Cómo respetar la protección de datos durante la selección de personal

El Reglamento General de Protección de Datos (RGPD) puede suscitar dudas sobre la información que se maneja en curriculums durante los procesos de selección de las empresas. ¿Es necesario consentimiento? ¿Existen límites en la información que una empresa puede pedir? PymeLegal, consultoría especializada en protección de datos, responde a estas y otras cuestiones sobre este tema.

Desde PymeLegal, despacho especializado en la protección de datos y privacidad, nos explican con detalle tres de las cuestiones más relevantes en relación con el procedimiento de recepción de CV.

¿Es necesario el consentimiento de la persona durante el proceso de selección para realizar el tratamiento de los datos?

No, el tratamiento de datos durante el proceso de selección no exige el consentimiento de la persona interesada.

El artículo 6.1 b) del RGPD establece que el tratamiento será lícito si es necesario para ejecutar un contrato en que el interesado (en este caso, la persona candidata) es parte o para la aplicación de medidas precontractuales solicitadas por esta parte. También debemos tener en cuenta el considerando 44 del RGPD que específica que: “El tratamiento debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato”.

En caso de que los datos incluidos en el CV se utilicen luego para otros fines, por ejemplo, comerciales, implicará que necesitaremos otra base jurídica, como el consentimiento o el interés legítimo.

¿Cómo podemos informar a la persona candidata?

El deber de información se deberá llevar a cabo por medios que permitan probar el cumplimiento y se conservará mientras dure el tratamiento.

La recepción de CV puede venir por dos vías diferenciadas, por un anuncio o convocatoria donde la empresa en cuestión indique que tiene una vacante o por la entrega de la persona candidata de su CV.

En el primer caso en el anuncio o convocatoria se deberá incluir la información del art. 13 del RGPD. En el segundo supuesto la empresa deberá fijar un procedimiento de información que permita confirmar que se informa al candidato correctamente.

En caso de que el CV se envíe por correo electrónico o postal se podrá mandar la información a la dirección del remitente y esperar la confirmación para iniciar el tratamiento. En caso de que se entregue físicamente se deberá informar allí por cualquier medio que permita la acreditación, por ejemplo, mediante carteles.

¿Cómo se puede regular el envío de CV? ¿Existe algún límite a la información que la empresa pueda pedir?

Se recomienda establecer un único canal para el envío, de manera que sea más fácil controlarlo, por ejemplo, vía formulario tipo donde se pida la información necesaria y en ese mismo se dé la información requerida por la normativa. Se deben respetar los principios de minimización y limitación y no pedir información de manera indiscriminada, sino, únicamente aquellos datos relevantes para el puesto.

Para el caso de que lleguen CV por otros medios se les puede indicar que lo manden por el medio establecido.

¿Qué sanciones existen por su incumplimento?

Como hemos comentado al inicio del artículo, este tratamiento se encuentra sujeto a la normativa de protección de datos y su incumplimiento puede llevar a sanciones.

El pasado 23 de julio de 2021 la Agencia interpuso una sanción de 2.000 € a una empresa por incumplir con el mencionado art. 13 del RGPD, al no proporcionar al candidato la información relativa al tratamiento de sus datos ni la posibilidad de ejercitar sus derechos ante el responsable del tratamiento.

Más información:
www.pymelegal.es
info@py
melegal.es