En verano de 2021, la Agencia Española de Protección de Datos publicó la sanción de 2.000€ a una organización por no dar la información obligatoria de protección de datos al recibir un currículo para una oferta de empleo.
¿Qué sucedió?
En 2020, el afectado visitó una web de anuncios de empleo. En este portal se cuelgan diferentes ofertas de puestos de trabajo. En cada oferta, se establece la localización de la organización y el puesto que se ofrece. Para poder postularse a la candidatura, se dan medios de contacto: un email, un número de teléfono y/o una web donde enviar el curriculum vitae.
En este caso, el método de envío de currículo que se establecía era por la aplicación de móvil Whatsapp. Por lo que el afectado envío su información profesional en su currículo al número de móvil que señalaba la oferta. En la reclamación a la Agencia, adjunta el mismo reclamante capturas de pantalla donde se puede observar cómo envía su CV y la empresa no responde con la información básica de protección de datos.
Es por eso que la AEPD sanciona a la empresa con 2.000€ por faltar a su obligación de dar la información básica de protección de datos.
¿Cuál es la obligación de una organización cuando publica una oferta de empleo y/o recibe un currículo?
Cualquier organización sujeta a cumplir con la normativa de protección de datos, debe de tener en cuenta que recibir curriculum supone un tratamiento de datos personales. Es por eso que, al recibir un currículo (ya sea a través de una oferta, o simplemente porque se nos ha entregado para tenerlos en cuenta para futuros puestos), nacen las siguientes obligaciones:
1. La primera y más básica, el deber de información tal y como estipula el artículo 13 del RGPD y el artículo 11 de la LOPDGDD. La organización, en el momento en el que recibe datos personales para su tratamiento, debe de dar una información básica sobre protección de datos: Información sobre el responsable del tratamiento, la finalidad del tratamiento, un método para el ejercicio de derechos… y toda la información que se pueda derivar del caso concreto, siguiendo lo establecido en los citados artículos.
2. La inclusión de este tratamiento en el Registro de Actividades de Tratamiento.
3. El análisis de los riesgos derivados del tratamiento del currículo.
4. Aplicar las medidas de seguridad necesarias para garantizar la disponibilidad, confidencialidad e integridad de los datos personales obtenidos. En estas medidas deberemos de tener en cuenta:
· Protocolo de acceso para determinar qué personas de nuestra organización pueden acceder a estos currículos.
· Protocolos de destrucción de la documentación para establecer de qué forma segura se van a destruir los CVs (ya sean físicos o digitales).
· Criterios de tiempo para no almacenar currículos durante tiempos indeterminados o excesivos.
5. Cumplir con el principio de responsabilidad proactiva. Esto es, tener la forma de probar que has dado la información de protección de datos en el momento de recibir los datos personales.
¿Cuáles son los supuestos más habituales a la hora de recibir un currículo?
En la actividad común de una organización que recibe currículos, podemos encontrar una serie de supuestos típicos. Vamos a nombrar algunos y cómo se debería de cumplir con protección de datos en cada caso:
A. Recibo un currículo en mis instalaciones. Este es un caso habitual para determinados sectores. Si decidimos coger el currículo, deberemos de tener una forma de certificar que hemos dado la información de protección de datos. Por ejemplo, un recibí de la información firmado por la persona que lo entrega.
B. Recibo un currículo por correo electrónico. En la actualidad, es la forma más habitual de recibir currículos. Además, se suele caer en que, como nos los están dando de forma digital, tenemos la impresión de que no tenemos las mismas obligaciones que si nos lo dan en físico. Error. El currículo digital también debe de ser contestado con la información de protección de datos al igual que si lo aceptamos en físico. ¡Aunque no olvidemos que hay que tener cuidado con el phishing!
C. Publico una oferta de empleo en mi web. En este caso, deberemos de tener incluida en nuestra política de privacidad la finalidad de recogida de currículos, y que el usuario la acepte. Además, deberemos de proporcionar la información básica (la llamada primera capa) en el formulario de recogida del documento.
D. Publico una oferta en un portal de empleo. En este caso, suele ser habitual que los portales de empleo tengan su propia política de protección de datos, pero olvidamos con facilidad que su política no es nuestra política. Esto significa, que cuando recibimos currículos desde estos portales, tenemos la obligación de dar nuestra información de protección de datos. Ya sea en el propio anuncio, o dando respuesta a cada uno de los currículos recibidos.
Estos son los casos más habituales y con algunas formas de cumplir con protección de datos en ellos. Sin embargo, los casos son casi infinitos y por lo tanto, debemos de tener las soluciones que se adecuen más a nuestra organización para invertir el menor tiempo posible en ello: cuentas de correo con respuestas automáticas, bots de respuesta a chats, carteles informativos… En todas las organizaciones se reciben currículos todos los días y debemos de tener claro la obligación que tenemos con la normativa.
En Legitec buscamos siempre la solución que más se adapta a la forma de trabajar de cada organización, de forma que cumplir con la protección de datos sea algo natural en el día a día del trabajo. Lo importante es tener el conocimiento y la eficacia para ello.