Cada vez son más currículum los que llegan a las empresas por cualquier medio con el propósito de llegar a obtener una oportunidad laboral.

Y cada día recibo más preguntas, tanto de usuarios como de empresas, sobre cómo deben tratarse los datos personales de esos currículum. Y cómo cumplir con la normativa de Protección de Datos.

Por ello te doy las claves para tratar adecuadamente los datos de los currículum que te llegan y que no te pillen en un renuncio.

¿Qué tengo que hacer con los CV que recibo?

  1. Inscribir el fichero en la AEPD
  2. Informar a los candidatos
  3. Obtener el consentimiento para el tratamiento

Los currículum que cada día recibimos contienen datos personales del candidato o futuro candidato. El teléfono, dirección, nombre y apellidos, correo electrónico son datos personales y como tales su tratamiento y almacenamiento debe cumplir lo estipulado en la LOPD.

Las empresas no pueden simplemente almacenar esos currículum en un cajón o lo que es peor, tienen totalmente prohibido arrojarlos a la basura, sin ser debidamente destruidos, de tal forma que la información quede totalmente ilegible.

Inscribir el fichero

Antes de almacenar currículum vitae debemos tener inscrito el correspondiente fichero en la AEPD. De esta forma, comunicamos a la Agencia nuestra intención de tratar los datos personales incluidos en esos CV.

Obligación de informar

En caso de que decidamos guardar ese currículum recibido, debemos informar al titular de esos datos personales de una serie de aspectos como:

  • De la existencia de un fichero, la finalidad de la recogida de esos datos personales y los destinatarios de la información.
  • El carácter obligatorio de su respuesta a las preguntas que les sean planteadas.
  • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • La posibilidad de ejercitar los derechos de acceso, para saber de qué información dispone la empresa sobre nosotros, rectificación, para actualizar o modificar datos y cancelación y oposición ya que en cualquier momento podemos decidir que no queremos que la empresa siga tratando nuestros datos de carácter personal.
  • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

¿Y si los datos se recogen online?

En el caso de que la empresa disponga de un formulario online para enviar los datos para participar en procesos de selección, es necesario también contar con el consentimiento expreso de los candidatos.

Esto se consigue mediante la inserción al pie del formulario de un check desmarcado por defecto en el que esa persona debe aceptar la política de privacidad de la empresa.

Autorización para el tratamiento de CV

Existen una serie de recomendaciones sobre cómo obtener autorización para el tratamiento de los datos personales incluidos en los CV:

CV entregado en mano

Si el currículum se presenta directamente por el candidato sin habérsele solicitado deben determinarse procedimientos de información que supongan algún acuse de recibo o confirmación de conocer las condiciones (deber de información) en las que se desarrollará el tratamiento de ese currículum por parte de la empresa.

CV enviado por correo postal o electrónico

Si el currículum se remitió por correo postal o electrónico y se cuenta con una dirección electrónica facilitada por el propio interesado puede remitírsele la información por ese medio solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo.

Cesión de CV entre empresas

Nunca hay que olvidar que a los efectos de la Ley Orgánica de Protección de Datos (LOPD) aunque dos o más empresas pertenezcan a un único grupo empresarial, se trata de entidades diferentes y, por tanto, todas han de cumplir con todos los requisitos contenidos en los artículos 4 a 12 de la LOPD, incluido por supuesto el principio del consentimiento.

Aplicado este principio a la gestión de curriculum vitae significa que no pueden pasar de una empresa a otra sin consentimiento del interesado, y que en caso de ocurrir, ambas pueden ser sancionadas por la Agencia Española de Protección de Datos (AEPD), como podemos ver en este ejemplo real.

ejemplos proteccion de datos

El procedimiento sancionador PS/00110/2010 se inicia tras la entrada en la AEPD de un escrito de un denunciante en el que declaraba que la empresa “B” presentó en un juicio un correo electrónico, con un curriculum suyo adjunto, que el mismo denunciante había enviado con anterioridad a la empresa “A” en solicitud de un puesto de trabajo. La entidad “A” recibió el C.V. del denunciante y lo facilitó a la entidad “B” sin consentimiento del titular de los datos personales contenidos en el mencionado documento. Se considera como infracción grave y se impone una multa de 60.101 € a la entidad “A” y de 6.000 € a la entidad “B”.

Destrucción de curriculum

En el caso de que no nos interese guardar los curriculum no es necesario inscribir el fichero en la AEPD. Pero debemos seguir unas pautas para destruir ese documento que contiene datos personales.

Es decir, no podemos tirarlo a la basura.

Para destruir soportes que contienen datos personales se deben adoptar precauciones:

  • Si el curriculum está en papel se debe destruir en una destructora de documentos, y no tirándolo a la papelera, ya que contiene datos personales.
  • Si está en un email, se debería borrar ese email del puesto y del servidor.
  • Y por supuesto se debería aplicar el deber de secreto y confidencialidad a todas las personas por cuyas manos pasen esos curriculum.

¿Cuánto tiempo debo conservar los curriculum?

La LOPD no establece cuanto tiempo pueden conservar las empresas nuestros datos personales, éstos solamente se podrán guardar el tiempo necesario y mientras dure el proceso de selección, a no ser que hayamos otorgado el consentimiento para que se almacene de forma permanente. Suele ser práctica habitual para cumplir con esta obligación destruir los curriculum pasados 6 meses desde su recepción.

CV en redes sociales

Todos sabemos que las redes sociales también se utilizan hoy en día para acabar de decidirnos sobre la posibilidad de contratar a un candidato o no y que según como sea nuestro perfil de Facebook, por ejemplo, o lo que publiquemos en él, puede hacer que no se nos llame para la segunda fase del proceso de selección.

Eso es una cosa, y otra muy diferente es obtener y almacenar información de un candidato sin su consentimiento expreso.

El hecho de que la información se encuentre en las redes sociales no nos da derecho a utilizarla.

Distinto es el caso de LinkedIn que se trata de una red social profesional, y nuestro currículum está allí expuesto con la finalidad de que alguien contacte con nosotros por temas laborales.

En todo caso, estas redes sociales tienen su propia política de Protección de Datos y nosotros decidimos si queremos publicar o no nuestro curriculum en las mismas.

Claves del Reglamento europeo de Protección de Datos

tratamiento de los datos en curriculum vitae segun rgpd

Los principales aspectos del RGPD que afectan al tratamiento de datos de curriculum son:

Consentimiento expreso

Ya no son válidos los consentimientos tácitos o presuntos que admite la actual LOPD.

Con el RGPD los candidatos deberán otorgar claramente su consentimiento para la recogida de sus datos personales y los usos que se les vaya a dar. Esta información se les deberá transmitir de forma clara y concisa.

Fecha de extinción de los datos

El RGPD indica que solo se podrán conservar aquellos datos que estén actualizados. Aunque no se establece un plazo fijo, distintas fuentes legales dan por sentado que aquellos currículums que permanezcan más de 24 meses sin ser actualizados deberán ser borrados o bloqueados para impedir su lectura.

Datos imprescindibles

El principio de minimización exige que solo se podrán recoger los datos imprescindibles para la finalidad indicada al candidato. ¿Será el principio del fin de los formularios eternos de inscripción a ofertas? Esperemos que sí.

Portabilidad de los datos

Los candidatos podrán solicitar en cualquier momento una copia de sus datos. Esta se le debe facilitar en un formato estructurado, de uso común y lectura mecánica.

Preguntas frecuentes

Por último, me gustaría aclarar algunas cuestiones planteadas sobre el tratamiento de CV con la nueva normativa europea.

¿Tengo que borrar los CV que ya tenga en mi base de datos?

No, no tienes que borrarlos. Pero sí que debes asegurarte de que sus datos sigan legalmente almacenados. Por eso, si no lo hiciste en su momento, deberás solicitar su consentimiento para guardar esta información y usarla para comunicarte con ellos en el futuro.

Además, si dispones del consentimiento, pero han transcurrido más de 24 meses desde que te lo dieron, deberás actualizar sus datos.

¿Puedo seguir recibiendo CV en mi email?

Sí, podrás. Pero la probabilidad de acabar incumpliendo el Reglamento es muy elevada. Si en tu Página de Empleo o en tus publicaciones en redes sociales das un email para que los candidatos envíen sus CV, asegúrate de tener ese consentimiento expreso para tratarlos.

¿Es posible guardar en mi base de datos CV que reciba desde portales de empleo?

Sí, siempre y cuando te den su consentimiento por separado después de inscribirse a tu oferta y mantengas actualizados sus datos. Lo principal, como os indicaba, es contar con esa autorización del candidato para poder gestionar sus datos personales.

¿Puedo utilizar un mail que aparezca en Internet para contactar con un candidato?

Sí. Pero solo cuando el email esté publicado en una web que muestre el interés del candidato en ser contactado para ese fin. Por ejemplo, si está información está publicada en LinkedIn o en un portal de empleo, es evidente que el candidato está dispuesto a que le escriban para ofertas de empleo.

Además, al comunicarte con él por primera vez deberás pedirle su consentimiento para el tratamiento de sus datos con la finalidad necesaria.

Modelo de autorización para tratar datos de CV

Ya solo me queda hacerte una pregunta,

¿Estás cumpliendo la normativa de Protección de Datos en los curriculum que almacenas? Cuéntame tu experiencia.

¿Necesitas cumplir la LOPD?

Claves para tratar los currículum vítae cumpliendo la Protección de Datos
4.7 (94%) 10 votos