Los currículums recibidos para posibles ofertas de empleo y selección de personal contienen datos personales de diferente tipología, y pueden llegar a ofrecer información sensible.

El correcto tratamiento de currículums de candidatos a una oferta de empleo es imprescindible para cumplir el Reglamento General de Protección de Datos (RGPD). No hacerlo de forma adecuada conlleva riesgo de ser sancionado.

currículum rgpd
Es un error frecuente pensar que cuando una persona entrega su currículum a una empresa, la misma acción de facilitarlo supone ya su consentimiento para el tratamiento de datos personales que figuran en este. Nada más lejos de la realidad.

 

Protección de datos y currículums.

La normativa de protección de datos (RGPD – LOPDGDD) afecta al tratamiento y procesamiento de un currículum del mismo modo que otros documentos con datos personales.

La cantidad de datos contenida en un currículum es muy amplia, desde datos identificativos y de contacto, hasta imágenes e incluso información médica.

Esto implica que potencialmente podemos recibir información sensible, por lo que debemos atender a los principios y obligaciones correspondientes:

  1. Consentimiento. Recabar el consentimiento informado por parte del interesado, cumpliendo con los obligados contenidos de información de privacidad. Debemos tener la capacidad de probar este cumplimiento.
  2. Seguridad. Realizar un análisis de riesgos para establecer las medidas técnicas y organizativas que garanticen la protección de datos personales de los currículums.
  3. Datos actualizados. Conservar el currículum por un tiempo prudencial determinado. En la práctica, 2 años puede ser un plazo razonable tras el que si un currículum no se ha actualizado proceder a su bloqueo o eliminación.
  4. Brechas de seguridad. Gestión de incidencias de seguridad que pudieran poner en riesgo los datos de los candidatos, debiendo observar el correspondiente deber de información a los interesados expuestos.
  5. Ejercicio de derechos. Posibilidad de ejercicio por los candidatos de los derechos de protección de datos existentes. Especialmente la portabilidad es un derecho relevante en este ámbito, pues un interesado puede solicitar una copia de los datos personales recogidos por la empresa, portal de empleo o ETT.

Consentimiento y cláusula RGPD-LOPD currículums.

La recogida de currículums pasa por contar con el consentimiento informado del interesado y por la capacidad de demostrarlo.

Resulta necesario usar una cláusula de protección de datos en el proceso de recogida de currículums, y así cumplir con el deber de informar respecto al tratamiento de los datos personales.

Como la recepción de currículums puede llevarse a cabo en distintas vías, la inclusión de esta cláusula puede variar también:

Si no cumplimos con las exigencias RGPD – LOPD correspondientes a la gestión de currículums vitae, están previstas sanciones en función de la gravedad de la infracción.

protección datos currículums rgpd

En el caso de no contar con base legitimadora válida, como el consentimiento del interesado, estaríamos ante una infracción grave.

FAQ´S – Preguntas frecuentes currículums y protección de datos (RGPD – LOPD).

¿Puedo conservar datos de candidatos recabados en servicios o portales de empleo? – No. Aunque los datos figuren públicamente, no pueden recabarse para la creación de perfiles o bases de datos sin el consentimiento del interesado.

¿Y si recibo los datos del servicio o portal de empleo? – Sí. Siempre y cuando los candidatos hayan otorgado su consentimiento en el proceso de tu oferta.

¿Debo eliminar periódicamente los currículums? – Sí. Debes contar con un procedimiento determinado que reúna un plazo de conservación adecuado, por ejemplo 2 años, y cumplido este proceder al bloque o eliminación de los mismos, tanto si están en soporte papel como informático. Lo recomendable es asignar fecha de entrada en su recepción, para conocer su antigüedad.

¿Puedo contactar con candidatos a través Linkedin o de emails recabados por Internet? – Sí. Siempre que establezcas una primera comunicación dirigida a recabar su consentimiento para el tratamiento de sus datos.

¿Qué tener en cuenta en caso de contratar un servicio de selección o empleo de personal? – Este tipo de servicio generalmente actuarán como un encargado de tratamiento, debiendo formalizarse el correspondiente acuerdo entre las partes donde se definen las obligaciones marcadas por la LOPD y el RGPD, incluyendo quien actuará como responsable o recabará el consentimiento, cesiones y subcontrataciones, medidas de seguridad aplicables, plazos y criterios de conservación, etc.

¿Qué sucede si se extravían o pierden los currículums? – La empresa es responsable de la custodia de estos, si faltamos al principio de integridad y confidencialidad nos exponemos a una infracción. Además debemos contemplar esta situación en el plan de gestión de brechas de seguridad.

¿Qué datos puedo solicitar a un candidato? – Únicamente aquellos relevantes para el puesto de trabajo y nunca información indiscriminada. En aquellos supuestos que resulten de interés ciertos informes o certificados (informe vida laboral, antecedentes penales, etc.), hay que contar con base legitimadora para ello como por ejemplo: interés legítimo u obligaciones legales, porque el consentimiento informado puede no ser suficiente base legitimadora. En todo caso, hay que procurar los medios menos invasivos a la privacidad posibles y recordad siempre recabar la información estrictamente mínima y necesaria para el fin que estamos pretendiendo.

¿Se pueden solicitar los antecedentes penales para un puesto de trabajo? – Solamente resultará conforme a lo establecido en la LOPDGDD la solicitud de un certificado de antecedentes penales a las personas que se contraten por una entidad en el supuesto de que una Ley nacional, o una norma europea de directa aplicación, contemplen dicha medida, en otro caso, la misma resultaría contraria a lo regulado en la normativa de protección de datos.

¿Se puede incluir en el currículum información sobre la COVID-19? ¿Puede la empresa fijar como requisito que el candidato tenga anticuerpos COVID-19? – No. Esto se considera información de salud, calificada de categoría especial y que no puede ser objeto de tratamiento por la empresa empleadora, no pudiendo ser información solicitada a las personas candidatas, al carecer de base jurídica y no responder a finalidades legítimas. Por tanto, si de modo propio una persona candidata incluye esa información en su currículum, deberá suprimirse, lo que puede conllevar la destrucción del currículum y la eliminación del candidato del proceso selectivo.

¿Pueden obtenerse datos de las redes sociales de una persona candidata? – En general no. La indagación de información en los perfiles de redes sociales de las personas candidatas solo se justifican si están relacionada con fines profesionales. Posible únicamente cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.

¿Qué sucede con los datos obtenidos en una entrevista de trabajo? – Las preguntas adicionales que la persona candidata pregunte durante la entrevista no quiere decir que consienta el tratamiento de sus datos personales. Por tanto los datos obtenidos por esta vía no pueden tratarse a menos que se cuente con base legitimadora válida (consentimiento, interés legítimo, información necesaria para ejecución del contrato). Estas anotaciones o informaciones adicionales recopiladas deberán tratarse con los mismos principios y medidas que los currículums.

RESUMIENDO:

La correcta gestión de currículums vitae tiene que estar adecuada al RGPD-LOPD y, al menos, debemos:

  1. Recabar siempre el consentimiento expreso de los candidatos para el tratamiento de sus datos.
  2. Recoger únicamente los datos estrictamente necesarios para cumplir con la finalidad del tratamiento.
  3. Contar en el plan de protección de datos con un registro de actividades de tratamiento que contemple los procedimientos asociados a la gestión de CV.
  4. Analizar los riesgos e implantar las medidas de seguridad adecuadas para reducirlos y prevenir brechas de seguridad.
  5. Conservarlos actualizados y, si transcurridos 2 años no se han actualizado, proceder a su bloqueo o eliminación asegurando su confidencialidad (destructora de papel si están en soporte papel, o suprimirlos de cualquier base de datos si están en soporte informático).
Auditta protección inteligente rgpd

¿Tienes alguna otra duda sobre la gestión de currículums?

¿Necesitas un presupuesto?

Contacta con nosotros e infórmate sin compromiso sobre nuestro Plan Protección de Datos 360º.

Ir al contenido