ONA (Organizational Network Analysis): cómo superar el miedo legal y aprovechar todo su potencial en las organizaciones

En los últimos años, el Análisis de Redes Organizativas (ONA) se ha convertido en una de las herramientas más potentes para comprender cómo trabajan las personas en una empresa más allá del organigrama formal. A través de ONA podemos detectar silos, identificar a los líderes informales que sostienen la colaboración, anticipar riesgos de sobrecarga o descubrir dónde se generan las innovaciones.

Sin embargo, muchas organizaciones en España y Europa se muestran reticentes a implantarlo. El motivo es claro: el miedo a incumplir la normativa de protección de datos (RGPD, LOPDGDD) o a que la plantilla perciba el análisis como una forma de vigilancia.

Escribo este post, un poco más largo de lo normal, con el objetivo de luchar esos miedos y demostrar que la ONA no solo es compatible con la legislación, sino que puede convertirse en un ejemplo de buen uso de los datos si se utiliza con transparencia y confianza.

¿Por qué merece la pena hacer ONA?

Algunos ejemplos ilustrativos de lo que una organización puede conseguir con ONA ^{(* Ver referencias)}:

• Detectar silos invisibles: una empresa industrial descubrió que sus equipos de producción y de calidad apenas colaboraban; gracias a ONA se rediseñaron los flujos y se redujeron incidencias en un 15%.
• Identificar líderes ocultos: en una consultora tecnológica, el análisis mostró que una analista junior era la persona de referencia para resolver dudas técnicas en toda la oficina. Se le ofreció un rol de formadora interna que mejoró la satisfacción del equipo y su retención.
• Prevenir burnout: un banco utilizó ONA para visualizar la sobrecarga de un grupo de managers que centralizaban demasiadas reuniones. Al redistribuir responsabilidades, se redujo el absentismo y se aceleró la toma de decisiones.

La clave es que ONA muestra la organización real, la que surge de las interacciones diarias, y permite tomar decisiones con datos para mejorar colaboración, bienestar y resultados.

El miedo legal: ¿qué preocupa a las empresas?

Los departamentos de RR. HH. y de legal suelen plantear dudas razonables como por ejemplo:

1. “¿No estaremos vigilando a los empleados?”
   Sí, según la jurisprudencia, el correo o el chat forman parte de la esfera de intimidad, y no se pueden monitorizar sin reglas claras, pero estas existen y se pueden implementar.
2. “¿Podemos usar datos de productividad?”
   Sí, siempre que estén directamente vinculados a la actividad laboral, se informe de ello y tengan relevancia para el análisis que se pretende.
3. “¿Qué pasa si tomamos decisiones automáticas?”
   El RGPD prohíbe decisiones basadas únicamente en algoritmos; pero ONA no tiene por qué usarse de forma automatizada, es más no debe utilizarse así, sino como apoyo a decisiones humanas.
4. “¿Y si nos sancionan?”
   Lo cierto es que, aplicando medidas de proporcionalidad, minimización de datos y transparencia, el riesgo legal es muy bajo. Además ONA puede realizarse con fuentes de datos que no implican ningún tipo de riesgo legal.

El marco legal: más guía que freno

El Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD, Ley Orgánica 3/2018) no prohíben el análisis de redes organizativas. Lo que hacen es establecer las reglas del juego para garantizar que se respete la intimidad de los trabajadores y que el uso de sus datos sea proporcional y transparente.

En el marco de esta legalidad los principales artículos afectados serían: El artículo 5 del RGPD que marca los principios básicos: licitud, lealtad, transparencia, minimización de datos y limitación temporal. El artículo 6 que establece cuando existe licitud en el tratamiento de los datos, en base a esto, la base legal para ONA suele ser el interés legítimo de la empresa, siempre que exista un test de proporcionalidad que demuestre que el beneficio organizativo compensa el impacto en la privacidad. El artículo 22 que permite el perfilado, pero recuerda que las decisiones relevantes no pueden basarse únicamente en algoritmos: debe haber supervisión humana. Y el artículo 35 exige una Evaluación de Impacto (DPIA Data Protection Impact Assessment) cuando existe un alto riesgo para los derechos de las personas, como en el caso del análisis de interacciones de empleados.

En España, la LOPDGDD introduce reglas adicionales que a veces también son citadas: el artículo 87 protege la intimidad en el uso de dispositivos digitales, se debe señalar que la información sobre el uso de un correo electrónico corporativo no requiere de la auditoría del dispositivo digital del empleado y que llevaría a conocer por parte de la empresa, otras aplicaciones de comunicación instaladas por el empleado, fotografías, navegación por internet, etc. Los datos se obtienen directamente del uso del mail corporativo, por lo que entiendo que este artículo, citando en múltiples ocasiones, no sería aplicable.

Sí debemos tener en cuenta que el Estatuto de los Trabajadores, por su parte, en su artículo 20 otorga al empresario facultades de control, siempre con respeto a la dignidad del empleado, y en el artículo 64.4 d) obliga a informar al comité de empresa si se emplean algoritmos que puedan influir en condiciones laborales, acceso o mantenimiento del empleo.

Leído así, el marco legal deja de ser un freno para convertirse en una brújula: no dice “no se puede hacer ONA”, sino “hazlo con proporcionalidad, transparencia y respeto a los derechos y dignidad de los empleados”. Simplemente dice «Hazlo bien»

¿Qué es privado y que no lo és? El factor cultural

Un aspecto que rara vez se pone sobre la mesa es el factor cultural en la percepción de la privacidad. No todas las interacciones en la empresa son vividas igual por los empleados ni tienen la misma carga de intimidad. Por ejemplo, consideramos (fundamentalmente en Europa) casi de forma automática que el correo electrónico corporativo es un espacio de privacidad sujeto a fuerte protección legal, mientras que apenas reparamos en que una compañía puede auditar y estudiar en detalle todas las comunicaciones que se producen en su sistema de gestión de incidencias o en la de gestión de proyectos. ¿Cuál es la diferencia? ¿es simplemente porque es un proceso de gestión diferenciado del resto?

Más allá de lo jurídico, pienso que entra en juego la expectativa cultural del empleado: se asume que un correo electrónico profesional, puede contener mensajes personales o sensibles, cosa que, ya que estamos, no debería ser así, mientras que en un sistema de incidencias o en un gestor de proyectos se entiende que la información pertenece plenamente al trabajo. Lo mismo sucede si comparamos un chat interno rápido con el email: la línea que marca qué perciben los trabajadores como “propio” y qué como “laboral” es difusa y depende del contexto cultural, de cómo se comuniquen las políticas internas y de la confianza que exista en la organización. Por eso, gestionar ONA no es solo cumplir con la ley, sino también cuidar la cultura organizativa y las expectativas de uso justo de los datos.

¿Pondría alguien problema a que las interacciones analizadas procedieran del gestor de proyectos interno y no de las comunicaciones vía email? Ahí lo dejo.

ONA agregada e individual: dos aproximaciones posibles

Un temor frecuente también es pensar que ONA solo puede hacerse en forma de informes agregados, cuando lo cierto es que también es posible realizar visualizaciones a nivel individual. Ambas opciones son válidas, siempre que se cumplan los requisitos legales.

La ONA agregada, que muestra redes por equipos o departamentos, es muy útil para detectar silos, medir colaboración transversal o analizar la cohesión entre áreas. Es la modalidad más utilizada y la que menos dudas genera en términos de privacidad.

La ONA individual, en cambio, permite identificar a líderes informales, expertos clave o personas con riesgo de sobrecarga. Esta modalidad no está prohibida: es perfectamente viable siempre que se den tres condiciones. Primero, que la finalidad esté claramente justificada y comunicada, por ejemplo, en un plan de sucesión o en un programa de gestión del conocimiento. Segundo, que los datos utilizados sean proporcionales —por ejemplo, metadatos de interacción sin acceder nunca al contenido de los mensajes—. Y tercero, que las decisiones relevantes no se basen únicamente en el resultado del grafo, sino que cuenten con intervención y validación humana.

De este modo, la visualización individual no es un tabú, sino una herramienta valiosa para potenciar el talento y mejorar la organización, siempre aplicada con transparencia y respeto a la dignidad del empleado.

Cómo cumplir la ley sin frenar la innovación

1. Elegir bien el enfoque

Existen dos formas de hacer ONA:

• ONA activa (encuestas): los empleados responden con quién colaboran, a quién piden ayuda… Es transparente, consensuada y con un riesgo legal mínimo ya que en la misma encuesta se solicita la aprobación al uso de las respuestas. El empleado no tiene ninguna expectativa de privacidad.
• ONA pasiva (metadatos digitales): se analizan datos de uso de correo, Teams, calendario, etc. Aquí hay más requisitos legales, pero se puede hacer cumpliendo la normativa.

2. Aplicar los principios del RGPD

• Finalidad clara: por ejemplo, “detectar sobrecarga de managers” o “mejorar la colaboración entre departamentos”.
• Minimización: usar solo datos estrictamente necesarios (por ejemplo usar los metadatos, nunca el contenido de mensajes).
• Limitación temporal: analizar periodos acotados (p. ej., tres o seis meses), un perido vinculado al estudio que se quiere realizar, no un histórico completo.

3. Transparencia y confianza

La comunicación interna es la mejor salvaguarda:

• Informar a la plantilla de qué datos se recogen y qué no.
• Explicar que los resultados se verán como una fuente de mejora de los procesos y en ningún caso para sancionar o penalizar. El objetivo es entender como funciona la organización.
• Implicar a los representantes de los trabajadores en el proceso.

Cuando los empleados entienden que la ONA busca mejorar su entorno laboral y no vigilarles, la resistencia tiende a desaparecer. La mayoría de las personas gustan de ser visualizadas en su trabajo y no ser invisibles en la labor que realizan.

4. Otras garantías que dan seguridad al proceso

• DPIA (Evaluación de Impacto en Protección de Datos): documento obligatorio cuando hay perfilado, pero que además ayuda a estructurar y justificar el proyecto
• Supervisión humana: las decisiones nunca deben ser automáticas; ONA debe ser una herramienta de apoyo, no un decisor.
• Seguridad de los datos: proteger los datos con cifrado, accesos limitados, etc.

Además, la construcción de redes dentro de una organización no tiene por qué basarse únicamente en las comunicaciones digitales. Existen múltiples fuentes que permiten mapear relaciones de forma igual o incluso más enriquecedora, y con un riesgo legal mucho menor. Por ejemplo, se pueden construir redes a partir de la colaboración en proyectos comunes, de la participación conjunta en cursos de formación o de la pertenencia a comunidades internas de práctica o innovación, informaciones de generación y corrección de incidencias o de un gestor de proyectos / oportunidades comerciales. Estos enfoques muestran cómo fluyen el conocimiento y la experiencia en la empresa, aportan perspectivas complementarias a las redes de comunicación y, al no implicar el tratamiento de datos sensibles ni el acceso a interacciones privadas, reducen al mínimo las implicaciones legales y de privacidad.

Ver ONA como oportunidad, no como amenaza

Concluyo, por tanto, tratando de transmitir la idea de que el Análisis de Redes Organizativas no es una herramienta de vigilancia: es un espejo que refleja cómo realmente fluye la colaboración. Los riesgos legales existen, pero no son un muro infranqueable; al contrario, el RGPD y la LOPDGDD ofrecen un marco que, si se cumple con transparencia y proporcionalidad, da confianza tanto a empresa como a empleados.

Las organizaciones que se atrevan a dar este paso podrán tomar decisiones más inteligentes, reducir costes ocultos, potenciar el talento invisible y mejorar el bienestar de sus empleados.

El miedo a no cumplir la legalidad no debe frenar la innovación, al contrario, existe actualmente una seguridad jurídica que nos permite trabajar en este área .Con transparencia, confianza y objetivos claros, ONA puede ser un aliado estratégico en muchas organizaciones que necesitan dar claridad a sus flujos de trabajo en la organización.

HRscout es una solución que te ayuda a gestionar estos proyectos de ONA de tal manera que la información es utilizada y analizada por los expertos en gestión de personas directamente, lo que crea un contexto mucho más seguro a los datos y al análisis al permanecer estos en el ámbito de gestión únicamente de los gestores de recursos humanos.

Si te interesa saber más o te gustaría ver ejemplos prácticos, contacta con nosotros y te explicaremos cómo, de una manera sencilla y rápida, podrás realizar este tipo de análisis en tu empresa.

Contactar con HRscout

Referencias de Casos de Uso:

• Cross, R. & Parker, A. (2004). The Hidden Power of Social Networks. Harvard Business Review Press.
• David Green. The Role of Organisational Network Analysis in People Analytics
• Kienbaum Consulting – Organizational Network Analysis – Case Study
• Lorraine Shirley – Unleashing the Power of Organizational Network Analysis (ONA) for Large-Scale Organizational Transformation
• Dr Peter Mellalieu – Using Organizational Network Analysis to Help Drive Knowledge-Centered Service Adoption