Noticias

Comienza el contenido principal

La gestión de los datos personales de los currículums: un análisis jurídico

| Noticias | Privacy, IT & Digital Business

Isabel Martínez Moriel, Socia responsable del área de Privacy, IT & Digital Business, explica en Economist & Jurist cómo deben tratar las empresas la información incluida en los CV que reciben

La normativa europea y, por ende la española, incluyen vías que tienen como fin último la protección de los datos personales de los ciudadanos. En este contexto, las empresas tienen la obligación de ser especialmente diligentes a la hora de tratar la información de sus clientes y empleados.

Una de las cuestiones relacionadas con la protección de datos que a priori pueden provocar más problemas a las empresas es el tratamiento de la información incluida en los currículums que los candidatos a un puesto de trabajo, bien dentro de un proceso de selección, bien de manera espontánea, envían a las empresas. Hay ocasiones en las que una compañía puede recibir un alud de CV cuando se llevan a cabo procesos de selección, lo cual puede entrañar un reto, ya que un tratamiento inadecuado de los datos puede llegar a suponer importantes multas.

Según explica Isabel Martínez Moriel, socia de Andersen en el área de Privacy, IT & Digital Business, la ley española en cuanto a la protección legal de este derecho está homogeneizada con la de la Unión Europea. En este sentido, explica que “el derecho a la protección de datos es un derecho fundamental reconocido en la Carta de los Derechos Fundamentales de la UE”. “Con carácter adicional”, matiza, “en toda la UE se aplica de forma directa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (RGPD) por lo que los derechos y obligaciones relativas al derecho a la protección de datos son los mismos en toda la UE”.

Recuerda Martínez Moriel que en España se aprobó también la Ley Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que, además de establecer el procedimiento administrativo sancionador (que requería la aprobación de ley orgánica), individualiza y aclara algunas de estas obligaciones.

En este sentido, la socia de Andersen explica, con respecto a la Ley Orgánica, que “a través del Título X, dedicado a la garantía de derechos digitales que afecta directamente a los derechos de los trabajadores, se incluye tanto la jurisprudencia como las aclaraciones necesarias para aplicar las obligaciones del RGPD en el caso de tratamientos de datos de empleados en el ámbito digital y el derecho a la desconexión digital”.

Isabel Martínez destaca que “el RGPD y la LOPDGDD protegen adecuadamente a los ciudadanos que envían sus datos a empresas”. Pone como ejemplo que la AEPD, en su Resolución PS/00237/2021, ha recordado la obligación de las empresas de informar adecuadamente a los titulares de los datos, en este caso a un aspirante a un puesto de trabajo, del tratamiento de datos personales que se va a realizar con los datos de su CV, con independencia de que este aspirante haya enviado de forma proactiva su CV a dicha empresa.

En este caso, la AEPD señaló que “la entidad reclamada no le ha facilitado información relativa al tratamiento que efectuarían con sus datos personales ni de la posibilidad de ejercitar los derechos ante el responsable del tratamiento”. Por ello, “es importante recordar que las empresas, para evitar este tipo de riesgos, deben diseñar procedimientos internos que les permitan cumplir con el RGPD, así como generar evidencias de su cumplimiento y diligencia” manifiesta la socia de Andersen.

Isabel Martínez aclara que “se ha de distinguir, en todo caso, entre el acceso a un perfil de candidatos que ha contestado a una oferta de trabajo publicada por Linkedin, del acceso al perfil público de un candidato que ha optado a una oferta de trabajo o que ha enviado una candidatura espontánea por otro medio”.

“En el primer caso, la empresa puede acceder y tratar los datos personales del candidato que aparecen en el LinkedIn pues es el candidato el que ha optado por esa oferta en la misma red”, manifiesta la socia de Andersen.

“En el segundo caso”, asegura Isabel Martínez, “la AEDP ha aclarado que si bien, materialmente, el seleccionador puede acceder al perfil público de un candidato en las redes sociales, el seleccionador/empleador no puede efectuar un tratamiento de los datos obtenidos por esta vía si no cuenta para ello con una base jurídica válida”. La propia AEPD matiza que “la indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales. El tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Y la persona trabajadora tiene derecho a ser informada sobre ese tratamiento”.

Para Isabel Martinez, “las empresas o agencias de colocación que apliquen procedimientos adecuados al RGPD para aproximarse a candidatos a través de redes sociales, o publiquen adecuadamente ofertas de trabajo a través de estos medios, cumplirían sus obligaciones legales”. A su juicio, “asegurarse del tratamiento de los datos con una base legítima válida siempre, así como de informar de forma adecuada del tratamiento de sus datos personales, finalidades, periodos de conservación y ejercicio de derechos, entre otros, a los candidatos”.

Puede leer el artículo completo en Economist&Jurist.

Fin del contenido principal