La Agencia Española de Protección de Datos, AEPD, acaba de sancionar con 2.000 euros a una empresa por haber recibido un currículum de un candidato, y no haberle informado correctamente de la identidad de la empresa, la finalidad del tratamiento y la posibilidad de ejercitar sus derechos de protección de datos.
La AEPD, en su resolución, entiende que “la recogida de datos de carácter personal a través de formularios incluidos en una página web constituye un tratamiento de datos, respecto del cual el responsable del tratamiento ha de dar cumplimiento a lo previsto en el artículo 13 RGPD”.
La información a la que se refiere el art. 13 del RGPD en relación con el art. 11.2 LOPDGDD, es: A) la identidad del responsable, B) la finalidad del tratamiento y c) la posibilidad de ejercer sus derechos.
Una vez tenemos claro el criterio de la AEPD, y las obligaciones de información del responsable, debemos de advertir que:
- El responsable, como por ejemplo cualquier empresa, que disponga de un simple formulario de contacto en su web, debe de cumplir con su obligación de informar, con el contenido mínimo antes descrito, sin embargo, es recomendable que también informe sobre el plazo de conservación y la posible cesión a terceros (por ejemplo, a empresas del grupo, a fin de que el interesado pueda saber previamente quien o quienes podrán llegar a tener acceso a sus datos).
- No podemos evitar recibir currículums, siendo a veces masivo su envío, por lo que contar con mecanismos y protocolos de actuación claros nos podrá evitar estas sanciones.
- Especialmente sensibles son aquellos currículums que contienen datos de la salud (como grado de discapacidad o minusvalía para fomentar su contratación por las bonificaciones de la Seguridad Social).
- Las obligaciones del responsable no se limitan a informar, también debemos de cumplir con el plazo máximo de conservación. Los currículums no se pueden almacenar de manera indefinida. En concreto, si existe un proceso selectivo de búsqueda de personal, los currículums recibidos para el mismo se conservarán mientras dure el proceso, una vez finalizado, independientemente del resultado, se deberán de eliminar todos los currículums. En caso de que se reciban currículums sin existir una oferta determinada, el plazo de conservación, una vez informado del mismo (junto con la demás información mínima antes detallada) se limitará al mínimo imprescindible en el que se considere que se podrá necesitar ese currículum a corto plazo, orientativamente 1 año.
Finalmente, cabe destacar que la causa de legitimación del tratamiento de datos regulada en el art. 6 1. b) del RGPD, ejecución de contrato, contempla y ampara de forma retroactiva aquel tratamiento de datos previo a la contratación, es decir, si el candidato es finalmente seleccionado y se formaliza el contrato de trabajo, este contrato legitimará el tratamiento previo de sus datos, por ejemplo el currículum, entrevistas, etc…
