Consentimiento RGPD en currículums: Guía práctica para empresas

¿Cómo afecta la Ley de Protección de Datos Personales al currículum?

La Ley de Protección de Datos Personales afecta al currículum como a otros documentos con datos personales; para su recogida y tratamiento se necesita el consentimiento informado y expreso del interesado, independientemente de que este lo haya enviado de forma voluntaria. Esta es una de las confusiones más comunes en la gestión de recursos humanos: muchas empresas asumen que el simple hecho de recibir un CV implica automáticamente el consentimiento del candidato para tratar sus datos personales, pero esto no es así según la normativa vigente.

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establecen que, incluso cuando un candidato envía su currículum de forma espontánea o voluntaria, la empresa debe obtener su consentimiento expreso e informado antes de proceder al tratamiento de los datos personales contenidos en el documento. Este consentimiento debe cumplir requisitos muy específicos que analizaremos en detalle a lo largo de este artículo.

El RGPD en la gestión de currículums

La cantidad de datos personales que contiene un curriculum vitae es muy amplia, desde el nombre y los apellidos, pasando por la dirección postal, el número de teléfono, el DNI, hasta una fotografía o, en ciertos casos, hasta información médica. Todos estos datos están protegidos por el RGPD y deben tratarse con el mismo nivel de protección que cualquier otro dato personal.

Por ello, respecto a cómo se deben tratar los datos del curriculum vitae, el RGPD es bastante claro: se deben tratar de la misma forma en que se tratarían los datos recogidos en cualquier otro tipo de documento, como los de marketing, es decir, atendiendo a los mismos principios y obligaciones recogidos en el Reglamento. Esto implica que los CV también deben aparecer en el registro de actividades de tratamiento, cuando la empresa tiene más de 250 empleados o se traten datos de categorías especiales.

Además, el tratamiento de currículums debe cumplir con todos los principios fundamentales del RGPD: legitimidad, transparencia, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva. Cada uno de estos principios tiene implicaciones específicas en la gestión de CVs que deben ser conocidas y aplicadas correctamente por las empresas.

Consentimiento por parte del candidato

En lo que respecta al CV, el RGPD y la LOPD nos dicen que, independientemente de la voluntariedad del interesado, es obligatorio recabar el consentimiento para el tratamiento de los datos personales de su CV. Este consentimiento, además, debe ser informado y expreso, es decir, se debe informar al interesado de todos los aspectos relevantes del tratamiento antes de obtener su consentimiento.

La información que debes proporcionar al candidato incluye: la existencia de un fichero con sus datos personales, la finalidad del tratamiento para el cual se recogen sus datos, la identidad del responsable del tratamiento, la base jurídica del tratamiento, la cesión de datos a terceros (incluidas transferencias internacionales si se van a producir), el tiempo de conservación de los datos, y dónde y cómo puede ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición).

En cuanto al consentimiento expreso, nos dice que es necesario que el interesado consienta mediante una acción afirmativa para aceptar el tratamiento de sus datos, no pudiendo usar casillas premarcadas, por ejemplo. Además, este consentimiento debe quedar recogido y documentado, ya que la empresa debe poder demostrar en cualquier momento que el candidato otorgó su consentimiento válidamente. Si tienes dudas sobre cómo llevar a cabo esta labor, puedes consultar nuestra guía completa para el cumplimiento del deber de informar que exige la Ley.

Acceso a una copia de sus datos

A través del derecho a la portabilidad, el interesado puede solicitar una copia de sus datos personales que haya recogido la empresa, portal de empleo o ETT, sin que estas puedan oponerse a ello. Este derecho, recogido en el artículo 20 del RGPD, permite a los candidatos obtener sus datos en un formato estructurado, de uso común y legible por máquina, facilitando así la transferencia de sus datos a otro responsable del tratamiento si así lo desean.

Esta copia debe darse de forma estructurada y en un formato que permita la lectura mecánica, como JSON, CSV o XML. La empresa debe facilitar esta información en un plazo máximo de 30 días desde la solicitud, y no puede oponerse a proporcionarla salvo que exista una razón legítima para ello. El derecho a la portabilidad es especialmente relevante en el contexto de la gestión de currículums, ya que permite a los candidatos mantener un control sobre sus datos profesionales y facilitar su transferencia entre diferentes empresas o portales de empleo.

Gestión de las violaciones de seguridad en los datos

En el caso de que se produjera una brecha de seguridad que pusiera en riesgo la base de datos de candidatos almacenada por la empresa, esta tiene la obligación de informar a los interesados de que sus datos pueden haber sido expuestos, así como de informar a la AEPD (Agencia Española de Protección de Datos) del incidente y las medidas que se han puesto en marcha para solucionarlo, en un plazo máximo de 72 horas desde que se tenga conocimiento del incidente.

La notificación a la AEPD debe incluir información sobre la naturaleza de la brecha, las categorías y el número aproximado de interesados afectados, las posibles consecuencias de la brecha, y las medidas que se han adoptado o se proponen adoptar para hacer frente a la brecha. Si la brecha puede entrañar un riesgo alto para los derechos y libertades de los candidatos, también se debe informar directamente a los afectados, explicándoles de forma clara y comprensible qué ha ocurrido y qué medidas pueden tomar para protegerse.

No informar a la AEPD o los interesados de una brecha de seguridad es una infracción que puede conllevar sanciones muy graves, que pueden llegar hasta 20 millones de euros o el 4% del volumen de facturación anual global. Por ello, es fundamental tener establecidos procedimientos claros para la detección, notificación y gestión de brechas de seguridad en los datos de currículums.

Realización de un análisis de riesgos

El RGPD exige que antes de iniciar el tratamiento de los datos, se realice un análisis de los riesgos que este puede suponer para los derechos y libertades de los candidatos. Este análisis debe evaluar la probabilidad y la gravedad de los riesgos que el tratamiento puede entrañar, considerando factores como la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como las medidas técnicas y organizativas ya implementadas.

Si del análisis se desprende que el tratamiento de datos personales del CV puede entrañar un riesgo alto, será necesario también llevar a cabo una evaluación de impacto en la protección de datos (EIPD). Las evaluaciones de impacto se exigen cuando se da alguna de estas circunstancias: la evaluación sistemática y exhaustiva de aspectos personales de una persona (incluida la elaboración de perfiles), el tratamiento a gran escala de datos sensibles, o la observación sistemática a gran escala de una zona pública.

En cualquier caso, el análisis de riesgos también debe servir para establecer las medidas técnicas y organizativas para garantizar la protección de datos personales de los currículums guardados. Estas medidas pueden incluir: encriptación de datos, control de acceso mediante autenticación y autorización, copias de seguridad seguras, políticas de confidencialidad, formación del personal, y registro de accesos a los datos.

Conservar siempre datos actualizados

La normativa de protección de datos establece la obligación de conservar los datos actualizados. Según el Estatuto de los Trabajadores (artículo 20.3), las empresas tienen la obligación de eliminar los datos de los candidatos que no hayan sido seleccionados en un plazo máximo de 1 año desde la recepción del currículum, salvo que el candidato haya dado su consentimiento expreso para una conservación más prolongada.

Este plazo de 1 año establecido por el Estatuto de los Trabajadores se aplica de forma obligatoria y no puede extenderse sin el consentimiento expreso del candidato. Si transcurre 1 año sin que el candidato haya sido seleccionado o renueve su consentimiento, la empresa debe proceder al bloqueo o eliminación de los datos, ya que desaparece la justificación legal para su conservación y se vulneraría tanto el Estatuto de los Trabajadores como el principio de limitación del plazo de conservación establecido en el RGPD.

Para gestionar correctamente estos plazos, es recomendable utilizar sistemas informáticos que permitan gestionar automáticamente las fechas de recepción, actualización, bloqueo y eliminación de los CV. Esto te ayudará a cumplir con el principio de limitación del plazo de conservación y evitará que conserves datos más tiempo del necesario, lo que podría ser sancionado por la AEPD.

La figura del DPO en las empresas dedicadas a la selección de personal

Aunque la designación de un delegado de protección de datos (DPO) en las empresas dedicadas a la selección de personal no es obligatoria en todos los casos, se recomienda contar con esta figura, especialmente en el caso de realizar tratamientos de grandes volúmenes de datos personales, de manera que se garantice el cumplimiento de la normativa. El DPO tiene la función principal de gestionar y supervisar el correcto cumplimiento del RGPD por parte de la empresa.

El DPO puede ser una persona física o jurídica, interna o externa a la empresa, pero debe tener conocimientos especializados en protección de datos y debe actuar de forma independiente. Sus funciones principales incluyen: informar y asesorar a la empresa sobre las obligaciones de protección de datos, supervisar el cumplimiento del RGPD, actuar como punto de contacto con la autoridad de control (AEPD), y realizar auditorías de cumplimiento.

Aunque no es obligatorio en todas las empresas, contar con un DPO puede ser muy beneficioso, especialmente si tu empresa gestiona grandes volúmenes de currículums, trata datos sensibles, o realiza tratamientos que pueden entrañar un riesgo alto para los derechos y libertades de los candidatos. El DPO puede ayudarte a identificar y mitigar riesgos, establecer procedimientos adecuados, y demostrar el cumplimiento de la normativa en caso de una inspección de la AEPD.

Cláusula LOPD para el curriculum vitae

Desde la entrada en vigor de la Ley Orgánica 3/2018, es necesario incluir una cláusula de protección de datos para el tratamiento de datos personales en el CV. A través de esta cláusula LOPD para el currículum se informa a los candidatos de todos los aspectos relacionados con el tratamiento de sus datos personales, es decir, cumple la función de informar a los candidatos antes de obtener su consentimiento.

Como la recepción de CV varía, la inclusión de esta cláusula difiere en función de cómo reciba la empresa los currículums de sus candidatos. Si el candidato se postula en una oferta publicada por la empresa en un portal de empleo, la propia empresa o la plataforma en la que se publica la oferta serán las encargadas de facilitar la cláusula informativa correspondiente, en la que se indique la finalidad del tratamiento de datos (por ejemplo, si se van a ceder a terceros) y se solicite el consentimiento para modificar o eliminar dicha información.

Si el currículum es enviado por el candidato a través de correo electrónico u ordinario, por iniciativa propia, aunque el candidato haya enviado su currículum por motu propio, para evitar posibles problemas en el futuro, es necesario enviar un acuse de recibo con su cláusula correspondiente, en la que además se solicite consentimiento para tratar sus datos. Si la entrega del currículum se realiza de forma presencial, también por iniciativa del candidato, se debe informar al usuario mediante un documento físico (soporte o medio escrito) sobre la política de tratamiento de datos de la empresa, solicitando de nuevo a su vez, el consentimiento.

La plantilla LOPD para currículum debe reflejar la identidad del responsable del tratamiento o su representante (y delegados, si los hubiera), la base legal, finalidad del tratamiento, si la información va a ser cedida a terceros y las vías por las que el candidato puede ejecutar sus derechos ARCO. Como decíamos, ninguna de las normativas de protección de datos cuenta con un modelo de consentimiento para el currículum y su tratamiento estándar, pero es fundamental que la cláusula incluya toda la información necesaria para que el consentimiento sea válido.

¿Cómo se debe actuar cuando se reciben currículums de trabajo?

Ya hemos mencionado antes que los CV se pueden recibir de diferentes formas, veamos ahora la manera de actuar en función de si recibimos el currículum en mano o a través de una página web. En ambos casos, es fundamental cumplir con las obligaciones de información y consentimiento establecidas en el RGPD y la LOPDGDD.

Recibo un CV en mano

Para cumplir con la normativa, lo correcto cuando un candidato nos entregue su currículum en mano sería proporcionarle la información mínima sobre: la identificación del responsable del tratamiento, la finalidad del tratamiento, el plazo de conservación de los datos, los destinatarios de esos datos, y los derechos que asisten a esa persona. Tras haber realizado esta información previa se debe recabar el consentimiento expreso para realizar el tratamiento de los datos.

Es recomendable realizarlo en formato papel, tanto la información previa como el consentimiento, ya que nos servirá como prueba de que cumplimos con la normativa de cara a un posible requerimiento de la AEPD. Este documento debe conservarse durante todo el tiempo que se conserven los datos del candidato, ya que puede ser solicitado por la autoridad de control en cualquier momento para verificar el cumplimiento de la normativa.

Recabo un CV a través de la página web

Para aquellos supuestos donde dispongamos de página web corporativa a través de la cual tengamos un apartado determinado para recoger currículum de los candidatos, tras el formulario de recogida de datos debemos incluir una casilla donde el interesado pueda marcar que ha leído la política de privacidad. Con la política de privacidad marcada se entiende que se ha realizado la información necesaria y se ha obtenido el consentimiento de manera válida.

Es importante que esta casilla no esté premarcada, que el candidato deba realizar una acción afirmativa para marcarla, y que la política de privacidad sea accesible y comprensible. Además, el sistema debe registrar cuándo se otorgó el consentimiento, qué información se proporcionó al candidato, y cómo se obtuvo, para poder demostrarlo en caso de ser necesario.

Sanciones por no gestionar correctamente una base de datos de CV

De no cumplir con las exigencias de LOPD y el GDPR respecto al currículum vitae, ambas normativas prevén sanciones en función de la gravedad de la infracción. En el caso de no contar con el consentimiento expreso del interesado o cualquier otra base legal que nos sirva de apoyo, estaríamos ante una infracción considerada grave, que conlleva sanciones que pueden alcanzar un máximo de hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa.

Otras infracciones que pueden ser sancionadas incluyen: no informar adecuadamente a los candidatos sobre el tratamiento de sus datos, no implementar medidas de seguridad adecuadas, no respetar los derechos de los candidatos (acceso, rectificación, supresión, oposición, portabilidad), conservar los datos más tiempo del necesario, o no notificar brechas de seguridad a la AEPD y a los afectados. Todas estas infracciones pueden conllevar sanciones muy elevadas que pueden tener un impacto financiero devastador para muchas empresas.

Preguntas habituales ante la selección de personal y la gestión de CV

Aparte de todas las cuestiones que hemos visto respecto al currículum y la protección de datos, es posible que todavía os queden algunas dudas. A continuación daremos respuestas a las más habituales que suelen surgir en el día a día de la gestión de recursos humanos.

¿Puedo almacenar datos de candidatos que haya recabado en portales de empleo?

No puedes almacenar datos de candidatos que hayas recabado en portales de empleo. Aunque estos datos son los que figuren en los perfiles públicos de los candidatos, no se pueden extraer de forma automática para la creación de perfiles, directorios o ficheros sin el consentimiento expreso del candidato. Esta práctica vulneraría el principio de minimización y la base jurídica del tratamiento establecidos en el RGPD.

Ahora, en el caso de que los datos de los candidatos los hayas recibido de un portal de empleo (es decir, el propio portal te facilita dichos CV a través de su sistema), sí podrás almacenarlos, siempre y cuando los candidatos en cuestión te den su consentimiento por separado después de haberse inscrito en tu oferta y mantengas actualizados sus datos. En este caso, el portal de empleo debe haber informado correctamente a los candidatos sobre la transferencia de datos y haber obtenido su consentimiento para ello.

¿Debo borrar periódicamente mi base de datos de mis candidatos?

No es necesario borrar periódicamente tu base de datos de candidatos, bastará con cumplir con la normativa en cuanto su almacenamiento, actualización y protección. Sin embargo, según el Estatuto de los Trabajadores, si pasados 1 año desde la recepción del CV, el candidato no ha sido seleccionado y no ha renovado su consentimiento, deberás proceder, al menos, al bloqueo de los mismos, para que nadie pueda leerlos, o a su eliminación definitiva si no existe justificación para su conservación.

El bloqueo de los datos implica que estos no pueden ser leídos ni utilizados, pero se conservan por si fuera necesario acceder a ellos en el futuro (por ejemplo, para atender una reclamación). La eliminación, por su parte, implica la destrucción definitiva de los datos. La elección entre bloqueo y eliminación dependerá de si existe alguna justificación legal para conservar los datos bloqueados (como la defensa frente a posibles reclamaciones laborales).

¿Cómo puedo saber si un currículum ha «caducado»?

El plazo máximo de conservación de currículum es de 1 año según el Estatuto de los Trabajadores, como anteriormente dijimos. Si almacenamos currículum en soporte físico nos resultará muy complejo saber cuánto tiempo ha transcurrido desde que tenemos ese currículum, salvo que marquemos en ellos la fecha de recepción (por ejemplo, en el propio CV o en la carpeta en la que se va a guardar).

Lo recomendable es almacenarlos en los sistemas informáticos para poder controlar el tiempo de vigencia de esos datos. Los sistemas de gestión de currículums (ATS) como CVjobs permiten registrar automáticamente la fecha de recepción de cada CV, establecer alertas cuando se aproxima el plazo de conservación, gestionar automáticamente el bloqueo o eliminación de los datos una vez transcurrido el plazo establecido, y mantener un registro completo del consentimiento otorgado por cada candidato para demostrar el cumplimiento ante la AEPD.

¿Es lícito contactar con candidatos a través de un email recabado en Internet?

Sí, pero hay que matizar. Solo podremos hacerlo si el email se encuentra publicado de tal manera que se pueda probar el interés del candidato a ser contactado con el fin de ser reclutado. Por ejemplo, si esta información está publicada en LinkedIn o en un portal de empleo, es evidente que el candidato está dispuesto a que le escriban reclutadores.

No obstante, en la primera comunicación deberás recabar el consentimiento para el tratamiento de datos con la finalidad buscada. Si no consigues el consentimiento deberás eliminar de tu base de datos dicho mail. Además, debes poder demostrar que el email estaba publicado de forma que manifestaba el interés del candidato en ser contactado, ya que en caso contrario, el tratamiento de datos podría considerarse ilícito.

¿Puedo usar datos de currículums descartados para nuevas vacantes?

Sí, pero se tienen que dar dos condiciones: que el candidato, en el momento de inscribirse en la oferta, haya mostrado su consentimiento para ser contactado para otras posiciones, y que recabes su consentimiento para futuras ofertas una vez descartado. Es fundamental que el candidato haya dado su consentimiento expreso para ser contactado para otras oportunidades laborales, ya que de lo contrario, el uso de sus datos para nuevas vacantes vulneraría el principio de limitación de la finalidad establecido en el RGPD.

Si el candidato no ha dado su consentimiento para ser contactado para otras posiciones, no puedes usar su CV para nuevas vacantes, incluso si lo conservas en tu base de datos. En este caso, debes informarle de la nueva finalidad y obtener su consentimiento específico antes de considerar su candidatura para la nueva vacante. Si no obtienes este consentimiento, debes eliminar sus datos de tu base de datos.

Resumen

La protección de datos en la gestión de currículums es una obligación legal que todas las empresas deben cumplir desde el momento en que reciben el primer CV. El simple hecho de recibir un currículum no constituye consentimiento válido para el tratamiento de los datos personales contenidos en él. Es necesario obtener el consentimiento informado y expreso del candidato, proporcionarle toda la información necesaria sobre el tratamiento de sus datos, y cumplir con todas las obligaciones establecidas en el RGPD y la LOPDGDD.

Las empresas deben implementar medidas técnicas y organizativas adecuadas para proteger los datos de los currículums, realizar análisis de riesgos, gestionar correctamente los plazos de conservación, y estar preparadas para responder a las solicitudes de los candidatos y notificar brechas de seguridad. El incumplimiento de estas obligaciones puede conllevar sanciones muy graves, que pueden llegar hasta 20 millones de euros o el 4% del volumen de facturación anual global.

Si tienes dudas sobre cómo aplicar correctamente la normativa de protección de datos en la gestión de currículums de tu empresa, te recomendamos consultar nuestra guía completa de RGPD para gestión de currículums o contactar con un especialista en protección de datos. También puedes utilizar herramientas especializadas como CVjobs, una plataforma ATS diseñada específicamente para el cumplimiento RGPD, que incluye todas las funcionalidades necesarias: gestión automatizada de consentimientos, registro de actividades de tratamiento, control de plazos de conservación, y documentación completa para demostrar el cumplimiento ante inspecciones de la AEPD.