Checklist de offboarding: todo lo que debes hacer cuando se va un empleado

Cuando alguien se va, empieza la parte que nadie tiene organizada

El onboarding tiene mala prensa en las empresas pequeñas, pero el offboarding es mucho peor. Cuando alguien se va, hay presión para gestionar la transición rápido, el equipo está pendiente de lo que pasa, y en medio de todo eso hay una lista de cosas que alguien tiene que hacer antes de que esa persona desaparezca.

El problema es que esa lista casi nunca existe por escrito. Está en la cabeza del dueño o del manager, se improvisa cada vez, y siempre hay algo que se olvida.

Y lo que se olvida no suele ser menor. Es el acceso a Slack que sigue activo tres meses después. Es el correo corporativo que todavía recibe emails. Es la cuenta de Google que nadie ha cerrado. Es el acceso al sistema de facturación que técnicamente sigue abierto.

Este artículo te da la lista completa de lo que hay que hacer cuando se va un empleado, con especial atención a lo que más se descuida: los accesos digitales y el cumplimiento del RGPD.

Por qué el offboarding importa más de lo que parece

Hay una razón obvia para hacer el offboarding bien: la continuidad del negocio. Recuperar el portátil, hacer la entrevista de salida, redistribuir las tareas. Eso todo el mundo lo entiende.

Pero hay dos razones que se ignoran con frecuencia en empresas pequeñas y que son potencialmente más graves.

1. Los accesos sin revocar son un riesgo de seguridad real

Cuando un empleado se va, ¿cuántas herramientas tiene acceso? Correo, Slack, Notion, Google Drive, Trello, el sistema de reservas, el panel de facturación, el grupo de WhatsApp del equipo, la cuenta de Instagram de la empresa. En un equipo de 10 personas, la lista suele tener entre 8 y 15 aplicaciones.

Si no revocar esos accesos de forma sistemática, algunos quedan activos indefinidamente. No porque nadie quiera hacer daño — simplemente porque nadie tiene una lista de qué había que cerrar.

2. El RGPD obliga a gestionar los datos del empleado al salir

Cuando un empleado deja la empresa, el RGPD establece obligaciones concretas sobre qué hacer con sus datos personales. No puedes conservarlos indefinidamente. Hay plazos, hay derechos del trabajador (acceso, rectificación, supresión), y hay documentación que demostrar si algún día hay una auditoría o una reclamación.

Ignorar esto no es solo un descuido administrativo — es un incumplimiento con consecuencias legales reales.

Checklist completo de offboarding

Esta lista cubre todos los pasos de un offboarding bien hecho. No todos los puntos aplican a todos los casos — ajústala a tu empresa y sector.

Cuando se confirma la salida

1. ☐ Registrar la fecha de último día de trabajo
2. ☐ Notificar al equipo con el tiempo suficiente
3. ☐ Definir quién asume las responsabilidades del empleado que sale
4. ☐ Planificar la transferencia de conocimiento: documentos, contactos, proyectos en curso
5. ☐ Calcular los días de vacaciones pendientes y gestionar el finiquito
6. ☐ Acordar el período de preaviso y las condiciones de salida

Transferencia de conocimiento (antes del último día)

1. ☐ Documentar los procesos que gestionaba esa persona
2. ☐ Transferir contactos clave (clientes, proveedores, colaboradores externos)
3. ☐ Hacer entrega de proyectos en curso con estado actualizado
4. ☐ Identificar contraseñas o accesos que solo esa persona conocía
5. ☐ Redirigir el correo corporativo al sucesor o al manager
6. ☐ Entrevista de salida: qué ha ido bien, qué mejoraría, por qué se va

Recuperación de activos

1. ☐ Portátil o dispositivos de empresa
2. ☐ Tarjeta de acceso o llaves de la oficina
3. ☐ Tarjeta de crédito corporativa
4. ☐ Cualquier material, ropa de trabajo o equipo específico del rol

Revocación de accesos digitales — la parte más crítica

Este bloque es el que más frecuentemente queda incompleto. Hazlo de forma sistemática, con una lista de todas las herramientas a las que tenía acceso esa persona.

1. ☐ Cuenta de correo corporativo (desactivar, no borrar — configura el reenvío primero)
2. ☐ Google Workspace o Microsoft 365: acceso a Drive, Calendar, documentos compartidos
3. ☐ Slack u otras herramientas de comunicación interna
4. ☐ Herramienta de gestión de proyectos (Notion, Trello, Asana, ClickUp…)
5. ☐ Sistema de facturación o contabilidad
6. ☐ CRM o herramienta de ventas
7. ☐ Gestor de contraseñas del equipo (1Password, Bitwarden…): revocar acceso y rotar contraseñas compartidas que conocía
8. ☐ Repositorios de código (GitHub, GitLab…)
9. ☐ Herramientas de diseño (Figma, Canva…)
10. ☐ Redes sociales de la empresa con acceso del empleado
11. ☐ Sistemas de reservas, TPV o software sectorial específico
12. ☐ Accesos a servidores o infraestructura (si aplica)
13. ☐ Cuentas de terceros gestionadas en nombre de la empresa (Google Ads, Meta, etc.)
14. ☐ Grupos de WhatsApp, Telegram u otras apps de mensajería del equipo

Importante: cada revocación debería quedar registrada — quién la hizo y cuándo. Si en algún momento hay una reclamación o una auditoría, necesitas poder demostrar que los accesos se cerraron.

Documentación y RGPD

1. ☐ Conservar el expediente del empleado durante el período legal (en España, mínimo 4 años para documentación laboral)
2. ☐ Documentar qué datos personales se conservan y durante cuánto tiempo
3. ☐ Informar al empleado de sus derechos sobre sus datos (acceso, rectificación, supresión)
4. ☐ Si el empleado solicita la supresión de sus datos: gestionar la anonimización manteniendo la trazabilidad necesaria
5. ☐ Dar de baja en nómina y en la Seguridad Social
6. ☐ Emitir el certificado de empresa

Cierre administrativo

1. ☐ Liquidación y finiquito firmados
2. ☐ Actualizar el organigrama y la documentación interna
3. ☐ Reasignar las suscripciones o licencias de software que estaban a nombre del empleado
4. ☐ Confirmar que no hay pagos pendientes en ninguna dirección
5. ☐ Cierre formal del proceso de offboarding: todos los pasos completados y registrados

El error más frecuente: hacer el offboarding de memoria

En equipos pequeños, el offboarding se hace cuando toca — con prisa, con el equipo alterado y con muchas otras cosas pasando a la vez. En esas condiciones, hacer el proceso de memoria garantiza que algo se va a olvidar.

La solución no es complicada: tener la lista por escrito, asignar cada tarea a una persona concreta, y registrar cuando se completa. La primera vez que lo montas te lleva una tarde. Después, cada salida es ejecutar lo que ya tienes.

Lo que no funciona es reconstruirlo de cero cada vez que alguien se va, o depender de que el manager de turno recuerde todo.

Adaptar el proceso según el sector

Hostelería y restauración

La rotación es alta y las salidas son frecuentes. El foco tiene que estar en los accesos al sistema de turnos, los grupos de mensajería del equipo y las claves compartidas del local (alarma, caja, cuentas de reservas). Una plantilla simplificada que cualquier encargado pueda ejecutar en 20 minutos es más valiosa que un proceso exhaustivo que nadie tiene tiempo de seguir.

Comercio y retail

Priorizar la revocación del acceso al TPV, al sistema de inventario y a las cuentas de proveedores. Si el empleado tenía acceso a redes sociales de la empresa, cambia las contraseñas el mismo día de la salida.

Servicios y tecnología

Aquí la lista de accesos es más larga y más técnica. GitHub, servidores, pipelines de CI/CD, herramientas de monitorización, cuentas de cloud. Cada acceso no revocado es un vector de riesgo. La revocación tiene que ser inmediata y el registro de quién tenía acceso a qué tiene que existir desde el primer día — no reconstruirse cuando ya es tarde.

Cómo saber si tu proceso de offboarding tiene agujeros

Hazte estas preguntas sobre la última persona que dejó tu empresa:

1. ¿Sabes exactamente a cuántas herramientas tenía acceso?
2. ¿Puedes confirmar que todos esos accesos están revocados?
3. ¿Tienes registro de quién revocó cada uno y cuándo?
4. ¿Sabes qué datos personales suyos conservas y hasta cuándo?

Si alguna respuesta es "no" o "no estoy seguro", hay un agujero en el proceso.

Automatizar el offboarding cuando el equipo crece

Con 3 o 4 personas, un checklist en papel o en Google Docs puede funcionar. Cuando el equipo llega a 10 o 15 personas, o cuando hay rotación frecuente, gestionar el offboarding manualmente empieza a generar errores sistémicos — no porque nadie quiera hacerlo bien, sino porque hay demasiadas piezas que coordinar sin una herramienta que lo sostenga.

Klibio gestiona el proceso de offboarding de forma guiada: registra los accesos que tiene cada empleado desde que entra, genera automáticamente el checklist de revocación cuando inicia el offboarding, notifica a cada responsable cuando le toca actuar, y deja un registro inmutable de quién hizo qué y cuándo. Todo eso sin necesitar un equipo de RRHH.

Prueba Klibio gratis durante 14 días — sin tarjeta de crédito.

Preguntas frecuentes

¿Cuánto tiempo tengo para revocar los accesos cuando se va un empleado?

No hay un plazo legal fijo para la revocación de accesos, pero el principio de minimización del RGPD implica que los accesos deben cerrarse tan pronto como dejen de ser necesarios — es decir, el mismo día de la salida o antes. Dejarlo para después aumenta el riesgo de incidente y complica la defensa ante una posible reclamación.

¿Tengo que hacer lo mismo si el empleado se va voluntariamente que si lo despido yo?

El proceso de revocación de accesos y gestión de datos es el mismo en ambos casos. La diferencia puede estar en los plazos internos (en un despido puedes querer actuar más rápido en algunos pasos) y en la entrevista de salida, que tiene más sentido cuando la salida es voluntaria.

¿Qué pasa si el empleado que se va era el único que gestionaba una herramienta?

Es uno de los riesgos más reales en empresas pequeñas: una sola persona que tiene las credenciales de una cuenta o que es el administrador de una herramienta. La solución es no llegar a esa situación — y para eso hay que tener registrado quién tiene acceso a qué desde el principio. Si ya estás en esa situación, actúa antes de la salida: recupera el acceso, crea una cuenta alternativa de administración, o transfiere la titularidad de la cuenta.

¿Cuánto tiempo tengo que conservar los datos del empleado?

En España, los documentos laborales (contratos, nóminas, cotizaciones) deben conservarse un mínimo de 4 años por la posible inspección de la Seguridad Social o Hacienda. Los datos de carácter personal sin base legal para seguir tratándolos deben suprimirse o anonimizarse cuando ya no sean necesarios. En la práctica, lo habitual es conservar el expediente completo durante 4 años desde la baja y anonimizar los datos más sensibles pasado ese plazo.