La base de legitimación para gestionar la candidatura de los interesados es la aplicación de medidas precontractuales y la intención de concluir un contrato. En todos los casos, el responsable tiene la obligación de informar sobre el tratamiento que se hará de dichos datos personales.

El primer tratamiento de datos personales por parte de una empresa se produce normalmente en la fase previa a la contratación, es decir, en el proceso de selección para un puesto de trabajo. La base legitimadora para este tratamiento es la del art.6.1.b) del RGPD, conforme la última Guía publicada por la Agencia Española de Protección de Datos (AEPD) en mayo 2021 denominada “La protección de datos en las relaciones laborales”, es decir que el tratamiento será lícito y estará amparado en las medidas precontractuales o la intención de concluir un contrato.

A diferencia de lo que se cree, este tratamiento de datos no exige el consentimiento del candidato.  La correcta gestión del Currículum Vitae desempeña un papel importante en el proceso de selección y las empresas, para evitar sanciones deben tener presente que en ningún caso están eximidos del deber de información (artículo 13 del RGPD). En concreto, según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado. Por este motivo, es conveniente disponer de impresos tipo para la formalización de la candidatura y en todos los anuncios o convocatorias públicas. Asimismo, si el currículo lo presenta directamente la persona candidata sin habérsele solicitado, deben fijar un proceso de información que suponga un acuse de recibo o confirmación de las condiciones en las que se llevará a cabo el tratamiento. La empresa debe poder acreditar el cumplimiento del deber de información (artículo 13 del RGPD).

El tratamiento de los datos plasmados en el contrato con otros fines (comerciales, publicitarios) exige otra base jurídica, como el consentimiento o interés legítimo. Lo mismo en los casos de grupos de empresas o de cualquier otra fórmula de colaboración empresarial, en los que debe tenerse en cuenta que la cesión de los datos contenidos en el Currículum vitae debe contar con el consentimiento del candidato.

⚖️ CURSO ONLINE PARA EMPRESAS Y EMPLEADOS

 

Portada del vídeo de introducción al curso online de COVID

➥ Formación impartida por el Dpto. de Formación de Grupo Adaptalia

➥ Dirigido a empresas y empleados «con o sin opción de teletrabajo»

Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento y se debe destruir el currículum, suprimir y bloquear dichos datos personales. En caso de que se pretenda conservarlo para futuros tratamientos (por ejemplo, incorporarlo a la bolsa de trabajo) será necesario el consentimiento del interesado.

En conclusión, la base de legitimación para gestionar la candidatura de los interesados es la aplicación de medidas precontractuales y la intención de concluir un contrato.

Independientemente de la forma en la que recaben los currículums (anuncio por parte de la empresa o presentación de directa por parte del interesado), el responsable tiene la obligación de informar sobre el tratamiento que se hará de dichos datos personales. En una reciente resolución publicada por la AEPD se sancionó a una compañía con una multa de 2.000 euros no por haber dado acuse de recibo a un currículum que le había enviado el interesado, la AEPD considero que el silencio puede ser constitutivo de infracción.

Según se relata en la resolución, con fecha de 23 de agosto de 2021, el reclamante encontró una oferta de empleo a través de un portal de internet. Siguiendo las instrucciones que se indicaban en el anuncio, contactó por teléfono con la empresa y le remitió su currículum a través del sistema de mensajería instantánea WhatsApp, sin que los responsables de la misma le dieran ningún tipo de respuesta. Al no facilitarle información sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, el candidato realizó una denuncia ante la AEPD.

Tras analizar las circunstancias del caso, la AEPD entiende que la empresa titular de la oferta ha infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve» y teniendo en cuenta los criterios de graduación se fija la sanción antes mencionada. Contra la resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.

Si te gustó este contenido quizás te interese…
El Big Data en el marco de la Protección de Datos
La protección de datos en el ámbito digital del teletrabajo
Intervinientes en el tratamiento de los datos