¡Pide presupuesto en 2 min! ✓
Laboral

La protección de datos y el reclutamiento de candidatos. Cambios en el RGPD

11 Mins read

¿Trabajas en el sector de Recursos Humanos?¿ Realizas reclutamiento de candidatos a través de internet?

Si es así, seguro que llevas tiempo escuchando que hay una nueva norma, el Reglamento Europeo de Protección de Datos (RGPD), que cambia sustancialmente el paradigma.

¿No sabes en que te afecta este cambio?

No te preocupes, a continuación resolveremos todas tus dudas. Y te diremos todo lo que necesitas saber para ejercer tu profesión con seguridad en cuanto al tratamiento de datos personales de los candidatos.

Normativa

Las normativas que hay que tener en cuenta a la hora de tratar la protección de datos son las siguientes:

  • A nivel europeo está el Reglamento (UE) 2016/679 General de Protección de Datos
  • Y a nivel nacional nos encontramos con:
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de Derechos digitales
    • Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

Como ya adelantamos en la introducción, con este artículo queremos explicar de forma breve las novedades que se introducen en la protección de datos. Y la forma de adaptarse correctamente por parte de aquellos sujetos que se dediquen al reclutamiento de candidatos.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Principales cambios en el sector de reclutamiento

Como en todo cambio de normativa, cuando una nueva viene a sustituir una antigua, se producen una serie de modificaciones, que pueden ir desde las nuevas obligaciones o nuevas condiciones.

Con respecto al tema que estamos tratando, en el de reclutamiento de candidatos, los principales cambios que se dan son los siguientes:

Consentimiento inequívoco para la recogida de datos

En un primer momento, con la antigua LOPD, se permitía formas de consentimiento por omisión o tácitas. Como por ejemplo, es decir si rellenaban una serie de campos, se permitía usar esos datos el para envío de comunicaciones comerciales, etc.

Pero el RGPD no lo permite. Los candidatos deberán consentir mediante una clara acción afirmativa la recogida y el uso de sus datos personales.

Se instaura por tanto el consentimiento expreso.

Mayor claridad y sencillez en la información suministrada al candidato

Una de las principales novedades que trae consigo el RGPD es el deber de información.

El candidato deberá ser informado de manera transparente, concisa e inteligible así como también deberá estar redactado en un lenguaje claro y sencillo, así como visible en un lugar de fácil acceso.

Asimismo el RGPD también amplía lo que tiene que ser informado el candidato como por ejemplo:

  • base jurídica del tratamiento
  • descripción detallada de los fines de tratamiento
  • realización o no de transferencias internacionales
  •  tiempo de conservación de los datos

La instauración del derecho a la portabilidad de los datos

El candidato puede solictar en cualquier momento una copia de sus datos. Los cuales deberán ser dados de manera estructurada y un formato que permita la lectura mecánica.

Es decir, si el candidato nos pide sus datos y se los recogimos a través de medios electrónicos se los deberemos hacer llegar en el mismo formato.

El interesado podrá solicitar en cualquier momento una copia de sus datos, que deberán ofrecerse en un formato estructurado, de uso común y lectura mecánica.

Notificación de violaciones de seguridad en los datos

Si el reclutador sufre un ataque informático y la base de datos donde almacena datos de carácter personal se ve afectada, deberá informar del mismo en un plazo máximo de 72 horas desde que se tenga conocimiento de la violación de seguridad a la autoridad competente, que en este caso es la Agencia Española de Protección de Datos.

Esto no será necesario en el caso de que la vulneración no implique riesgos para los derechos y libertades de los afectados.

Registro de actividades de tratamiento

Es importante que tengamos claro que con el RGPD desaparece la obligación de tener inscritos los ficheros en la AEPD. Se sustituye por realizar un registro a nivel interno en la empresa denominado como Registro de Actividades de Tratamiento.

Los datos que tratamos tienen fecha de caducidad. Esto quiere decir que solamente se podrán conservar los datos que estén actualizados. En la práctica quiere decir que se podrán conservar los currículum siempre que los datos hayan sido actualizados. En los casos en que permanezcan más de dos años sin recibir actualización deberán ser borrados o bloqueados.

Realización de un análisis de riesgos

Otra de las principales novedades del RGPD es la obligatoriedad de realizar, antes del inicio del tratamiento, un análisis de los riesgos que conlleva para los derechos y libertades de los candidatos dicho tratamiento.

En el caso que los tratamientos entrañen un alto riesgo será necesario la redacción de una Evaluación de Impacto en la Protección de Datos.

Se exige una EIPD por lo menos en los tres casos siguientes:

  • la evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles,
  • el tratamiento a gran escala de datos sensibles,
  • la observación sistemática a gran escala de una zona pública.

Se establecerán las medidas previstas para afrontar los riesgos. Incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Conservación de datos actualizados

Es imperativo que los datos personales de los que se disponga estén actualizados.

Así lo enuncia el artículo 5 del RGPD. ¿ Y que supone este artículo para los reclutadores?

Muy sencillo, si dispones de curriculums que hayan permanecido más de 24 meses sin ser actualizados deberán ser bloqueados para impedir su lectura. O incluso eliminados.

Delegado de Protección de Datos

Una de las principales novedades del RGPD es la regulación de la figura del Delegado de Protección de Datos (DPD). Tiene la función principal de gestionar y supervisar el correcto cumplimiento del RGPD por parte de la empresa. El DPO puede ser una persona física o jurídica, interna o externa a la empresa.

Las empresas dedicadas a la selección de personal no están incluidas dentro de aquellas que necesitan obligatoriamente un DPD. Sin embargo, puede ser muy recomendable su designación, sobre todo en el caso de realizar tratamientos de grandes volúmenes de datos personales. Ya que supondrá una garantía de cumplimiento de la normativa.

Cláusula LOPD para el currículum vitae

Durante los procesos de selección, los departamentos de recursos humanos deben tratar con información sensible de los candidatos, principalmente la que figura en su currículum vitae.

Nombre, fecha de nacimiento, domicilio, imagen personal, formación, experiencia profesional… Todos estos datos son tratados por la empresa para seleccionar a sus empleados. Por ello, y para cumplir con el RGPD y la LOPD, es necesario incluir una cláusula de protección de datos en currículum.

Ley protección de datos curriculum

La Ley de protección de datos obliga a que los curriculum vitae de candidatos que manejan las empresas sean tratados de acuerdo a la normativa. Dicho de otro modo, para poder manejar información personal con fines profesionales, es necesario informar al trabajador del tratamiento que se va a realizar de sus datos, así como solicitar su consentimiento.

En este punto, nos podemos encontrar con varios escenarios:

  1. El candidato se postula en una oferta publicada por la empresa en un portal de empleo:
    • En este caso, la propia empresa o la plataforma en la que se publica la oferta, serán las encargadas de facilitar la cláusula informativa correspondiente, en la que se indique la finalidad del tratamiento de datos (por ejemplo, si se van a ceder a terceros) y se solicite el consentimiento para modificar o eliminar dicha información.
  2. El currículum es enviado por el candidato a través de correo electrónico u ordinario, por iniciativa propia:
    • Aunque el candidato haya enviado su currículum por motu proprio, para evitar posibles problemas en el futuro, es necesario enviar un acuse de recibo con su cláusula correspondiente, en la que además se solicite consentimiento para tratar sus datos.
  3. La entrega del currículum se realiza de forma presencial, también por iniciativa del candidato:
    • Si el currículum del candidato se recoge de forma presencial en las oficinas o instalaciones de la empresa, se debe informar al usuario mediante un documento físico (soporte o medio escrito) sobre la política de tratamiento de datos de la empresa, solicitando de nuevo a su vez, el consentimiento.

Consentimiento para tratar datos personales del currículum

El Reglamento General de Protección de Datos (RGPD) establece que el consentimiento debe ser explícito. Es decir, el usuario debe aceptar, de forma voluntaria, expresa e inequívoca, las condiciones que la empresa refleja para el tratamiento de su información personal (siempre con fines de selección de personal). Por ejemplo, con una check box o casilla de aceptación.

Destacar que, al contrario que con la normativa anterior a la entrada en vigor del RGPD, ya no sirve con el consentimiento tácito o por omisión.

Plantilla LOPD currículum

La plantilla LOPD para currículum debe reflejar la identidad del responsable del tratamiento o su representante (y delegados, si los hubiera), la base legal, finalidad del tratamiento, si la información va a ser cedida a terceros y las vías por las que el candidato puede ejecutar sus derechos ARCO.

No hay una plantilla estándar para su redacción, pero si necesitas ayuda aquí te dejamos un modelo para cláusula de consentimiento para tratamiento y cesión de datos de CV.

clausula lopd curriculum vitae

Preguntas habituales ante la selección de personal

Una vez presentadas las principales novedades relacionadas con el mundo de los recursos humanos y el reclutamiento laboral, vamos a dar un enfoque más práctico.

A continuación, vamos a dar contestación a las preguntas más habituales que nos hacen nuestros clientes Headhunters.

Estate atento ¡Esto te interesa!

¿Debo borrar periódicamente mi base de datos de mis candidatos?

No.

Como anteriormente hemos mencionado no tiene por que borrarlos. Pero si te debes asegurar que su almacenamiento cumple con la normativa.

Si en su momento no recogiste el consentimiento expreso del candidato deberás hacerlo ahora.

De igual forma, si posees su consentimiento, pero han pasado más de 24 meses desde que te lo dieron, deberás actualizar sus datos. Y si no consigues actualizarlos deberás bloquearlos y no usarlos.

¿Cómo puedo saber si un currículum ha “caducado”?

El plazo máximo de conservación de currículum son 2 años como anteriormente dijimos. Si almacenamos currículum en soporte físico nos resultará muy complejo saber cuánto tiempo ha transcurrido desde que tenemos ese currículum. Lo recomendable es almacenarlos en los sistemas informáticos para poder controlar el tiempo de vigencia de esos datos.

Tengo los curriculums impresos o en Excel, ¿Puedo cumplir con la normativa?

Si bien no hay ninguna prohibición normativa que lo impida, nuestro consejo es que no lo hagas. Ya que se trata de sistemas que dificulta conocer la antigüedad de los datos, así como en el caso de que estén impresos, no podrás actualizar dicha información.

Por lo tanto es muy seguro que, en algún momento, entres en conflicto con la legislación.

Si quieres más información al respecto, te recomendamos que las el post relativo a la conservación de datos.

Recibo CVs en mi mail y en el del departamento ¿Es conforme a la nueva legislación?

Como en la anterior pregunta, la repuesta es sí.

No obstante, deberemos recabar siempre el consentimiento del candidato. Aunque sea él el que se haya dirigido en primer lugar a nosotros.

Nuestra recomendación es que que si a través de redes sociales das un correo para que te contacten los candidatos, dejes de hacerlo. Y cambies el sistema por uno más acorde a todas la nuevas obligaciones y deberes de la nueva normativa.

¿Cómo debo actuar si recibo un currículum?

  • En mano

Para cumplir con la normativa lo correcto cuando un candidato nos entregue su currículum en mano sería proporcionarle la información mínima sobre:

  • identificación del responsable del tratamiento,
  • finalidad del tratamiento,
  • plazo de conservación de los datos,
  • destinatarios de esos datos y
  • derechos que asisten a esa persona.

Tras haber realizado esta información previa se debe recabar el consentimiento expreso para realizar el tratamiento de los datos.

Es recomendable realizarlo en formato papel, tanto la información previa como el consentimiento, con la finalidad de salvaguardarnos las espaldas por si la Agencia de Protección de Datos nos requiere y debemos demostrar que estamos cumpliendo con el nuevo reglamento.

  • A través de la página web

Para aquellos supuestos donde dispongamos de página web corporativa a través de la cual tengamos un apartado determinado para recoger currículum de los candidatos, tras el formulario de recogida de datos debemos incluir una casilla donde el interesado pueda marcar que ha leído la política de privacidad.

Con la política de privacidad marcada se entiende que se ha realizado la información necesaria y se ha obtenido el consentimiento de manera válida.

¿Es posible seguir contactando con candidatos a través de un email recabado en internet?

, pero hay que matizar.

Solo podremos hacerlo si el email se encuentra publicado de tal manera que se pueda probar el interés de candidato a ser contactado con el fin de ser reclutado.

Por ejemplo, si esta información está publicada en Linkedin o en un portal de empleo, es evidente que el candidato está dispuesto a que le escriban reclutadores.

No obstante, en la primera comunicación deberás recabar el consentimiento para el tratamiento de datos con la finalidad buscada. Si no consigues el consentimiento deberás eliminar de tu base de datos dicho mail.

¿Podré almacenar en mi base de datos los candidatos que reciba de portales de empleo?

Sí, siempre y cuando te den su consentimiento por separado después de inscribirse a tu oferta y mantengas actualizados sus datos. Como en otras preguntas, la clave estará la forma de recibir la aprobación por parte de los candidatos.

En el caso de que haya descartado candidatos ¿Puedo usar sus datos para nuevas vacantes?

Sí, pero se tienen que dar dos condiciones:

  • que el candidato, en el momento de inscribirse en la oferta, haya mostrado su consentimiento para ser contactado para otras posiciones
  • recabes su consentimiento para futuras ofertas una vez descartado

En el caso de que incumpla con estas directrices, ¿Podría ser sancionado?

Sí. En caso de que se incumpla con los preceptos recogidos en el nuevo reglamento europeo nos exponemos a sanciones mucho más importantes que las que se recogían en la LOPD.

En el caso de tratar datos sin obtener previamente el consentimiento expreso del interesado o cualquier otra base legal que nos sirva de apoyo estaríamos infringiendo el Reglamento en lo que se determina como incumplimientos graves. Y con ello acarrearíamos sanciones graves que oscilan como máximo en multas de hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa.

Recomendaciones para que la empresa de selección cumpla el RGPD

A modo de resumen, para estar cumpliendo con el nuevo reglamento europeo debemos:

  • Recabar los datos estrictamente necesarios para cumplir con la finalidad del tratamiento
  • Recabar los datos personales mediante un consentimiento expreso del candidato o trabajador
  • Dar información clara y concisa sobre el cumplimiento del RGPD
  • Una vez que tengamos los datos personales debemos realizar un registro de actividades.
  • Tras este registro necesitamos realizar un análisis de riesgo para evaluar que clase de datos tratamos y que medidas de seguridad son necesarias para evitar las brechas de seguridad anteriormente mencionadas. Para el caso de que tratemos con datos sensibles o que requieran una especial protección, el análisis de riesgos aportara una nota alta. Esto conlleva la realización de una evaluación de impacto en la que se reflejan el tipo de datos que manejamos y las medidas de seguridad que debemos adoptar
  • Plazo determinado por el cual vamos a conservar los datos
  • Ampliación de los derechos que se le reconocen a los interesados

Espero que te hayamos aclarado un poco los cambios que trae consigo la nueva legislación de protección de datos en el apasionante mundo del reclutamiento laboral.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
EmpresaLaboral

Control de temperatura a trabajadores ¿Cómo debo hacerlo? Incluye modelo y Cartel

5 Mins read
Con las primeras fases de la desescalada y la vuelta a la actividad en los centros de trabajo, también llega la implantación…
Laboral

¿Qué puedo hacer cuando un trabajador roba mis clientes?

9 Mins read
Ahora, como hay muchos despidos, varios clientes nos han llamado preocupados porque trabajadores que han despedido, sobre todo comerciales, se han llevado…
Laboral

Pedir un pasaporte sanitario de trabajadores ¿Es legal?

6 Mins read
En España comenzamos a prepararnos para el desconfinamiento con la vuelta al trabajo de determinados sectores empresariales. Pero para esta vuelta se…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.