La ley establece fuertes sanciones para quienes no dan cuenta sobre cómo utilizan los datos.
Dicen que la búsqueda de empleo es en sí misma casi como un trabajo, y en muchas ocasiones es así. Una de las labores más importantes de esta actividad es el envío de currículums a empresas que hayan iniciado procesos de selección o que sean susceptibles de realizar contrataciones en el futuro.
El envío indiscriminado de currículums presenta un problema que
generalmente no es tenido en cuenta: estos documentos tienen un importante
número de datos personales que terminan en manos de desconocidos, de los que no
se sabe qué uso van a hacer de los mismos. En este sentido, la ley protege
la privacidad de las personas que remiten sus datos a las empresas.
El Reglamento General de Protección de Datos (RGPD) recoge
cómo debe ser tratada la información facilitada en los CV por parte de las
empresas, y deja muy claro qué procedimiento deben seguir estas a la hora de
manejar los datos y qué información deben dar sobre el tratamiento que se va a
hacer de los mismos.
El artículo 13 del RGPD detalla que cuando se obtengan de un interesado datos personales, como puede ser un CV, el responsable del tratamiento de estos datos debe facilitar al remitente una amplia información:
La información a la que hace referencia el artículo 13 del RGPD no
atañe solo a las personas que han enviado su currículum dentro de un proceso de
selección. También están protegidas por la norma aquellas personas que han
remitido su CV sin que les haya sido solicitado por la empresa. En este
caso también tienen que ser informadas del tratamiento que se va a dar
a sus datos en el momento en que la empresa recibe los mismos. No
obstante, para que la empresa pueda tratar los CV recibidos por esta vía tiene
que contar con el consentimiento de los interesados.
Estas obligaciones han sido recogidas posteriormente en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (LOPDGDD),
concretamente en el artículo 11.
Las multas por incumplir estas obligaciones pueden llegar hasta
los 20 millones de euros o un 4% del volumen de la facturación global anual de
la empresa. No obstante, la Agencia Española de Protección de Datos
(AEPD) nunca ha llegado a imponer sanciones tan elevadas. En agosto del año
pasado sancionó a una empresa con u a multa de 2.000 euros por no responder
ante el envío de un currículum por parte de un candidato, tal como establece el
artículo 13 del RGPD.
El deber de información no es la única cuestión que tienen que
tener en cuenta las empresas a la hora de gestionar la información de
un CV, ni es el único derecho que beneficia a quienes envían la información.
Para aclarar la aplicación de la legislación de protección de datos y dar
herramientas a las organizaciones, públicas o privadas, para un adecuado
cumplimiento de la legalidad vigente, la AEPD ha publicado el
documento Protección de datos y relaciones laborales.
En este documento se explica que, según el artículo 6.1 del RGPD, el
tratamiento de datos personales durante el proceso de selección exige
el consentimiento de la persona candidata en todos los casos. Así, “el
tratamiento de datos es lícito cuando resulta necesario para la
aplicación a petición de la persona trabajadora de medidas precontractuales o
la intención de concluir un contrato”.
Según el citado documento, en caso de realizar algún tipo de
anuncio o convocatoria, deberá incluirse la información del artículo 13 del
RGPD. Además, si se recibe un currículum sin haberlo pedido previamente
mediante anuncio o convocatoria, deberán fijarse procedimientos de información
y confirmar que el candidato conoce las condiciones en las que se
desarrollará el tratamiento de sus datos. Además, el deber de información
deberá llevarse a cabo a través de un medio que permita acreditar su
cumplimiento, debiendo conservarse mientras persista el tratamiento de los
datos del afectado.
En todo momento, la empresa es responsable de la custodia del
CV entregado por la persona candidata. En caso de pérdida de esa
documentación, que contiene datos personales, la empresa incurrirá en
infracción del RGPD (principio de integridad y confidencialidad).
Por otra parte, "aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público", el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida. La indagación en los perfiles de redes sociales de las personas candidatas a un empleo solo se justifica si están relacionados con fines profesionales.