carpetas de papel, tiene poco margen.<\/p>\n<p>El primer paso no cuesta nada: imprimir la tabla de plazos de conservaci\u00f3n, compararla con el proceso de eliminaci\u00f3n actual y documentar d\u00f3nde hay lagunas. Quien descubra que no existe un proceso de eliminaci\u00f3n, al menos sabe por d\u00f3nde empezar.<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfCu\u00e1nto tiempo pueden conservarse los expedientes de personal despu\u00e9s de la finalizaci\u00f3n de la relaci\u00f3n laboral?<\/h3>\n<p>No existe un plazo uniforme. Los documentos fiscales deben conservarse durante 6 a\u00f1os y los comprobantes de contabilidad durante 10 a\u00f1os (art\u00edculo 147 del C\u00f3digo Penal). Las reclamaciones laborales generales prescriben despu\u00e9s de 3 a\u00f1os (art\u00edculos 195 y 199 del C\u00f3digo Penal). Una vez transcurridos todos los plazos aplicables, existe una obligaci\u00f3n de eliminaci\u00f3n seg\u00fan el art\u00edculo 17 del RGPD. La pr\u00e1ctica de muchas empresas de conservar los expedientes durante 10 a\u00f1os no est\u00e1 legalmente justificada si no existe una obligaci\u00f3n espec\u00edfica de conservaci\u00f3n para el tipo de documento correspondiente.<\/p>\n<h3>\u00bfQui\u00e9n puede acceder a los expedientes de personal?<\/h3>\n<p>Solo un c\u00edrculo muy restringido: el departamento de RRHH en el marco de la gesti\u00f3n de personal, el propio empleado (derecho de acceso seg\u00fan el art\u00edculo 15 del RGPD) y los superiores jer\u00e1rquicos solo en caso de un asunto concreto de personal. El Tribunal Federal de Trabajo (asunto 5 AZR 215\/86) ha dejado claro que el c\u00edrculo de personas autorizadas a acceder debe ser lo m\u00e1s peque\u00f1o posible. Cada acceso debe ser registrado.<\/p>\n<h3>\u00bfDeben ser completamente digitales los expedientes de personal a partir de 2027?<\/h3>\n<p>No, solo los documentos de n\u00f3mina (n\u00f3mina, comprobantes de seguridad social, registros de horas de trabajo). La modificaci\u00f3n del art\u00edculo 7 del C\u00f3digo de Seguridad Social obliga a partir de enero de 2027 a la n\u00f3mina digital. Otros componentes como las evaluaciones de rendimiento o las amonestaciones pueden seguir llev\u00e1ndose en formato papel. Sin embargo, los requisitos para la gesti\u00f3n digital van m\u00e1s all\u00e1 del almacenamiento en PDF: la protocolizaci\u00f3n segura de auditor\u00eda y la organizaci\u00f3n estructurada son obligatorias.<\/p>\n<h3>\u00bfQu\u00e9 ocurre en caso de una brecha de seguridad con los expedientes de personal?<\/h3>\n<p>Se aplican hasta dos obligaciones de notificaci\u00f3n paralelas: el art\u00edculo 33 del RGPD exige una notificaci\u00f3n a la autoridad de protecci\u00f3n de datos competente dentro de las 72 horas. Si la empresa est\u00e1 sujeta al NIS2 (a partir de 50 empleados en sectores regulados), se a\u00f1ade una notificaci\u00f3n inicial al BSI dentro de las 24 horas. En caso de alto riesgo para los afectados, estos deben ser notificados individualmente seg\u00fan el art\u00edculo 34 del RGPD.<\/p>\n<h3>\u00bfNecesito una evaluaci\u00f3n de impacto sobre la protecci\u00f3n de datos para el software de RRHH?<\/h3>\n<p>En la mayor\u00eda de los casos, s\u00ed. El art\u00edculo 35 del RGPD exige una evaluaci\u00f3n de impacto sobre la protecci\u00f3n de datos si el tratamiento de datos probablemente entra\u00f1e un alto riesgo para los derechos de los interesados. En los sistemas de RRHH que procesan sistem\u00e1ticamente datos de empleados, incluidos categor\u00edas especiales como datos de salud, esto es habitual. Las autoridades alemanas de protecci\u00f3n de datos incluyen expl\u00edcitamente los sistemas de gesti\u00f3n de personal en sus listas positivas de tratamientos sujetos a evaluaci\u00f3n de impacto sobre la protecci\u00f3n de datos.<\/p>\n<div class=\"evm-styled-box\" style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">Consejos de lectura de la redacci\u00f3n<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/02\/26\/post_id-3531\/\">RGPD 2026: \u00bfQu\u00e9 cambia y en qu\u00e9 deben fijarse las empresas?<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/12\/nis2-in-deutschland-was-unternehmen-jetzt-wissen-und-umsetzen-muessen\/\">NIS2 en Alemania: \u00bfQu\u00e9 deben saber y aplicar las empresas ahora?<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/03\/19\/post_id-5412\/\">Ataques de identidad 2026: \u00bfPor qu\u00e9 los hackers ya no entran, sino que se conectan?<\/a><\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#f0f9fa;border-radius:8px;padding:20px 24px;margin:24px 0;border-top:3px solid #69d8ed;\">\n<h2 style=\"margin-top:0;margin-bottom:12px;font-size:1.05em;\">M\u00e1s del MBF Media Network<\/h2>\n<ul>\n<li>\u2192 <a href=\"https:\/\/www.cloudmagazin.com\"><strong>cloudmagazin<\/strong><\/a> &#8211; Cloud, SaaS e infraestructura IT<\/li>\n<li>\u2192 <a href=\"https:\/\/www.digital-chiefs.de\"><strong>Digital Chiefs<\/strong><\/a> &#8211; Estrategias para los responsables de TI<\/li>\n<li>\u2192 <a href=\"https:\/\/mybusinessfuture.com\"><strong>MyBusinessFuture<\/strong><\/a> &#8211; Digitalizaci\u00f3n en las PYMES<\/li>\n<\/ul>\n<\/div>\n<p style=\"text-align: right;\"><em>Fuente de imagen: Pexels \/ Element5 Digital (px:1370294)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Actualizado por \u00faltima vez: marzo de 2026 | Publicado originalmente: 2021 A partir de enero de 2027, la n\u00f3mina digital ser\u00e1 obligatoria. Al mismo tiempo, las autoridades alemanas de protecci\u00f3n de datos est\u00e1n imponiendo multas r\u00e9cord: 900.000 euros solo por conservar datos durante demasiado tiempo. Quien a\u00fan gestione los expedientes de [&hellip;]","protected":false},"author":55,"featured_media":5543,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"datos personales","_yoast_wpseo_title":"Protecci\u00f3n de datos personales: Un tema que trasciende el \u00e1mbito de RRHH","_yoast_wpseo_metadesc":"Protecci\u00f3n de datos personales: Cumple con la ley y evita sanciones. Aprende c\u00f3mo prepararte para la n\u00f3mina digital obligatoria desde ya. Leer m\u00e1s.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-2813"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-8347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":15,"wpml_language":"es","wpml_translation_of":2813,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8347"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8347\/revisions"}],"predecessor-version":[{"id":10450,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8347\/revisions\/10450"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5543"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}