Volver a recursos
Recurso gratuito · Checklist y guía

Checklist RGPD para people analytics: cómo medir sin vigilar

Escrito por Víctor Ciudad-Fernández.

Cada vez que una empresa quiere medir algo de su plantilla, aparece la misma pregunta: ¿esto es legal? ¿No será vigilar? ¿Qué dirá el comité? Es la objeción número uno del comprador español de people analytics, y la mayoría de proyectos que se bloquean lo hacen aquí, no por el precio ni por la tecnología. La buena noticia: medir bien y cumplir el RGPD no solo es compatible, va de la mano. Lo que la ley te obliga a hacer (transparencia, minimización, voluntariedad) es justo lo que hace que la gente confíe y responda de verdad.

Abajo tienes el checklist por bloques, lo que conviene tener resuelto antes de lanzar, qué decir al comité y el error que lo activa todo. Si quieres el porqué en profundidad, está en el artículo sobre people analytics sin vigilar; aquí va la herramienta para revisarlo punto por punto.

Aviso. Esta guía es informativa y orientativa. No es asesoramiento jurídico y no sustituye la opinión de tu delegado de protección de datos (DPO) ni de tu asesoría legal, que deben validar tu caso concreto.
Base jurídica

Antes de recoger un solo dato, ten claro con qué legitimación lo haces y déjalo por escrito.

  • Identifica la base jurídica del tratamiento (RGPD, art. 6). Para una encuesta voluntaria, lo habitual es el consentimiento; para otros tratamientos puede caber el interés legítimo, siempre con su ponderación documentada.
  • Si te apoyas en el interés legítimo, realiza y guarda el juicio de ponderación: qué interés persigues, por qué no hay una vía menos invasiva y cómo no prevalece sobre los derechos de las personas.
  • Refleja el tratamiento en tu registro de actividades de tratamiento.
Minimización: mide lo justo

El principio que más distingue medir de vigilar. Recoge solo lo que necesitas para el fin, y ni un dato más.

  • Recoge únicamente los datos necesarios para el objetivo concreto (RGPD, art. 5). Si no vas a usar un dato para una decisión, no lo pidas.
  • Evita el rastreo pasivo de correos, calendario, mensajería o accesos como sustituto de preguntar. Es lo más invasivo y lo que más riesgo legal y de confianza acarrea.
  • Prefiere preguntar de forma voluntaria a observar sin avisar: además de cumplir mejor, el dato es de más calidad.
Transparencia e información

Nadie debería enterarse de que le miden por el pasillo. La transparencia es obligación legal y, a la vez, lo que desactiva el miedo.

  • Entrega la información del tratamiento antes de recoger los datos: qué recoges, para qué, base jurídica, quién accede y cuánto se conserva (RGPD, art. 13).
  • Explícalo en lenguaje claro, no solo en la cláusula legal. La gente responde mejor cuando entiende para qué sirve y qué no se va a hacer con sus respuestas.
  • Designa o consulta a tu delegado de protección de datos (DPO) si tu organización lo tiene.
Confidencialidad y agregación

La regla de oro para que la gente confíe: los resultados se ven en conjunto, nunca señalando a una persona.

  • Presenta los resultados agregados y de forma confidencial; nunca respuestas individuales atribuibles a alguien.
  • Fija un umbral mínimo de grupo (por ejemplo, no mostrar un resultado por debajo de un número de respuestas) para que nadie sea identificable.
  • Ten presente que el dato anónimo de verdad queda fuera del RGPD, pero casi todo el people analytics es seudonimizado (se puede reidentificar), así que el RGPD sí aplica. Habla de datos confidenciales, no de anonimato absoluto.
Voluntariedad

Participar no puede ser una trampa. La voluntariedad real es lo que separa una medición sana de un mecanismo de control.

  • Haz la participación voluntaria y sin consecuencias para quien no participe.
  • Si la base es el consentimiento, asegúrate de que es libre: en una relación laboral, una presión implícita lo invalida.
  • Permite retirar el consentimiento con la misma facilidad con la que se dio.
La RLT y el comité de empresa

En España, el comité no es un trámite opcional: es quien puede frenar o impulsar tu proyecto. Cuéntaselo pronto y bien.

  • Informa a la representación legal de los trabajadores (RLT) de la implantación y características del sistema (Estatuto de los Trabajadores, art. 64).
  • Llévalo al comité antes de lanzar, no después: explica el para qué, la voluntariedad y las garantías de confidencialidad.
  • Apóyate en una plantilla de comunicación y anticipa sus preguntas con el kit para el comité de empresa.
Evaluación de impacto (EIPD)

Cuando el tratamiento puede entrañar un riesgo alto para las personas, hay que analizarlo antes con una evaluación de impacto.

  • Valora si necesitas una evaluación de impacto relativa a la protección de datos (RGPD, art. 35), sobre todo si hay observación sistemática o evaluación a gran escala.
  • En caso de duda, consúltalo con tu DPO o tu asesoría jurídica antes de empezar.
  • Documenta las medidas que reducen el riesgo: minimización, confidencialidad, voluntariedad y plazos de conservación.
Derechos, conservación y proveedores

El cierre: garantiza los derechos de las personas, no guardes los datos más de lo necesario y blinda a quien trate los datos por ti.

  • Atiende los derechos de acceso, rectificación, supresión y oposición, y explica cómo ejercerlos.
  • Fija un plazo de conservación y bórralos cuando cumplan su fin; no acumules por si acaso.
  • Si un proveedor trata los datos por ti, firma un contrato de encargado del tratamiento (RGPD, art. 28) y confirma dónde se alojan los datos (preferible, en la Unión Europea).

El error que lo activa todo es vigilar en vez de preguntar. Observar en silencio el correo o los accesos de cada persona dispara el riesgo legal y rompe la confianza. Preguntar de forma voluntaria y confidencial es lo contrario: visibilidad sin vigilancia.

Qué decir al comité (en una frase)

La conversación con el comité de empresa se gana con tres ideas, no con un dossier legal: es voluntario (nadie está obligado a participar), es confidencial y agregado (no se ven respuestas individuales) y sirve para mejorar, no para sancionar (el objetivo es actuar sobre el conjunto, no señalar a nadie). Si llevas eso por delante, dejas de pedir permiso y empiezas a sumar un aliado. Para preparar esa reunión a fondo, usa el kit para presentar people analytics al comité de empresa.

Llévate el checklist RGPD en PDF

Descárgate el checklist completo por bloques para revisarlo antes de lanzar tu proyecto, con la frase para el comité y los artículos del RGPD a los que corresponde cada punto.

Descargar el checklist (PDF)

Por qué esto juega a tu favor (y no en contra)

Es fácil ver el RGPD como una traba. Visto de cerca es lo contrario: cada exigencia legal empuja hacia una medición más sana. La minimización te obliga a preguntar solo lo necesario, que es también lo que la gente está dispuesta a responder. La transparencia desactiva el miedo. La voluntariedad y la confidencialidad construyen la confianza sin la cual ningún dato sobre personas vale nada. En Beetrics trabajamos así por diseño: preguntamos de forma confidencial sobre cómo funciona el trabajo, nunca vigilamos, y miramos la red real de trabajo en conjunto, no a las personas una a una.

Referencias

Preguntas frecuentes

¿Necesito el consentimiento de la plantilla para medir?

Depende de la base jurídica que elijas. Para una encuesta voluntaria, lo más habitual y limpio es el consentimiento, que debe ser libre (en una relación laboral, una presión implícita lo invalida). Para otros tratamientos puede caber el interés legítimo, pero entonces necesitas documentar una ponderación que demuestre que tu interés no prevalece sobre los derechos de las personas. En caso de duda, que lo valide tu delegado de protección de datos.

¿Tengo que informar al comité de empresa?

Sí. El Estatuto de los Trabajadores reconoce a la representación legal de los trabajadores el derecho a ser informada sobre la implantación y las características de los sistemas que afectan a la plantilla. Más allá de la obligación, conviene hacerlo pronto: un comité que entiende el para qué y las garantías de confidencialidad pasa de freno a aliado. Para eso tenemos un kit específico para presentarlo al comité.

¿Esto es vigilancia laboral?

No tiene por qué, y ahí está toda la diferencia. Vigilar es observar sin avisar el correo, el calendario o los accesos de cada persona; eso es lo que dispara el riesgo legal y la desconfianza. Preguntar de forma voluntaria, transparente y con resultados confidenciales y agregados es justo lo contrario: visibilidad sin vigilancia. La línea la marca si la persona sabe qué se recoge, para qué, y que puede no participar.

¿Hace falta una evaluación de impacto?

Puede hacer falta. El RGPD exige una evaluación de impacto cuando el tratamiento entraña un riesgo alto para los derechos de las personas, por ejemplo si hay observación sistemática o evaluación a gran escala. Una encuesta voluntaria, confidencial y agregada suele ser de bajo riesgo, pero la decisión final depende de tu caso concreto; consúltalo con tu DPO o tu asesoría jurídica.

¿Y si los datos los trata un proveedor externo?

Necesitas firmar con él un contrato de encargado del tratamiento, que regula qué puede hacer con los datos y le obliga a las mismas garantías. Conviene además confirmar dónde se alojan los datos: alojarlos en la Unión Europea simplifica el cumplimiento y suele tranquilizar al comité.

¿"Anónima" o "confidencial"?

Confidencial es casi siempre lo correcto. El dato anónimo de verdad (imposible de reidentificar) queda fuera del RGPD, pero la mayoría del people analytics es seudonimizado: aunque no muestres nombres, técnicamente se podría reidentificar, así que el RGPD aplica. Por eso es más honesto y más preciso prometer confidencialidad y resultados agregados que prometer un anonimato que rara vez es absoluto.

¿Quieres medir lo que importa sin que el comité lo frene?

Solicita una demo