Es fácil pensar que cuando una persona envía su curriculum vitae a una empresa o a un portal de empleo, la misma acción de enviarlo supone ya su consentimiento para el tratamiento de los datos personales que figuran en él, pero nada más lejos de la realidad. En este artículo analizaremos todos los aspectos relacionados con la protección de datos y el currículum, para evitar la comisión de posibles infracciones de la normativa vigente.
En este artículo hablamos de:
- ¿Cómo afecta la Ley de Protección de Datos Personales al currículum?
- El RGPD en la gestión de currículums
- Cláusula LOPD para el curriculum vitae
- El consentimiento de datos personales en el CV
- Plantilla LOPD currículum
- ¿Cómo se debe actuar cuando se reciben currículums de trabajo?
- Preguntas habituales ante la selección de personal y la gestión de CV
- ¿Puedo almacenar datos de candidatos que haya recabado en portales de empleo?
- ¿Debo borrar periódicamente mi base de datos de mis candidatos?
- ¿Cómo puedo saber si un currículum ha «caducado»?
- ¿Es lícito contactar con candidatos a través de un email recabado en Internet?
- ¿Puedo usar datos de currículums descartados para nuevas vacantes?
- Resumen
¿Cómo afecta la Ley de Protección de Datos Personales al currículum?
La Ley de Protección de Datos Personales afecta al currículum como a otros documentos con datos personales; para su recogida y tratamiento se necesita el consentimiento informado y expreso del interesado, independientemente de que este lo haya enviado de forma voluntaria.
El RGPD en la gestión de currículums
La cantidad de datos personales que tiene un curriculum vitae es muy amplia, desde el nombre y los apellidos, pasando por la dirección postal, el número de teléfono, el DNI, hasta una fotografía o, en ciertos casos, hasta información médica.
Por ello, respecto a cómo se deben tratar los datos del curriculum vitae el RGPD es bastante claro; como ya hemos dicho, se deben tratar de la misma forma en que se tratarían los datos recogidos en cualquier otro tipo documento, como los de marketing, es decir, atendiendo a los mismos principios y obligaciones recogidos en el Reglamento.
Esto implica que los CV también deben aparecer en el registro de actividades de tratamiento, cuando la empresa tiene más de 250 empleados o se traten datos de categorías especiales.
Consentimiento por parte del candidato
En lo que respecta al CV el RGPD y la LOPD nos dicen que, independientemente de la voluntariedad del interesado, es obligatorio recabar el consentimiento para el tratamiento de los datos personales de su CV.
Este consentimiento, además, debe ser, como ya señalamos, informado y expreso, es decir; se debe informar al interesado de:
- La existencia de un fichero con sus datos personales
- La finalidad del tratamiento para el cual se recogen sus datos
- La identidad del responsable del tratamiento
- La base jurídica del tratamiento
- La cesión de datos a terceros, incluidas transferencias internacionales (si se van a producir)
- Tiempo de conservación de los datos
- Dónde y cómo puede ejercer sus derechos ARCO
Si tienes dudas sobre cómo llevar a cabo esta labor, puedes consultar nuestra guía para el cumplimiento del deber de informar que exige la Ley.
En cuanto al consentimiento expreso, nos dice que es necesario que el interesado consienta mediante una acción afirmativa para aceptar el tratamiento de sus datos, no pudiendo usar casillas premarcadas, por ejemplo. Además, este consentimiento debe quedar recogido y documentado.
Acceso a una copia de sus datos
A través del derecho a la portabilidad, el interesado puede solicitar una copia de sus datos personales que haya recogido la empresa, portal de empleo o ETT, sin que estas puedan oponerse a ello.
Esta copia debe darse de forma estructurada y en un formato que permita la lectura mecánica.
Gestión de las violaciones de seguridad en los datos
En el caso de que se produjera una brecha de seguridad que pusiera en riesgo la base de datos de candidatos almacenada por la empresa, esta tiene la obligación de informar a los interesados de que sus datos pueden haber sido expuestos, así como de informar a la AEPD (Agencia Española de Protección de Datos) del incidente y las medidas que se han puesto en marcha para solucionarlo, en un plazo máximo de 72 horas.
No informar a la AEPD o los interesados de una brecha de seguridad es una infracción que puede conllevar sanciones.
Realización de un análisis de riesgos
El RGPD exige que antes de iniciar el tratamiento de los datos, se realice un análisis de los riesgos que este puede suponer para los derechos y libertades de los candidatos.
Si del análisis se desprende que el tratamiento de datos personales del CV puede entrañar un riesgo alto, será necesario también llevar a cabo una evaluación de impacto.
Las evaluaciones de impacto se exigen cuando se da alguna de estas circunstancias:
- La evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles
- El tratamiento a gran escala de datos sensibles
- La observación sistemática a gran escala de una zona pública
En cualquier caso, el análisis de riesgos también debe servir para establecer las medidas técnicas y organizativas para garantizar la protección de datos personales de los currículums guardados.
Conservar siempre datos actualizados
La normativa de protección de datos establece la obligación de conservar los datos actualizados. Si bien, respecto al CV el RGPD no nos indica un plazo concreto para la conservación y actualización de datos, en la práctica se considera que si un CV no se ha actualizado en 24 meses, se debe proceder a su bloqueo, para impedir su lectura, o su eliminación.
La figura del DPO en las empresas dedicadas a la selección de personal
Aunque la designación de un delegado de protección de datos (DPO) en las empresas dedicadas a la selección de personal no es obligatoria, se recomienda contar con esta figura, especialmente en el caso de realizar tratamientos de grandes volúmenes de datos personales, de manera que se garantice el cumplimiento de la normativa.
El DPO tiene la función principal de gestionar y supervisar el correcto cumplimiento del RGPD por parte de la empresa. Puede ser una persona física o jurídica, interna o externa a la empresa.
Cláusula LOPD para el curriculum vitae
Desde la entrada en vigor de la Ley Orgánica 3/2018, es necesario incluir una cláusula de protección de datos para el tratamiento de datos personales en el CV.
A través de esta cláusula LOPD para el currículum se informa a los candidatos de todos los aspectos relacionados con el tratamiento de sus datos personales, es decir, cumple la función de informar a los candidatos antes de obtener su consentimiento (tal y como vimos en puntos anteriores).
Como la recepción de CV varía, la inclusión de esta cláusula difiere en función de cómo reciba la empresa los currículums de sus candidatos:
- El candidato se postula en una oferta publicada por la empresa en un portal de empleo: En este caso, la propia empresa o la plataforma en la que se publica la oferta, serán las encargadas de facilitar la cláusula informativa correspondiente, en la que se indique la finalidad del tratamiento de datos (por ejemplo, si se van a ceder a terceros) y se solicite el consentimiento para modificar o eliminar dicha información.
- El currículum es enviado por el candidato a través de correo electrónico u ordinario, por iniciativa propia: Aunque el candidato haya enviado su currículum por motu propio, para evitar posibles problemas en el futuro, es necesario enviar un acuse de recibo con su cláusula correspondiente, en la que además se solicite consentimiento para tratar sus datos.
- La entrega del currículum se realiza de forma presencial, también por iniciativa del candidato: Si el currículum del candidato se recoge de forma presencial en las oficinas o instalaciones de la empresa, se debe informar al usuario mediante un documento físico (soporte o medio escrito) sobre la política de tratamiento de datos de la empresa, solicitando de nuevo a su vez, el consentimiento.
El consentimiento de datos personales en el CV
Como ya dijimos en un punto anterior, para el tratamiento del currículum la Ley de Protección de Datos exige que el candidato dé su consentimiento expreso, que puede conseguirse, como hemos visto, introduciendo una cláusula de consentimiento en el momento de la recepción del CV y solicitando que el candidato acepte por escrito los términos incluidos en ella.
Por ejemplo, se puede incluir una checkbox con la frase: «autorizo el tratamiento de mis datos personales del CV» en el formulario de un portal de empleo, en un email o un documento impreso si el CV se recoge de forma presencial.
Lo cierto es que no existe un formato de autorización de tratamiento de datos personales para empleados o candidatos oficial, pero sí que podemos encontrar modelos y plantillas que podemos utilizar.
Plantilla LOPD currículum
La plantilla LOPD para currículum debe reflejar la identidad del responsable del tratamiento o su representante (y delegados, si los hubiera), la base legal, finalidad del tratamiento, si la información va a ser cedida a terceros y las vías por las que el candidato puede ejecutar sus derechos ARCO.
Como decíamos, ninguna de las normativas de protección de datos cuenta con un modelo de consentimiento para el currículum y su tratamiento estándar, pero si necesitas ayuda aquí te dejamos un modelo de la cláusula de consentimiento en PDF.
¿Cómo se debe actuar cuando se reciben currículums de trabajo?
Ya hemos mencionado antes que los CV se pueden recibir de diferentes formas, veamos ahora la manera de actuar en función de si recibimos el currículum en mano o a través de una página web:
Recibo un CV en mano
Para cumplir con la normativa lo correcto cuando un candidato nos entregue su currículum en mano sería proporcionarle la información mínima sobre:
- Identificación del responsable del tratamiento
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Destinatarios de esos datos
- Derechos que asisten a esa persona
Tras haber realizado esta información previa se debe recabar el consentimiento expreso para realizar el tratamiento de los datos.
Es recomendable realizarlo en formato papel, tanto la información previa como el consentimiento, ya que nos servirá como prueba de que cumplimos con la normativa de cara a un posible requerimiento de la AEPD.
Recabo un CV a través de la página web
Para aquellos supuestos donde dispongamos de página web corporativa a través de la cual tengamos un apartado determinado para recoger currículum de los candidatos, tras el formulario de recogida de datos debemos incluir una casilla donde el interesado pueda marcar que ha leído la política de privacidad.
Con la política de privacidad marcada se entiende que se ha realizado la información necesaria y se ha obtenido el consentimiento de manera válida.
Sanciones por no gestionar correctamente una base de datos de CV
De no cumplir con las exigencias de LOPD y el GDPR respecto al currículum vitae, ambas normativas prevén sanciones en función de la gravedad de la infracción.
En el caso de no contar con el consentimiento expreso del interesado o cualquier otra base legal que nos sirva de apoyo, estaríamos ante una infracción considerada grave, que conlleva sanciones que pueden alcanzar un máximo de hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa.
Preguntas habituales ante la selección de personal y la gestión de CV
Aparte de todas las cuestiones que hemos visto respecto al currículum y la protección de datos, es posible que todavía os queden algunas dudas. A continuación daremos respuestas a las más habituales.
¿Puedo almacenar datos de candidatos que haya recabado en portales de empleo?
No puedes almacenar datos de candidatos que hayas recabado en portales de empleo. Aunque estos datos son los que figuren en los perfiles públicos de los candidatos, no se pueden extraer de forma automática para la creación de perfiles, directorios o ficheros sin el consentimiento expreso del candidato.
Ahora, en el caso de que los datos de los candidatos los hayas recibido de un portal de empleo (es decir, el propio portal te facilita dichos CV a través de su sistema), sí podrás almacenarlos, siempre y cuando los candidatos en cuestión te den su consentimiento por separado después de haberse inscrito en tu oferta y mantengas actualizados sus datos.
¿Debo borrar periódicamente mi base de datos de mis candidatos?
No es necesario borrar periódicamente tu base de datos de candidatos, bastará con cumplir con la normativa en cuanto su almacenamiento, actualización y protección.
Ahora, si pasados 24 meses, los CV que tienes almacenados no han sido actualizados, deberás proceder, al menos, al bloqueo de los mismos, para que nadie pueda leerlos.
¿Cómo puedo saber si un currículum ha «caducado»?
El plazo máximo de conservación de currículum son 2 años como anteriormente dijimos. Si almacenamos currículum en soporte físico nos resultará muy complejo saber cuánto tiempo ha transcurrido desde que tenemos ese currículum, salvo que marquemos en ellos la fecha de recepción (por ejemplo, en el propio CV o en la carpeta en la que se va a guardar).
Lo recomendable es almacenarlos en los sistemas informáticos para poder controlar el tiempo de vigencia de esos datos.
¿Es lícito contactar con candidatos a través de un email recabado en Internet?
Sí, pero hay que matizar.
Solo podremos hacerlo si el email se encuentra publicado de tal manera que se pueda probar el interés del candidato a ser contactado con el fin de ser reclutado.
Por ejemplo, si esta información está publicada en LinkedIn o en un portal de empleo, es evidente que el candidato está dispuesto a que le escriban reclutadores.
No obstante, en la primera comunicación deberás recabar el consentimiento para el tratamiento de datos con la finalidad buscada. Si no consigues el consentimiento deberás eliminar de tu base de datos dicho mail.
¿Puedo usar datos de currículums descartados para nuevas vacantes?
Sí, pero se tienen que dar dos condiciones:
- Que el candidato, en el momento de inscribirse en la oferta, haya mostrado su consentimiento para ser contactado para otras posiciones
- Recabes su consentimiento para futuras ofertas una vez descartado
Resumen
Para resumir y sintetizar todo lo que hemos visto sobre la protección de datos en el currículum y el cumplimiento de la normativa al respecto, debemos:
- Recabar siempre el consentimiento informado y expreso de los candidatos para el tratamiento de sus datos personales.
- Recoger solo los datos estrictamente necesarios para cumplir con la finalidad del tratamiento.
- Incluir los CV en un registro de actividades de tratamiento.
- Realizar el análisis de riesgos e implantar las medidas necesarias para evitar o prevenir brechas de seguridad.
- Actualizar los datos y, si pasados 24 meses no se han actualizado, proceder al bloqueo o eliminación de los datos. Para su eliminación es necesario destruir los CV en formato papel con una destructora de papel y en el caso de los CV en formato digital, eliminarlos del servidor y de todas las plataformas donde pudieran haber sido almacenados.