La gestión de los datos personales de los currículums: un análisis jurídico

La normativa europea y, por ende la española, incluyen vías que tienen como fin último la protección de los datos personales de los ciudadanos. En este contexto, las empresas tienen la obligación de ser especialmente diligentes a la hora de tratar la información de sus clientes y empleados.

Una de las cuestiones relacionadas con la protección de datos que a priori pueden provocar más problemas a las empresas es el tratamiento de la información incluida en los currículums que los candidatos a un puesto de trabajo, bien dentro de un proceso de selección, bien de manera espontánea, envían a las empresas. Hay ocasiones en las que una compañía puede recibir un alud de CV cuando se llevan a cabo procesos de selección, lo cual puede entrañar un reto, ya que un tratamiento inadecuado de los datos puede llegar a suponer importantes multas.

Según explica Isabel Martínez Moriel, socia de Andersen en el área de Privacy, IT & Digital Business, la ley española en cuanto a la protección legal de este derecho está homogeneizada con la de la Unión Europea. En este sentido, explica que “el derecho a la protección de datos es un derecho fundamental reconocido en la Carta de los Derechos Fundamentales de la UE”. “Con carácter adicional”, matiza, “en toda la UE se aplica de forma directa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (RGPD) por lo que los derechos y obligaciones relativas al derecho a la protección de datos son los mismos en toda la UE”.

Recuerda Martínez Moriel que en España se aprobó también la Ley Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) que, además de establecer el procedimiento administrativo sancionador (que requería la aprobación de ley orgánica), individualiza y aclara algunas de estas obligaciones.

Isabel Martínez Moriel, socia de Andersen en el área de Privacy, IT & Digital Business. (Foto: Andersen)

En este sentido, la socia de Andersen explica, con respecto a la Ley Orgánica, que “a través del Título X, dedicado a la garantía de derechos digitales que afecta directamente a los derechos de los trabajadores, se incluye tanto la jurisprudencia como las aclaraciones necesarias para aplicar las obligaciones del RGPD en el caso de tratamientos de datos de empleados en el ámbito digital y el derecho a la desconexión digital”.

Con la ley en la mano, ¿qué tienen que hacer las empresas para gestionar los datos personales de los CV? Alejandro Padín, socio del Departamento Mercantil de Garrigues, asegura que “en realidad no hay ningún problema, ya que aplica la regla general de que cualquier empresa que trate datos personales tiene que informar al interesado”. “Si una empresa recibe un CV y lo incorpora a algún proceso, o lo conserva para futuros procesos, se encuentra tratando datos personales de los candidatos y, por tanto, debe cumplir con las exigencias de la normativa aplicable”, señala.

Entre las cuestiones que tienen que tener en cuenta las compañías está “tratar esos datos de forma lícita, informar a los interesados sobre el tratamiento de sus datos,  garantizar que los datos solo se usen para los fines que motivaron su recogida (en este caso, gestionar el proceso de selección), tienen que mantenerlos actualizados en la medida de lo posible, conservarlos solo durante el tiempo necesario para gestionar su candidatura y, por supuesto, debe mantener dichos datos seguros y protegidos ante cualquier acceso no autorizado”.

Alejandro Padín, socio del Departamento Mercantil de Garrigues. (Foto: Garrigues)

Por su parte, Antonio Benitez Ostos, socio director de Administrativando, señala que “para que las empresas puedan tratar los datos de los candidatos tienen que tener su consentimiento”. En este sentido, recuerda que “en los grandes portales de empleo este consentimiento se da cuando son aceptadas las condiciones generales”, en las que se incluye información sobre cómo van a ser tratados los datos.

CV enviados al margen de procesos de selección

Hay un elemento que puede estar marcado por la controversia y es los casos en que las empresas reciben CV al margen de procesos de selección. Los remitentes de estos currículums tienen que ser informados del tratamiento que se va a dar a sus datos por parte de la empresa que recibe los mismos. De lo contrario, la empresa se puede enfrentar a una multa de la Agencia Española de Protección de Datos (AEPD).

Alejandro Padín explica que “es cierto que el RGPD supuso un cambio de paradigma en cuanto a la forma entender el cumplimiento a través del principio de accountability que, entre otros, transfiere a los responsables del tratamiento de datos la obligación no solo de cumplir con la normativa, sino también de poder demostrar dicho cumplimiento”.

Teniendo esto en cuenta, “aunque la norma sí recoja ciertos requisitos formales, son las propias empresas las que deben valorar cuál es la mejor opción para garantizar la protección de los datos que se encuentran bajo su responsabilidad. Por lo tanto, las compañías que reciban CV, además de cumplir con los requisitos formales que exige la norma, deberán implantar todas las medidas técnicas y organizativas necesarias para poder tratar los datos adecuadamente”, destaca el socio de Garrigues.

La cuestión es que, según explica Antonio Jesús Pérez Valderrama, director de Administrativando, “para que una empresa pueda evaluar un currículum tiene que tener el consentimiento del remitente”. Esto significa que la firma debe remitir un modelo de consentimiento expreso para que lo firme la persona que ha enviado el CV antes de poder analizarlo.

Pérez Valderrama asegura que, “este proceso no es muy operativo” ya que “la obligación se invierte porque no se obliga a dar el consentimiento previo”, sino que hay que pedirlo a posteriori. Entiende este abogado que “esta obligación puede ser una pesadilla para la empresa” porque “un Departamento de Recursos Humanos que reciba 20 currículums al día necesita a una persona solo para gestionar las respuestas”. Además, recuerda que la empresa tiene la obligación de destruir el CV de las personas que no han dado su consentimiento.

Antonio Jesús Pérez Valderrama, director de Administrativando, y Antonio Benitez Ostos, socio director de la firma. (Foto: Administrativando)

Por su parte, Isabel Martínez destaca que “el RGPD y la LOPDGDD protegen adecuadamente a los ciudadanos que envían sus datos a empresas”. Pone como ejemplo que la AEPD, en su Resolución PS/00237/2021, ha recordado la obligación de las empresas de informar adecuadamente a los titulares de los datos, en este caso a un aspirante a un puesto de trabajo, del tratamiento de datos personales que se va a realizar con los datos de su CV, con independencia de que este aspirante haya enviado de forma proactiva su CV a dicha empresa.

En este caso, la AEPD señaló que “la entidad reclamada no le ha facilitado información relativa al tratamiento que efectuarían con sus datos personales ni de la posibilidad de ejercitar los derechos ante el responsable del tratamiento”. Por ello, “es importante recordar que las empresas, para evitar este tipo de riesgos, deben diseñar procedimientos internos que les permitan cumplir con el RGPD, así como generar evidencias de su cumplimiento y diligencia” manifiesta la socia de Andersen.

Aun cuando la protección de los ciudadanos puede estar afianzada, hay un aspecto que no ha sido recogido en la normativa: el tiempo que las empresas pueden tener la información recogida en los currículums. Antonio Benitez Ostos relata que, aunque no existe un tiempo fijado en la norma, por lo general “se ha establecido un plazo de entre un año y medio y dos años para que la empresa conserve la información”. A este respecto, señala que sería conveniente que se incluyera el alcance del uso de los datos en las condiciones firmadas por los ciudadanos.

A juicio del socio director de Administrativando, “salvo que se haya firmado un consentimiento amplio que permita guardar los datos una vez terminados los procesos de selección, la empresa debería eliminar los datos cuando el motivo del almacenamiento expira”. Aquí el “debería” cobra importancia, ya que, según explica Benitez Ostos, la empresa, al no estar obligada por la ley, puede mantener los CV el tiempo que quiera, salvo que los ciudadanos decidan revocar la autorización a través de los canales de los que la empresa debe disponer a tal efecto o a través del responsable de protección de datos.

Datos de las redes sociales

Un aspecto en el que las empresas tienen que ser especialmente cuidadosas es el del uso datos difundidos por los usuarios de Internet a través de plataformas o redes sociales como Linkedin. Alejandro Padín recuerda que “para realizar un tratamiento de datos personales siempre se debe contar con una base de legitimación de las previstas en el artículo 6 del RGPD. El hecho de que un dato personal sea público no quiere decir que un tercero pueda utilizarlo para otros fines distintos de los que tenía el interesado con su publicación”. En este sentido, “la subida de datos personales que un usuario hace en una red social tiene como finalidad la que haya previsto el usuario para dicha publicación en esa red y, en general, compartir la información que el usuario desee con el resto de esa comunidad. Pero lo anterior no legitima el uso de sus datos para llevar a cabo cualquier otra operación con ellos”.

Sobre esta cuestión, Isabel Martínez aclara que “se ha de distinguir, en todo caso, entre el acceso a un perfil de candidatos que ha contestado a una oferta de trabajo publicada por Linkedin, del acceso al perfil público de un candidato que ha optado a una oferta de trabajo o que ha enviado una candidatura espontánea por otro medio”.

“En el primer caso, la empresa puede acceder y tratar los datos personales del candidato que aparecen en el LinkedIn pues es el candidato el que ha optado por esa oferta en la misma red”, manifiesta la socia de Andersen.

“En el segundo caso”, asegura Isabel Martínez, “la AEDP ha aclarado que si bien, materialmente, el seleccionador puede acceder al perfil público de un candidato en las redes sociales, el seleccionador/empleador no puede efectuar un tratamiento de los datos obtenidos por esta vía si no cuenta para ello con una base jurídica válida”. La propia AEPD matiza que “la indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales. El tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Y la persona trabajadora tiene derecho a ser informada sobre ese tratamiento”.

Al margen de la cuestión de la protección de datos, el uso de información de las redes sociales de una persona tiene una variable jurídico-laboral importante que explica Cecilia Pérez, socia del Departamento Laboral de Garrigues. Entiende que “las empresas deben ser muy cautelosas con la información que toman en consideración para tomar sus decisiones de contratación o no de una persona”.

Argumenta Cecilia Pérez que “la información que una persona comparte en redes sociales debería ser veraz y precisa, pero podría no serlo. Si no lo fuera, y la empresa contrata a la persona basándose en información no veraz no facilitada directamente por esta, y más tarde la empresa descubriera que no lo era, podría ser complicado emprender cualquier acción disciplinaria contra la persona, porque sería cuestionable que la persona tuviera un ánimo de engañar a una empresa concreta, para conseguir un trabajo concreto, para el que se requiriera una determinada experiencia o formación que la persona hubiera dicho públicamente en redes sociales sin facilitar la información a la empresa”.

Cecilia Pérez, socia del Departamento Laboral de Garrigues. (Foto: Garrigues)

Agencias de colocación

En este análisis sobre el tratamiento de los datos de los CV de los candidatos a un puesto de trabajo no hay que perder de vista el papel que juegan las empresas y agencias de colocación que son contratadas por otras compañías para realizar un determinado proceso de selección.

Para Isabel Martinez, “las empresas o agencias de colocación que apliquen procedimientos adecuados al RGPD para aproximarse a candidatos a través de redes sociales, o publiquen adecuadamente ofertas de trabajo a través de estos medios, cumplirían sus obligaciones legales”. A su juicio, “asegurarse del tratamiento de los datos con una base legítima válida siempre, así como de informar de forma adecuada del tratamiento de sus datos personales, finalidades, periodos de conservación y ejercicio de derechos, entre otros, a los candidatos”.

Sobre este particular puede surgir una duda. En el caso de que haya un mal uso de los datos aportados por una persona candidata, ¿a quién habría que pedir cuentas, a la agencia o a la empresa que la contrata?

“Pueden darse distintos escenarios”, afirma Alejandro Padín, para quien la solución dependerá, entre otras cuestiones, “de las funciones de dichas agencias, de si están actuando sobre su propia base de datos o han recabado datos específicamente para un proceso concreto en una empresa, del momento en que se haya producido la incidencia y del tipo de incidencia y perjuicios causados a los interesados”.

La casuística varía en función del papel desempeñado por las agencias de colocación. Así, Padín utiliza el ejemplo de una compañía de colocación contratada por otra empresa para que realice un proceso de búsqueda de un perfil en concreto; en este caso “, la empresa cliente sería la responsable del tratamiento y de cumplir todas las obligaciones legales, mientras que la agencia sería un prestador de servicio y actuaría como encargado del tratamiento”.

En otros casos, la agencia podría dedicarse a presentar candidatos de una base de datos propia para distintos procesos de selección que publiquen otras empresas. En este supuesto, “la responsable del tratamiento es la agencia”, afirma el socio de Garrigues.

Sea como fuere, Alejandro Padín subraya que “lo más importante para el interesado es que tiene que haber sido informado debidamente del tratamiento de sus datos para el proceso de selección y de las vías para poder ejercitar los derechos de protección de datos que la normativa recoge, sabiendo a quién y cómo debe dirigirse, en caso de cualquier incidencia”.