La Ley de Protección de Datos personales afecta el currículum y otros documentos con datos personales. Para su recogida y tratamiento, es necesario el consentimiento informado y expreso del interesado, independientemente de que la persona lo haya enviado de manera voluntaria.
RGPD en la gestión de currículums
Es obligatorio recabar el consentimiento informado y expreso del candidato para el tratamiento de los datos personales de su currículum. Además, se deben establecer las medidas técnicas y organizativas para garantizar la protección de datos personales de los currículums que se han guardado.
Por otro lado, el interesado puede solicitar una copia de sus datos personales que haya recogido en la empresa, portal de empleo o empresa de trabajo temporal sin que pueda oponerse a ello.
Si un currículum no se actualiza en dos años, se debe proceder a su bloqueo para impedir su lectura o bien su eliminación. La empresa, tiene la obligación de informar a los interesados de que sus datos pueden haber sido expuestos, así como informar a la AEPD en un plazo máximo de 72 horas.
El delegado de protección de datos no es obligatorio, aunque sí que se recomienda en el caso de realizar tratamientos de grandes volúmenes de datos para garantizar el cumplimiento de la normativa.
Lo cierto es que la cantidad de datos personales que tiene un Currículum Vitae es cuantiosa, desde el nombre y apellidos hasta la dirección postal, el número de teléfono, DNI y fotografía o incluso información médica. Por todo esto, respecto a la forma que se debe tratar los datos de un currículum, el RGPD es muy claro.
Como ya hemos dicho, se debe tratar de la misma manera que se tratarían los datos que se han recogido en cualquier otro documento. Es decir, atendiendo a los nuevos principios y obligaciones que se recogen en el reglamento. Este hecho, lo que implica es que los CV también deben aparecer en el registro de actividades, siempre que la empresa tenga más de 250 empleados o bien, se traten datos de categorías especiales.
Independientemente de la voluntariedad del interesado, es obligatorio recabar el consentimiento para el tratamiento de los datos personales del Currículum Vitae.
Este consentimiento, debe ser informado y expreso. Por tanto se deberá informar al interesado de la existencia de un fichero con sus datos personales, finalidad del tratamiento para el que se recogen los datos, identidades responsable del tratamiento, base jurídica del mismo, cesión de datos a terceros, tiempo de conservación de los datos y dónde y cómo se pueden ejercer los derechos ARCO.
A través del derecho de la portabilidad, es importante remarcar que el interesado tiene la oportunidad de solicitar una copia de los datos personales que haya reconocido la empresa, portal de empleo o ETT sin que se puedan oponer a ello. En caso de no informar a los interesados o a la Agencia Española, se tratará de una infracción que puede conllevar a sanciones.
El RGPD exige que antes de iniciar el tratamiento de los datos, se realiza un análisis de los riesgos que puede suponer para derechos y libertades de candidatos. Si del análisis se desprende que el tratamiento de datos personales puede entrañar un riesgo alto, será necesario llevar a cabo una evaluación del impacto. En cualquier caso, el análisis de riesgos también debe servir para establecer medidas técnicas y organizativas para garantizar así la protección de datos personales.
Por último, es necesario hablar de la figura del DPO en las empresas dedicadas a la selección de personal. A pesar de que la designación de un delegado de protección de datos en las empresas dedicadas a la selección de personal no es algo obligatorio, es importante contar con esa figura para realizar tratamientos de grandes volúmenes de datos personales de forma que se garantice el cumplimiento de la normativa.
En este caso, este delegado tiene la función principal de gestionar y supervisar el correcto cumplimiento del RGPD por parte de la empresa y puede ser bien una persona física o jurídica interna o externa a la empresa.