Cómo cumplir con el RGPD al gestionar currículums

Introducción al RGPD en la gestión de currículums

Cuando gestionas currículums en tu empresa, estás tratando datos personales sensibles que requieren un cumplimiento estricto del Reglamento General de Protección de Datos (RGPD). Cada CV contiene información personal como nombre, dirección, teléfono, DNI, y en algunos casos, datos de salud o información sensible. El RGPD, que entró en vigor en mayo de 2018, establece un marco normativo estricto para el tratamiento de datos personales en toda la Unión Europea, y su incumplimiento puede acarrear sanciones muy elevadas.

La gestión de currículums es una actividad que implica el tratamiento continuo de datos personales, y muchas empresas no son conscientes de las obligaciones que esto conlleva. Desde el momento en que recibes un CV, ya sea por email, a través de un portal de empleo o de forma presencial, estás procesando datos personales y, por tanto, debes cumplir con todas las obligaciones establecidas en el RGPD y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).

En este artículo te explicaremos de forma práctica y detallada cómo cumplir correctamente con la normativa al gestionar candidaturas en tu empresa, evitando sanciones y construyendo una relación de confianza con los candidatos basada en la transparencia y el respeto por sus datos personales.

Principios fundamentales del RGPD

El RGPD establece siete principios fundamentales que deben guiar todo tratamiento de datos personales, incluyendo la gestión de currículums. Estos principios no son meras recomendaciones, sino obligaciones legales que deben cumplirse en todo momento. El incumplimiento de cualquiera de estos principios puede ser sancionado por la Agencia Española de Protección de Datos (AEPD) con multas que pueden llegar hasta 20 millones de euros o el 4% del volumen de facturación anual global.

A continuación, te explicamos cada uno de estos principios y cómo aplicarlos específicamente en el contexto de la gestión de currículums y procesos de selección:

Legitimidad y base jurídica

El principio de legitimidad establece que solo puedes tratar datos personales si existe una base jurídica válida que lo justifique. Según el artículo 6 del RGPD, las bases jurídicas aplicables son: el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el cumplimiento de una misión de interés público, o el interés legítimo del responsable o de un tercero.

En el contexto de la gestión de currículums, la base jurídica más común es el consentimiento del candidato. Sin embargo, este consentimiento debe cumplir requisitos muy específicos: debe ser libre, específico, informado e inequívoco. No puedes asumir que el simple hecho de recibir un CV implica consentimiento tácito. Debes solicitar explícitamente el consentimiento y documentarlo adecuadamente.

En algunos casos, también puedes basar el tratamiento en el interés legítimo (art. 6.1.f RGPD), por ejemplo, cuando un candidato envía su CV de forma espontánea y manifiesta interés en trabajar en tu empresa. Sin embargo, debes realizar una evaluación de impacto y asegurarte de que tus intereses legítimos no vulneran los derechos y libertades fundamentales del candidato.

Transparencia e información

El principio de transparencia es fundamental en el RGPD y se materializa a través del deber de informar, recogido en los artículos 13 y 14 del reglamento. Este principio exige que proporciones a los candidatos toda la información relevante sobre el tratamiento de sus datos de forma clara, concisa y comprensible.

La información que debes proporcionar incluye: la identidad y datos de contacto del responsable del tratamiento (tu empresa), la finalidad para la que se tratarán los datos, la base jurídica del tratamiento, los destinatarios de los datos (si se van a compartir con terceros), las transferencias internacionales (si se van a realizar), los plazos de conservación de los datos, los derechos que puede ejercer el candidato (acceso, rectificación, supresión, oposición, portabilidad y limitación), el derecho a presentar una reclamación ante la AEPD, y si la aportación de datos es obligatoria o voluntaria.

Esta información debe proporcionarse en el momento de recabar los datos o, como máximo, en el plazo de un mes desde la recepción del CV si los datos no proceden directamente del candidato. La falta de información adecuada es una de las infracciones más sancionadas por la AEPD en el ámbito de la gestión de currículums.

Minimización de datos

El principio de minimización establece que solo debes recopilar y tratar los datos personales que sean estrictamente necesarios para la finalidad para la que fueron recogidos. En el contexto de un proceso de selección, esto significa que solo debes solicitar información relevante para evaluar la idoneidad del candidato para el puesto.

No debes solicitar datos que no sean pertinentes para el proceso de selección, como información sobre el estado de salud, afiliación política o religiosa, orientación sexual, situación familiar detallada, o cualquier otro dato que no esté directamente relacionado con las competencias y requisitos del puesto. La solicitud de datos excesivos o no pertinentes vulnera el principio de minimización y puede ser sancionada por la AEPD.

Por ejemplo, si estás seleccionando un programador, no necesitas conocer su estado de salud, su religión o su situación familiar. Solo necesitas información sobre su formación, experiencia profesional, competencias técnicas y habilidades relevantes para el puesto. Del mismo modo, no debes solicitar el DNI al inicio del proceso, sino solo cuando sea estrictamente necesario, generalmente justo antes de la contratación.

Exactitud y actualización

El principio de exactitud exige que los datos personales sean exactos y estén actualizados. Debes tomar medidas razonables para asegurar que los datos inexactos sean rectificados o suprimidos sin dilación. Este principio es especialmente relevante en la gestión de currículums, ya que la información profesional de los candidatos puede cambiar con el tiempo.

Si un candidato solicita la rectificación de sus datos (por ejemplo, porque ha cambiado de trabajo, ha obtenido una nueva certificación, o ha detectado un error en su CV), debes atender su solicitud en un plazo máximo de 30 días. Si decides no atender la solicitud, debes informarle de los motivos y de su derecho a presentar una reclamación ante la AEPD.

Además, si conservas los CV en una bolsa de empleo para futuros procesos, es recomendable que periódicamente solicites a los candidatos que actualicen sus datos, especialmente si han transcurrido varios meses desde la última actualización. Esto no solo cumple con el principio de exactitud, sino que también te permite mantener una base de datos de candidatos actualizada y útil.

Limitación del plazo de conservación

El principio de limitación del plazo de conservación establece que los datos personales deben conservarse solo durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos. Una vez cumplida la finalidad, los datos deben ser eliminados o bloqueados, salvo que exista una obligación legal que requiera su conservación durante un plazo más largo.

En el contexto de la gestión de currículums, esto significa que una vez finalizado un proceso de selección, no puedes conservar indefinidamente los CV de los candidatos no seleccionados. Según el Estatuto de los Trabajadores (artículo 20.3), el plazo máximo obligatorio es de 1 año desde la recepción del currículum. Si has obtenido el consentimiento expreso del candidato para conservar su CV en una bolsa de empleo para futuros procesos, el plazo máximo recomendado es de 24 meses. Si transcurren estos plazos (1 año sin consentimiento expreso, o 24 meses con consentimiento expreso) sin actualización o renovación del consentimiento, debes proceder al bloqueo o eliminación de los datos.

Para la defensa frente a posibles reclamaciones laborales, puedes conservar el CV durante un máximo de 1 año desde la finalización del proceso de selección, amparado por el artículo 59.2 del Estatuto de los Trabajadores, que establece el plazo de prescripción de las acciones laborales. Pasado este año, el CV debe eliminarse definitivamente, ya que desaparece la justificación para su conservación.

Integridad y confidencialidad

El principio de integridad y confidencialidad exige que implementes medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida, la destrucción o el daño accidental. Este principio es especialmente crítico en la gestión de currículums, ya que estos documentos contienen información sensible que puede ser objeto de ataques cibernéticos o accesos indebidos.

Las medidas de seguridad que debes implementar incluyen: encriptación de datos sensibles, control de acceso mediante autenticación y autorización, copias de seguridad seguras y periódicas, políticas de confidencialidad para el personal, formación del personal en protección de datos, registro de accesos a los datos, y medidas físicas de seguridad si almacenas CV en papel.

En caso de que se produzca una brecha de seguridad (por ejemplo, un acceso no autorizado, una pérdida de datos, o un ataque cibernético), debes notificar a la AEPD en un plazo máximo de 72 horas desde que tengas conocimiento del incidente. Si la brecha puede entrañar un riesgo alto para los derechos y libertades de los candidatos afectados, también debes informarles directamente. La falta de notificación de brechas de seguridad es una infracción grave que puede ser sancionada con multas muy elevadas.

Consentimiento informado y expreso

El consentimiento es una de las bases jurídicas más comunes para tratar currículums, pero es también una de las que más problemas genera debido a los requisitos estrictos que establece el RGPD. Según el artículo 7 del reglamento, el consentimiento debe ser libre, específico, informado e inequívoco, y debe poder demostrarse en cualquier momento.

Para que el consentimiento sea válido, el candidato debe haber recibido toda la información necesaria sobre el tratamiento de sus datos antes de otorgarlo. Esta información debe incluir quién es el responsable del tratamiento, para qué se usarán los datos, cuánto tiempo se conservarán, si se compartirán con terceros, y cuáles son los derechos que puede ejercer. Sin esta información previa, el consentimiento no es válido.

Además, el consentimiento debe ser específico para cada finalidad. Si quieres usar el CV para un proceso de selección específico y también para futuras ofertas, debes solicitar dos consentimientos separados o uno que especifique claramente ambas finalidades. El candidato debe poder retirar su consentimiento en cualquier momento con la misma facilidad con la que lo otorgó, y esta retirada no debe afectar a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Es fundamental que puedas demostrar que el candidato otorgó su consentimiento. Para ello, debes mantener un registro que incluya cuándo se otorgó el consentimiento, qué información se proporcionó al candidato, y cómo se obtuvo (por ejemplo, mediante un formulario web, un email de confirmación, o un documento firmado). Si no puedes demostrar el consentimiento, la AEPD lo considerará inexistente y el tratamiento será ilícito.

Plazos de conservación de currículums

Una de las preguntas más frecuentes que reciben los departamentos de recursos humanos es: ¿Cuánto tiempo puedo conservar los currículums? Esta es una cuestión fundamental para el cumplimiento del RGPD, ya que el principio de limitación del plazo de conservación exige que los datos se eliminen una vez cumplida la finalidad para la que fueron recogidos.

La respuesta no es única, ya que depende de la finalidad para la que conserves el CV. Según las recomendaciones de la AEPD y la normativa laboral, existen diferentes plazos según el caso:

Plazo obligatorio según Estatuto de los Trabajadores: Según el Estatuto de los Trabajadores (artículo 20.3), el plazo máximo obligatorio para conservar datos de candidatos no seleccionados es de 1 año desde la recepción del currículum, salvo que el candidato haya dado su consentimiento expreso para una conservación más prolongada.

Para bolsa de empleo o futuros procesos de selección: Si has obtenido el consentimiento expreso del candidato para conservar su CV en una bolsa de empleo o para considerarlo en futuros procesos, el plazo máximo recomendado es de 24 meses. Este plazo se justifica porque permite mantener una base de datos actualizada de candidatos interesados en trabajar en tu empresa, pero no debe extenderse indefinidamente. Si transcurren 24 meses sin que el candidato actualice sus datos o renueve su consentimiento, debes proceder al bloqueo o eliminación de los datos.

Para defensa frente a reclamaciones: Una vez finalizado un proceso de selección, puedes conservar el CV del candidato no seleccionado durante un máximo de 1 año para atender posibles reclamaciones laborales o administrativas. Este plazo está amparado por el artículo 59.2 del Estatuto de los Trabajadores, que establece el plazo de prescripción de las acciones derivadas de la relación laboral. Pasado este año, el CV debe eliminarse definitivamente, ya que desaparece la justificación legal para su conservación.

Para gestionar correctamente estos plazos, es recomendable utilizar sistemas informáticos que permitan gestionar automáticamente las fechas de conservación, bloqueo y eliminación. Esto te ayudará a cumplir con el principio de limitación del plazo de conservación y evitará que conserves datos más tiempo del necesario, lo que podría ser sancionado por la AEPD.

Conclusión

El cumplimiento del RGPD en la gestión de currículums no es opcional, sino una obligación legal que todas las empresas deben cumplir desde el momento en que reciben el primer CV. Las sanciones por incumplimiento pueden ser muy graves: hasta 20 millones de euros o el 4% del volumen de facturación anual global, lo que puede suponer un impacto financiero devastador para muchas empresas.

Como hemos visto a lo largo de este artículo, el RGPD establece principios claros que deben guiar todo tratamiento de datos personales: legitimidad, transparencia, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. Cada uno de estos principios tiene implicaciones prácticas específicas en la gestión de currículums que debes conocer y aplicar correctamente.

Implementar políticas claras de protección de datos, obtener consentimientos válidos y verificables, informar adecuadamente a los candidatos, gestionar correctamente los plazos de conservación, y aplicar medidas de seguridad adecuadas no solo te ayudará a cumplir con la normativa, sino que también construirá una relación de confianza con los candidatos y mejorará la reputación de tu empresa como organización responsable y respetuosa con la privacidad.

Si tienes dudas sobre cómo aplicar el RGPD en tu empresa o necesitas ayuda para implementar un sistema de gestión de currículums que cumpla con todas las obligaciones normativas, te recomendamos contactar con un especialista en protección de datos o utilizar herramientas especializadas como CVjobs, que incluyen todas las funcionalidades necesarias para el cumplimiento RGPD garantizado.