Cómo hacer análisis de redes organizacionales en Europa, a nivel legal
Escrito por Víctor Ciudad-Fernández.
El análisis de redes organizacionales (lo que en inglés se conoce como organizational network analysis u ONA) responde a una pregunta que ninguna encuesta de clima resuelve: de quién depende de verdad una organización para funcionar. Quién conecta áreas que no se hablarían, quién resuelve los problemas que nadie ve y qué se rompería si esa persona se marchara. Es información valiosísima para retener talento y prevenir riesgos. Y la primera pregunta que hace cualquier dirección europea, con razón, es: ¿esto es legal?
La respuesta corta es sí, siempre que se haga bien. La respuesta larga es la que importa, porque "hacerlo bien" en Europa significa dos cosas a la vez: cumplir el RGPD, que es común a toda la Unión, y respetar las reglas laborales de cada país, que no lo son. Esta guía recorre las dos capas y termina con una secuencia práctica. No sustituye al asesoramiento jurídico, pero sirve para llegar a esa conversación sabiendo qué preguntar.
Por qué el RGPD se aplica siempre: el dato no es anónimo
Hay un malentendido que conviene deshacer cuanto antes. Mucha gente asume que, si no se publican nombres, el análisis de redes es "anónimo" y queda fuera del RGPD. No es así. Para dibujar una red de colaboración hay que saber quién trabaja con quién, de modo que en el momento de recoger las respuestas existe identificación. Ese dato es seudonimizado (artículo 4.5 del RGPD): se puede separar de la identidad, pero es reversible. Y todo dato reversible sigue siendo dato personal.
El dato verdaderamente anónimo, el que queda fuera del RGPD según el considerando 26, es el que nadie puede reidentificar de ninguna manera. El análisis de redes casi nunca llega ahí. Por eso la promesa honesta no es "esto es anónimo", sino "esto es confidencial y los resultados se entregan en agregado". Lo desarrollamos en el artículo sobre cómo medir sin vigilar; aquí basta con quedarse con la consecuencia: como el dato es personal, hay que tratarlo conforme al RGPD de principio a fin.
La base legal: el consentimiento no es la solución
El primer reflejo suele ser pedir el consentimiento firmado de cada empleado. En el ámbito laboral, ese reflejo falla. El Grupo de Trabajo del Artículo 29 (hoy Comité Europeo de Protección de Datos), en su Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, dejó claro que el consentimiento del trabajador rara vez puede considerarse libre, porque existe una relación de dependencia con la empresa. Si alguien intuye que negarse le perjudica, ese consentimiento no es válido.
La base más robusta suele ser el interés legítimo (artículo 6.1.f del RGPD), acompañado de un juicio de ponderación documentado: que la medición sea idónea, necesaria y proporcionada al fin, y que ese interés no pase por encima de los derechos de la plantilla. Quién define la base legal no es RRHH improvisando, sino el delegado de protección de datos (DPO) de la organización. La regla práctica es sencilla: no se lanza una sola pregunta sin que el DPO haya decidido sobre qué base se mide.
La evaluación de impacto (EIPD): asume que toca
El artículo 35 del RGPD obliga a hacer una evaluación de impacto relativa a la protección de datos (EIPD) cuando un tratamiento puede entrañar un alto riesgo para los derechos de las personas, en particular si es sistemático, se hace a gran escala o evalúa aspectos personales. El análisis de la red de una organización suele tocar las tres casillas. Lo prudente, por tanto, es asumir que la EIPD es necesaria y hacerla bien: describir el tratamiento, valorar su necesidad y proporcionalidad, identificar los riesgos y las medidas para mitigarlos.
La EIPD no es un trámite para superar el proyecto: es la mejor herramienta para diseñarlo bien. Obliga a responder por escrito, antes de empezar, a las mismas preguntas que el comité hará después.
La capa que casi nadie explica: cada país es distinto
Aquí está la parte que las guías globales suelen pasar por alto. El RGPD es un reglamento común, pero su artículo 88 permite expresamente a cada Estado miembro fijar normas más específicas para el tratamiento de datos en el contexto laboral. El resultado es que el papel de la representación de los trabajadores cambia de forma drástica de un país a otro. En unos hay que informar; en otros, su aprobación es imprescindible. Confundir una cosa con otra es el error más caro.
Esta es la foto de cinco mercados europeos habituales. Es orientativa y conviene confirmarla con asesoría local, porque el detalle (umbrales de plantilla, plazos, formato del acuerdo) varía dentro de cada país:
El comité tiene derecho a ser informado y consultado sobre las decisiones que afectan a la organización del trabajo. No tiene un veto formal, pero ignorarlo es la vía más rápida al bloqueo y al conflicto. La LOPDGDD refuerza los derechos digitales de la plantilla.
El régimen más exigente de Europa. El comité tiene derecho de cogestión sobre la introducción de sistemas técnicos que puedan vigilar el comportamiento o el rendimiento. En la práctica, sin un acuerdo de empresa (Betriebsvereinbarung) no se lanza.
En empresas a partir de cierto tamaño, hay que informar y consultar al CSE antes de implantar medios que traten datos del personal. La CNIL, autoridad de control francesa, publica criterios concretos sobre control y datos en el trabajo.
El comité no solo es consultado: su aprobación es necesaria para cualquier sistema de tratamiento o seguimiento de datos del personal. Si la dirección actúa sin ella, la decisión puede ser nula.
Cualquier instrumento del que pueda derivarse un control a distancia de la actividad exige un acuerdo con la representación sindical o, en su defecto, la autorización de la Inspección de Trabajo. Sin ese paso, el dato recogido no puede usarse.
La lectura estratégica es clara. En Alemania y Países Bajos, sin contar con el comité de empresa el proyecto no arranca: su intervención es prácticamente vinculante. En Italia, sin acuerdo sindical o autorización administrativa, el dato recogido no se puede usar. En España y Francia, la representación no tiene un veto formal, pero su oposición frena el proyecto de hecho y daña la confianza de la plantilla. En todos los casos, el mejor camino es el mismo: llevar el proyecto pronto y con transparencia total.
La secuencia práctica, paso a paso
Reuniendo las dos capas, este es el orden que recomendamos antes de lanzar un análisis de redes en cualquier país europeo:
1. Define la finalidad y ponla por escrito
Antes de tocar un solo dato, una frase honesta: para qué se mide. Mejorar la colaboración y anticipar la fuga de talento es una finalidad legítima; controlar el rendimiento individual no lo es.
2. Fija la base legal con tu DPO
En el trabajo, el consentimiento rara vez vale. La base sólida suele ser el interés legítimo, con su juicio de ponderación documentado. Quien lo decide es el delegado de protección de datos, no RRHH a ojo.
3. Haz una evaluación de impacto (EIPD) si procede
Cuando el tratamiento es sistemático, a gran escala o evalúa aspectos personales, el artículo 35 del RGPD exige una evaluación de impacto previa. En análisis de redes conviene asumir que casi siempre toca hacerla.
4. Minimiza y separa la identidad
Pregunta solo lo imprescindible con una encuesta breve. Trabaja con datos seudonimizados y entrega siempre resultados agregados, con un tamaño mínimo de grupo para que nadie sea identificable.
5. Informa a la representación de los trabajadores
Aquí es donde cada país cambia. Desde la consulta en España hasta la cogestión en Alemania o el derecho de aprobación en Países Bajos, identifica qué órgano interviene y con qué fuerza antes de lanzar.
6. Sé transparente con la plantilla
Explica qué se mide, qué no se toca (correos, agendas, pantallas), cómo se agregan los resultados y durante cuánto tiempo se conservan. La voluntariedad real es lo que sostiene la confianza y la base legal.
Cómo lo planteamos en Beetrics
En Beetrics el método nace pensado para esta exigencia. El dato sale de una encuesta breve y voluntaria, de unos cinco minutos por persona, en la que cada quien declara con quién colabora. No se rastrean correos, agendas ni pantallas. Los resultados se entregan siempre en agregado, con un tamaño mínimo de grupo, y la documentación de finalidad, base legal y plazos está lista para el DPO y para la representación de los trabajadores desde el primer día. Quien quiera el detalle del método puede verlo en la página de metodología científica, y quien quiera el guion concreto para sentarse con el comité tiene el kit para el comité de empresa y el checklist RGPD.
Aviso importante
Este artículo es una orientación general, no asesoramiento jurídico. Las normas citadas se resumen para que dirección y RRHH sepan plantear las preguntas correctas, pero su aplicación concreta depende del tamaño de la empresa, del sector, del país y del caso. La base legal, la evaluación de impacto y la documentación para la representación de los trabajadores deben validarse siempre con el delegado de protección de datos y con asesoría jurídica laboral en cada jurisdicción.
Preguntas frecuentes
¿Es legal hacer análisis de redes organizacionales en la Unión Europea?
Sí. No hay ninguna norma que lo prohíba. Lo que el RGPD regula es el cómo: con una finalidad legítima, una base legal sólida, minimización de datos, transparencia y resultados en agregado. Hecho así, el análisis de redes es perfectamente defendible. Hecho a escondidas y con datos individuales, deja de serlo.
¿Necesito el consentimiento de cada empleado?
Casi nunca es la mejor base, y a menudo no es válida. El Grupo de Trabajo del Artículo 29 (hoy Comité Europeo de Protección de Datos), en su Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, recuerda que el consentimiento del trabajador rara vez se considera libre por la relación de dependencia con la empresa. La base más robusta suele ser el interés legítimo, con su juicio de ponderación. La define el delegado de protección de datos.
¿Tengo que hacer una evaluación de impacto (EIPD)?
Probablemente sí. El artículo 35 del RGPD la exige cuando el tratamiento es sistemático, a gran escala o implica evaluar aspectos personales. El análisis de la red de una organización suele encajar en esos supuestos, así que lo prudente es asumir que toca hacerla y documentarla antes de empezar.
¿Los datos de la red son anónimos?
No. Para dibujar la red de colaboración hay que saber quién trabaja con quién, así que en el momento de recoger las respuestas existe identificación. El dato es seudonimizado, no anónimo, y por tanto el RGPD aplica. Lo honesto y lo defendible es hablar de confidencialidad y de resultados agregados, nunca prometer un anonimato absoluto que no existe.
¿Qué cambia entre España, Alemania, Francia, Países Bajos e Italia?
El RGPD es común, pero su artículo 88 permite a cada país fijar reglas propias para el ámbito laboral. La consecuencia es que la fuerza de la representación de los trabajadores varía mucho: en España es información y consulta, en Países Bajos hace falta su aprobación, en Alemania hay cogestión sobre sistemas de control y en Italia se exige acuerdo sindical o autorización administrativa. Identificar el órgano y su poder real es el primer paso en cada país.
¿El comité de empresa puede bloquear el proyecto?
Depende del país. En Alemania y Países Bajos su intervención es prácticamente vinculante; en España y Francia es información y consulta, no veto formal, pero su oposición puede frenar el proyecto de hecho. En todos los casos la mejor estrategia es la misma: llevarlo pronto, con transparencia total, y convertir a la representación en aliada en lugar de en obstáculo.
¿Este artículo sustituye al asesoramiento jurídico?
No. Es una orientación general para que dirección y RRHH sepan plantear las preguntas correctas en cada país. La base legal concreta, la evaluación de impacto y la documentación para la representación de los trabajadores deben validarse siempre con el delegado de protección de datos y la asesoría jurídica laboral de cada jurisdicción.
¿Quieres ver tu red real de trabajo sin abrir un frente legal?
Solicita una demo