Protección de Datos
en Currículums

Debes aplicar los mismos principios que a cualquier otro dato personal:

• Legitimidad: Solo recabar datos estrictamente necesarios para evaluar la candidatura.
• Transparencia: Informar claramente sobre el tratamiento de datos.
• Minimización: Recoger solo los datos imprescindibles.
• Exactitud: Mantener los datos actualizados y precisos.
• Integridad y confidencialidad: Proteger los datos contra accesos no autorizados.

Importante: No recabes información que no sea relevante para el proceso de selección.

El registro de actividades de tratamiento es obligatorio en estos casos:

• Si tu organización tiene más de 250 empleados.
• Si tratas categorías especiales de datos (datos sensibles).
• Si el tratamiento no es ocasional.
• Si puede entrañar un riesgo para los derechos y libertades de los interesados.

Además, debes realizar un análisis de riesgos previo. Si el tratamiento puede implicar un riesgo alto, deberás llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD).

En caso de violación de seguridad, estás obligado a:

1. Notificar a la AEPD en un máximo de 72 horas desde que tengas conocimiento del problema.
2. Informar a los candidatos si la brecha representa un riesgo alto para sus derechos y libertades.

Para prevenir brechas, debes implementar medidas técnicas y organizativas adecuadas que garanticen la confidencialidad, integridad y disponibilidad de los datos de los currículums.

Medidas recomendadas:

• Encriptación de datos sensibles.
• Control de acceso y autenticación.
• Copias de seguridad seguras.
• Formación del personal en seguridad.

Debes implementar las siguientes medidas de seguridad:

• Análisis de riesgos: Evaluar los riesgos asociados al tratamiento de datos.
• Medidas técnicas: Encriptación, copias de seguridad, control de acceso.
• Medidas organizativas: Políticas de confidencialidad, formación del personal.
• Registro de actividades: Si tienes más de 250 empleados o tratas datos especiales.
• Notificación de brechas: Informar a la AEPD en 72 horas si hay incidentes de seguridad.

En caso de brecha de seguridad, debes informar tanto a la AEPD como a los candidatos afectados.

El Delegado de Protección de Datos (DPO) no es obligatorio en empresas de selección, pero se recomienda en estos casos:

• Si procesas grandes volúmenes de datos personales.
• Si tratas categorías especiales de datos (datos sensibles).
• Si el tratamiento es regular y sistemático.
• Si tienes más de 250 empleados.

El DPO puede ser interno o externo, pero debe tener independencia y conocimientos especializados en protección de datos.

Funciones del DPO:

• Informar y asesorar sobre obligaciones de protección de datos.
• Supervisar el cumplimiento del RGPD.
• Actuar como punto de contacto con la autoridad de control.
• Realizar auditorías de cumplimiento.

El Reglamento General de Protección de Datos (RGPD) es la normativa que regula el tratamiento de datos personales en la Unión Europea. Fue publicado el 17 de abril de 2016 y es de aplicación directa en toda la UE.

Características principales:

• Aplicación directa: No necesita transposición a leyes nacionales
• Marco común: Establece responsabilidades uniformes para todas las empresas
• Mayor control: Da a los ciudadanos mayor control sobre sus datos
• Responsabilidad proactiva: Exige que las organizaciones sean proactivas en protección de datos

En España, el RGPD se cumple junto con la LOPDGDD, que es la ley nacional que desarrolla y complementa el reglamento europeo.

Para adaptar tu empresa al RGPD, debes seguir estos pasos:

• Auditoría de datos: Identificar qué datos personales tratas y cómo.
• Base legal: Determinar la base legal para cada tratamiento de datos.
• Información y consentimiento: Implementar sistemas para informar y obtener consentimiento.
• Medidas de seguridad: Implementar medidas técnicas y organizativas.
• Derechos ARSULIPO: Establecer procedimientos para ejercer los derechos de los interesados.
• Registro de actividades: Mantener un registro de los tratamientos realizados.
• Evaluación de impacto: Realizar EIPD para tratamientos de alto riesgo.
• Formación del personal: Capacitar a empleados en protección de datos.

Recomendación: Considera contratar servicios especializados en RGPD para asegurar el cumplimiento completo de la normativa.

El RGPD no es una normativa aislada, sino que se integra con otras leyes:

• Directiva ePrivacy: Complementa al RGPD regulando privacidad en comunicaciones electrónicas.
• Directiva NIS2: Establece requisitos de ciberseguridad para sectores críticos.
• Ley de Servicios Digitales (DSA): Regula publicidad basada en datos y transparencia algorítmica.
• Reglamento de IA: Establece clasificaciones de riesgo para aplicaciones de inteligencia artificial.
• Normativas sectoriales: Como PSD2 para pagos electrónicos o regulaciones sanitarias.

Importante: En algunos casos, las organizaciones deben cumplir con un doble marco regulador, aplicando tanto el RGPD como normativas sectoriales específicas.

La Ley de Protección de Datos Personales afecta al currículum como a otros documentos con datos personales. Para su recogida y tratamiento se necesita el consentimiento informado y expreso del interesado, independientemente de que este lo haya enviado de forma voluntaria.

Los currículums contienen una gran cantidad de datos personales: nombre, apellidos, dirección, teléfono, DNI, fotografía y, en algunos casos, información médica. Por ello, deben tratarse con los mismos principios y obligaciones que cualquier otro documento con datos personales.

El consentimiento debe ser informado y expreso. Esto significa que debes informar al candidato de:

• La existencia de un fichero con sus datos personales.
• La finalidad del tratamiento para el cual se recogen sus datos.
• La identidad del responsable del tratamiento.
• La base jurídica del tratamiento.
• La cesión de datos a terceros (si se van a producir).
• Tiempo de conservación de los datos.
• Dónde y cómo puede ejercer sus derechos ARCO.

Importante: No se pueden usar casillas premarcadas. El candidato debe realizar una acción afirmativa para aceptar el tratamiento de sus datos.

No puedes almacenar datos de candidatos que hayas recabado directamente de portales de empleo sin su consentimiento expreso.

Sin embargo, sí podrás almacenarlos en estos casos:

• Cuando el propio portal de empleo te facilita los CV a través de su sistema, siempre que el candidato haya aceptado la cesión de datos al inscribirse en la oferta y el portal haya informado correctamente de dicha transferencia.
• Cuando los candidatos te otorgan su consentimiento expreso de forma independiente, por ejemplo mediante tu formulario, una casilla de aceptación o una respuesta afirmativa posterior.
• Cuando el candidato se inscribe voluntariamente en tu oferta y existe una relación directa y explícita con el proceso de selección.
• Cuando conservas el CV para futuros procesos con consentimiento específico, informando del plazo máximo de conservación.

Aunque algunos datos figuren en perfiles públicos como LinkedIn u otros portales de empleo, no está permitido recopilar o extraer información de forma automática o masiva para crear bases de datos internas sin consentimiento ni base jurídica.

Según el Estatuto de los Trabajadores (artículo 20.3), el plazo máximo obligatorio para conservar datos de candidatos no seleccionados es de 1 año desde la recepción del currículum. Para conservar currículums en una plataforma de empleo o para futuros procesos de selección, es necesario contar con el consentimiento expreso del candidato. En este caso, el plazo máximo recomendado es de 24 meses.

Si transcurren estos plazos (1 año sin consentimiento expreso, o 24 meses con consentimiento expreso) sin actualización o renovación del consentimiento, deberás proceder al menos al bloqueo del CV o, si no existe justificación, a su eliminación definitiva.

Además, una vez finalizado un proceso de selección, la empresa puede conservar el CV durante un máximo de 1 año cuando la única finalidad sea la defensa frente a posibles reclamaciones. Este plazo está amparado por el artículo 59.2 del Estatuto de los Trabajadores, que establece la prescripción de las acciones laborales. Pasado este año, el CV debe eliminarse.

Para controlar estos plazos, es recomendable utilizar sistemas informáticos que permitan gestionar automáticamente fechas de conservación, bloqueo y eliminación.

Para la eliminación definitiva:

• CV en papel: Destrucción mediante trituradora de documentos.
• CV digitales: Eliminación segura del servidor y de cualquier copia digital donde estuvieran almacenados.

El procedimiento recomendable para el borrado de currículums descartados es:

1. Registrar la fecha de recepción del currículum.
2. Enviar información y solicitar consentimiento, especificando fines y plazos.
3. Tras el proceso de selección, marcar el CV como "archivado".
4. Si pasan 12 meses sin actualización del candidato:
   • Eliminar completamente los datos (ficheros, sistemas).

Por lo tanto, la empresa asume que, una vez finalizado el proceso de selección, la única base jurídica para conservar el currículum es la defensa ante posibles reclamaciones laborales o administrativas. Por ello, se informa al candidato de que su CV se conservará durante un plazo máximo de 1 año para atender posibles responsabilidades y, una vez transcurrido dicho periodo, será eliminado de forma segura.

Este plazo de 1 año está legalmente justificado por el artículo 59.2 del Estatuto de los Trabajadores, que establece el periodo de prescripción para acciones derivadas de la relación laboral. Transcurrido este plazo desde la finalización del proceso de selección, la justificación desaparece y el CV debe eliminarse definitivamente.

Sí, pero con matices importantes:

Solo podrás hacerlo si el email se encuentra publicado de tal manera que se pueda probar el interés del candidato a ser contactado con el fin de ser reclutado.

Ejemplos válidos:

• Información publicada en LinkedIn.
• Perfiles en portales de empleo.
• Páginas web profesionales donde el candidato manifiesta interés en oportunidades.

Importante: En la primera comunicación deberás recabar el consentimiento para el tratamiento de datos. Si no consigues el consentimiento, deberás eliminar de tu base de datos dicho email.

Sí, pero se deben cumplir dos condiciones:

• Que el candidato, en el momento de inscribirse en la oferta, haya mostrado su consentimiento para ser contactado para otras posiciones.
• Recabes su consentimiento para futuras ofertas una vez descartado.

Es fundamental que el candidato haya dado su consentimiento expreso para ser contactado para otras oportunidades laborales.

Si posteriormente planeas usar los datos con una finalidad distinta para la que se recabaron inicialmente, debes:

• Informar al interesado sobre la nueva finalidad
• Cumplir los mismos requisitos de información que en la recogida inicial
• Hacerlo con carácter previo a realizar el nuevo tratamiento
• Recabar nuevo consentimiento si es necesario

Ejemplo: Si inicialmente recogiste datos para una oferta de trabajo específica y ahora quieres usarlos para otras posiciones, debes informar al candidato y obtener su consentimiento para esta nueva finalidad.

El deber de informar, recogido en los artículos 13 y 14 del RGPD, es la forma en que se da cumplimiento al principio de transparencia en la protección de datos.

Consiste en dar a los interesados (los titulares de los datos) toda la información relativa a la recogida y tratamiento de sus datos, normalmente con carácter previo a dicha recogida y tratamiento.

Cuándo se debe informar:

• En el momento de recabar el consentimiento expreso del interesado.
• Lo más pronto posible, si el tratamiento no está basado en consentimiento.
• Antes de un mes desde la recogida de datos (si no proceden del interesado).
• En la primera comunicación con el interesado.

Cuando los datos se obtienen del propio candidato, debes informar de:

• Identidad y contacto: Del responsable del tratamiento y DPO (si procede).
• Finalidad: Del tratamiento y base jurídica.
• Intereses legítimos: Si el tratamiento se basa en el art. 6.1.f del RGPD.
• Destinatarios: O categorías de destinatarios de los datos.
• Transferencias internacionales: Si se van a realizar.
• Plazos de conservación: De los datos personales.
• Derechos ARSULIPO: Acceso, rectificación, supresión, limitación, portabilidad y oposición.
• Derecho a revocar: El consentimiento.
• Derecho a reclamar: Ante la AEPD.
• Obligatoriedad: Si la aportación de datos es requisito legal o contractual.
• Decisiones automatizadas: Si se emplearán en sistemas de perfiles.

Cuando una empresa forma parte de un grupo empresarial, los currículums no pueden compartirse libremente entre las distintas sociedades del grupo. Cada empresa es, por defecto, un responsable del tratamiento independiente.

Sí se pueden compartir CV, pero únicamente bajo alguna de estas condiciones legales:

• Consentimiento expreso del candidato para que sus datos sean utilizados por todas las empresas del grupo.
• Acuerdo de corresponsabilidad entre las empresas del grupo (art. 26 RGPD), informado al candidato.
• Contrato de encargado del tratamiento si una empresa del grupo gestiona los procesos de selección en nombre de otra (art. 28 RGPD).

Importante: Compartir CV entre empresas del grupo sin base jurídica, o usarlos en procesos de otras sociedades sin consentimiento, es una infracción sancionable según la AEPD.

Sí es posible, pero se considera una transferencia internacional de datos y debe cumplir estrictamente los arts. 44 a 49 del RGPD. No basta con pertenecer al mismo grupo multinacional.

Para transferir CV a países fuera del EEE debe existir una de estas garantías:

• Decisión de adecuación (país considerado seguro por la UE).
• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
• Normas Corporativas Vinculantes (BCR) aprobadas para el grupo empresarial.
• Consentimiento explícito del candidato para la transferencia concreta.

Importante: Enviar CV a sedes del grupo ubicadas en países sin garantías adecuadas o sin SCC es una infracción grave y ya ha sido sancionada por la AEPD en múltiples ocasiones.

Sí es posible, pero requiere un marco jurídico claro entre todas las empresas que utilizan el ATS. El ATS no convierte automáticamente al grupo en un único responsable del tratamiento.

Para compartir el ATS legalmente, debe existir uno de estos modelos:

• Corresponsabilidad entre empresas del grupo (art. 26 RGPD) con acuerdo interno y resumen público.
• Una empresa actúa como encargada del tratamiento gestionando el ATS (art. 28 RGPD).
• Consentimiento expreso del candidato para ser considerado en distintas empresas del grupo.

No es válido que varias empresas accedan al mismo ATS sin acuerdo ni base jurídica. La AEPD ha sancionado accesos no autorizados entre unidades de negocio del mismo grupo por vulnerar los principios de integridad y minimización.

El consentimiento debe ser explícito, informado y verificable. No sirven fórmulas genéricas como “acepto el uso de mis datos en el grupo”.

Para que el consentimiento sea válido debe incluir:

• Identificación precisa de todas las empresas del grupo que tratarán el CV.
• La finalidad: participación en procesos de selección presentes y futuros del grupo.
• El plazo de conservación y criterios aplicados.
• Un acto afirmativo claro (casilla sin preseleccionar).
• Posibilidad de retirar el consentimiento en cualquier momento.

Además, la empresa debe poder acreditar que el candidato otorgó dicho consentimiento. Si no es demostrable, se considera inexistente según el art. 7.1 RGPD.

Sí, es posible reutilizar currículums para nuevas vacantes dentro del grupo, pero solo si existe una base jurídica válida. El hecho de pertenecer al mismo grupo no autoriza el uso automático del CV en otras empresas.

Para que la reutilización sea legal se debe cumplir al menos uno de estos requisitos:

• Consentimiento expreso del candidato para participar en procesos de cualquier empresa del grupo.
• Acuerdo de corresponsabilidad entre empresas del grupo (art. 26 RGPD), informado al candidato.
• Finalidad compatible, si el candidato ha sido informado previamente de que su CV se podrá usar en futuras posiciones del grupo.

Si no se cumple uno de estos supuestos, la AEPD considera ilícito usar el CV en otras empresas del grupo.

Las agencias de selección o colocación que gestionan currículums en nombre de una empresa se consideran Encargadas del Tratamiento, según el art. 28 RGPD.

Esto significa que:

• Deben actuar únicamente bajo instrucciones de la empresa contratante.
• No pueden reutilizar ni ceder los CV para otros procesos sin autorización del candidato.
• Debe existir un Contrato de Encargado del Tratamiento que regule el uso de los datos.
• Deben aplicar medidas de seguridad adecuadas.

Sin este contrato, el tratamiento sería ilícito según el RGPD.

Las Empresas de Trabajo Temporal (ETT) son consideradas Responsables del Tratamiento de los datos de los candidatos.

Esto implica que:

• Deciden la finalidad y medios del tratamiento de los CV.
• Deben informar al candidato sobre el tratamiento de sus datos.
• Deben firmar acuerdos de corresponsabilidad cuando colaboran con empresas usuarias.
• Son responsables del cumplimiento de derechos y plazos de conservación.

En colaboraciones con empresas usuarias, se debe formalizar un acuerdo de corresponsabilidad según el art. 26 RGPD.

Sí, pueden participar en los procesos de selección del grupo, pero deben actuar como encargados del tratamiento según el art. 28 RGPD.

Para que sea legal, es necesario:

• Firmar un contrato de encargo del tratamiento con la consultora o headhunter.
• Garantizar que los datos se usen únicamente para la finalidad definida por la empresa responsable.
• Evitar que la consultora reutilice o envíe los CV a otras empresas sin consentimiento del candidato.
• Limitar el acceso solo al personal autorizado.

Importante: Si el headhunter comparte los CV con varias empresas del grupo sin consentimiento expreso del candidato, se estaría realizando una comunicación ilícita de datos, sancionable por la AEPD.

El informe de vida laboral es un documento que contiene datos sensibles sobre la trayectoria profesional y períodos cotizados. Su solicitud durante un proceso de selección debe estar debidamente justificada.

La empresa solo puede solicitarlo cuando:

• Sea estrictamente necesario para verificar requisitos objetivos del puesto (por ejemplo, antigüedad demostrable en profesiones reguladas).
• Se informe claramente al candidato de la finalidad y base jurídica.
• Se obtenga su consentimiento explícito si no existe otra base legítima.

No es válido solicitarlo de manera rutinaria o como práctica generalizada, ya que vulnera el principio de minimización (art. 5.1.c RGPD).

Si se conserva: debe almacenarse únicamente durante el proceso de selección y eliminarse una vez finalice, salvo que exista una obligación legal o consentimiento expreso para conservarlo más tiempo.

La empresa puede solicitar el DNI, pero solo cuando sea estrictamente necesario para verificar la identidad o requisitos legales del puesto.

No es legal pedir el DNI de forma rutinaria para recibir un CV o valorar candidaturas, ya que vulnera el principio de minimización (art. 5.1.c RGPD).

Únicamente es aceptable cuando:

• Sea imprescindible para el puesto (acceso a zonas restringidas, seguridad privada, profesiones reguladas).
• Exista una norma específica que lo exija.
• Se solicite justo antes de la contratación, no al inicio del proceso.

Solicitar el DNI antes de tiempo o sin necesidad podría ser sancionable por la AEPD.

La empresa puede solicitar referencias, pero nunca puede contactar a antiguos empleadores sin consentimiento expreso del candidato.

Se permite contactarlos únicamente si:

• El candidato autoriza explícitamente la consulta.
• Indica él mismo los contactos de referencia.
• La finalidad y alcance han sido informados de manera clara.

Llamar sin permiso supone una comunicación ilícita de datos y puede conllevar sanciones por vulnerar los arts. 6 y 5 RGPD.

La empresa puede grabar entrevistas online, pero solo si informa previamente y obtiene un consentimiento explícito del candidato.

La empresa debe informar de:

• La finalidad de la grabación.
• Quién tendrá acceso al vídeo.
• Plazo de conservación.
• Base jurídica del tratamiento.

Sin consentimiento expreso, grabar la entrevista es una infracción grave (arts. 6 y 13 RGPD).

La empresa puede utilizar herramientas de IA para ayudar a organizar o analizar currículums, pero no puede tomar decisiones ni realizar cribados o filtrados de forma exclusivamente automatizada.

Según el art. 22 RGPD y la Ley Europea de Inteligencia Artificial (AI Act), queda prohibido descartar candidatos únicamente mediante algoritmos sin supervisión humana real y verificable.

Es legal usar IA para:

• Clasificar o agrupar CV por criterios objetivos.
• Detectar coincidencias con requisitos del puesto.
• Identificar duplicados, formatos incorrectos o perfiles falsos.

No es legal usar IA para:

• Descartar automáticamente a un candidato.
• Asignar puntuaciones determinantes sin revisión humana.
• Tomar decisiones con efectos significativos sin informar al candidato.
• Aplicar modelos opacos sin explicar su funcionamiento básico.

En todo caso, el candidato tiene derecho a solicitar intervención humana y a obtener una explicación sobre los criterios aplicados en cualquier evaluación automatizada.

En general, la empresa no puede examinar perfiles de redes sociales de una persona candidata durante un proceso de selección.

Las personas candidatas y trabajadoras no están obligadas a permitir el acceso del empleador a sus perfiles privados en redes sociales ni antes, ni durante, ni después de la contratación.

No está permitido:

• Solicitar “amistad”, seguir perfiles o pedir acceso a cuentas privadas.
• Revisar redes sociales personales sin consentimiento válido.
• Usar información obtenida de redes sociales sin base jurídica.
• Tomar decisiones profesionales basadas en datos no pertinentes o excesivos.

Solo se podría valorar información publicada en perfiles estrictamente profesionales y siempre que exista una justificación legítima relacionada con el puesto y un tratamiento respetuoso con los derechos del candidato.

Importante: Tratar datos extraídos de redes sociales sin base jurídica vulnera el RGPD y puede ser sancionado por la AEPD.

Los candidatos pueden ejercer, en cualquier momento y de forma gratuita, los siguientes derechos:

• Derecho de acceso: Saber qué datos tenemos sobre ellos.
• Derecho de rectificación: Corregir datos inexactos o incompletos.
• Derecho de supresión ("derecho al olvido"): Solicitar la eliminación de sus datos.
• Derecho de oposición: Oponerse al tratamiento de sus datos.
• Derecho de portabilidad: Recibir sus datos en formato estructurado.

Además, si el consentimiento se dio para fines adicionales, estos derechos deben estar igualmente garantizados.

Plazo de respuesta: Debes responder a las solicitudes en un máximo de 30 días.

Las sanciones por incumplimiento de RGPD y LOPD pueden ser muy graves:

• Infracciones graves: Hasta 20 millones de euros o el 4% del volumen de facturación anual.
• Infracciones leves: Hasta 10 millones de euros o el 2% del volumen de facturación.
• Infracciones muy graves: Las sanciones máximas mencionadas anteriormente.

Las infracciones más comunes incluyen:

• No contar con consentimiento expreso del interesado.
• No informar adecuadamente sobre el tratamiento de datos.
• No implementar medidas de seguridad adecuadas.
• No respetar los derechos ARCO de los candidatos.