People analytics y RGPD: cómo medir sin vigilar y qué decirle al comité

El mayor freno a un proyecto de people analytics en España no suele ser el presupuesto: es el miedo. Miedo de la plantilla a sentirse vigilada, miedo de dirección a un conflicto con el comité de empresa y miedo de RRHH a un expediente de la AEPD. Es un freno legítimo y, casi siempre, evitable. La buena noticia para cualquier dirección de RRHH es que medir cómo trabaja y cómo se siente una organización no obliga a vigilar a nadie.

La clave está en una distinción que muchas herramientas borran a propósito. Vigilar es observar sin permiso. Medir es preguntar de forma voluntaria y devolver el resultado en agregado. Lo segundo se puede hacer sin caer en lo primero. Exige entender qué pide el RGPD, qué llevar al comité y cómo contárselo a la plantilla para que el proyecto sume confianza en vez de restarla.

Vigilar y medir no son lo mismo

La vigilancia laboral es monitorización pasiva, normalmente sin un consentimiento real: leer correos, registrar pulsaciones de teclado, rastrear la actividad de la pantalla, geolocalizar o puntuar la productividad individual de cada persona sin que lo sepa. Aunque parte de eso pueda hacerse, genera desconfianza, dispara el riesgo legal y rara vez mejora nada.

Medir es lo contrario. Es pedir a las personas que respondan, de forma voluntaria, un cuestionario breve, y devolver a la organización patrones agregados: dónde se concentra la colaboración, qué áreas se han desconectado, dónde hay sobrecarga. People analytics serio es esto segundo. La diferencia entre una práctica y otra son tres cosas: permiso, agregación y finalidad.

Los seis principios del RGPD aplicados a people analytics

El artículo 5 del RGPD fija seis principios. No son burocracia: traducidos a la práctica, son exactamente lo que separa medir de vigilar.

1. Licitud, lealtad y transparencia

La plantilla sabe qué se mide, para qué y quién verá los resultados. Nada se recoge a escondidas. Si algo no se puede explicar abiertamente, no se mide.

2. Limitación de la finalidad

Los datos se usan solo para el objetivo declarado (mejorar la colaboración, anticipar la rotación), nunca para evaluar el desempeño individual ni para sancionar a una persona concreta.

3. Minimización de datos

Se recoge lo imprescindible. No hace falta leer un solo correo ni rastrear una pantalla para saber que dos áreas han dejado de hablarse.

4. Exactitud

Se pregunta con instrumentos validados, no con cuestionarios improvisados que miden ruido. Un dato impreciso es peor que ningún dato.

5. Limitación del plazo de conservación

Los datos se borran o se anonimizan cuando han cumplido su finalidad. El plazo se fija por escrito antes de empezar, no al final.

6. Integridad y confidencialidad

Los resultados se entregan en agregado y con acceso restringido. Nunca circula un informe individual de nadie por la organización.

A ellos se suma la responsabilidad proactiva: no basta con cumplir, hay que poder demostrarlo. Documentar la finalidad, la base legal, el plazo y las medidas de seguridad es lo que convierte un proyecto en defendible ante la AEPD y ante el comité.

El consentimiento no es la única base legal (ni suele ser la mejor)

Mucha gente cree que para medir hace falta pedir el consentimiento firmado de cada empleado. En el ámbito laboral, ese consentimiento es frágil: la AEPD y la doctrina europea coinciden en que, por la relación de dependencia entre empresa y trabajador, rara vez puede considerarse "libre". Si alguien siente que decir que no le perjudica, ese consentimiento no es válido.

La base más robusta suele ser el interés legítimo, acompañado de un juicio de proporcionalidad (que la medición sea idónea, necesaria y proporcionada al fin) y de una voluntariedad real en la participación. Cuando el tratamiento es a gran escala o entraña riesgo, puede exigir además una evaluación de impacto (EIPD, artículo 35 del RGPD). Quién define la base legal no es RRHH improvisando: es el delegado de protección de datos. La regla práctica es sencilla: no se lanza una sola pregunta sin que el DPO haya validado sobre qué base se mide.

Qué decirle al comité de empresa

El comité de empresa tiene derechos de información y consulta sobre las decisiones que afectan a la organización del trabajo (artículo 64 del Estatuto de los Trabajadores). Ignorarlo es el camino más rápido a un bloqueo. Convocarlo pronto y con transparencia es, casi siempre, lo que convierte una sospecha en colaboración. Este es el guion de lo que conviene llevarle:

• Finalidad. Para qué se mide, en una frase honesta: mejorar la colaboración y anticipar la fuga de talento, no controlar a nadie.
• Qué se pregunta. El cuestionario completo, a la vista. Sin letra pequeña.
• Voluntariedad. Nadie está obligado a responder y no participar no tiene consecuencias.
• Qué datos se recogen y cuáles no. Dejar claro lo que queda fuera: no se leen correos, ni calendarios, ni mensajes, ni se rastrean pantallas.
• Cómo se agregan los resultados. Por equipo o área, nunca por persona, y con un tamaño mínimo de grupo para que nadie sea identificable.
• Quién accede. Qué perfiles ven los resultados y con qué nivel de detalle.
• Plazo y borrado. Cuánto tiempo se conservan los datos y cómo se eliminan después.
• Derechos y contacto. Cómo ejercer los derechos de acceso o supresión y quién es el delegado de protección de datos.

Anonimato y agregación: sé honesto con la plantilla

Hay una promesa que conviene no hacer: "esto es cien por cien anónimo". Para entender cómo colabora una organización hay que saber quién trabaja con quién, así que en el momento de recoger las respuestas existe identificación. Fingir lo contrario funciona hasta que alguien lo descubre, y entonces se pierde de golpe toda la confianza que el proyecto pretendía construir.

El modelo honesto y defendible es otro: las respuestas son confidenciales, se tratan con cuidado y los resultados se entregan siempre en agregado, con un tamaño mínimo de grupo. Si un segmento tiene muy pocas personas, no se reporta por separado, porque entonces alguien sería identificable. Esa honestidad no es un coste. Es lo que sostiene la confianza, y la confianza retiene.

Privacidad por diseño: cómo lo planteamos en Beetrics

El artículo 25 del RGPD pide privacidad desde el diseño y por defecto. En Beetrics lo aplicamos así:

• Cuestionario breve y voluntario. Unos cinco minutos por persona, declarativo: cada quien indica con quién colabora. No se rastrea nada.
• Sin monitorización pasiva. No leemos correos, ni agendas, ni mensajes. No hay vigilancia de pantalla.
• Resultados agregados. Se entregan por equipo y área, con tamaño mínimo de grupo. Nadie recibe un dossier individual.
• Instrumentos validados. Bajo dirección científica de un doctor por la Universitat de València, lo que cubre el principio de exactitud.
• Documentación lista para el DPO y el comité. Finalidad, base, plazos y medidas, por escrito desde el inicio.

Es la diferencia entre una plataforma de encuestas clásica y una herramienta pensada para resistir la pregunta incómoda del comité. Quien quiera entrar en el detalle del método puede verlo en la página de metodología, y quien quiera un ejemplo real de qué revela este enfoque tiene el caso de Nutai, donde con cinco minutos por empleado salieron a la luz los cuellos de botella y los silos que el organigrama no mostraba.

Qué hacer el lunes

Si la idea es medir sin abrir un frente, estos son los pasos en orden:

• 1. Escribe la finalidad en una frase. Si no cabe en una frase honesta, el proyecto aún no está claro.
• 2. Siéntate con tu DPO y decidid la base legal antes de tocar nada.
• 3. Prepara el guion del comité (el de más arriba) y convócalo pronto.
• 4. Garantiza voluntariedad real: que no participar no penalice a nadie.
• 5. Compromete por escrito la agregación, el tamaño mínimo de grupo y el plazo de borrado.

Y empieza pequeño. Un área, una pregunta bien hecha, resultados que se devuelven con transparencia. La confianza se gana en el primer ciclo y se pierde en el primer atajo.

Preguntas frecuentes