¿Qué hacer cuando tu empresa recibe un curriculum?

El silencio por parte de una empresa tras recibir un currículum tiene consecuencias económicas

La probabilidad de incumplimiento de la normativa vigente en protección de datos cuando las empresas reciben un Currículum Vitae – CV -, por cualquier medio de comunicación, es elevada.

Es una práctica habitual de las empresas que tras recibir un CV no dan contestación al candidato sobre el tratamiento de sus datos, ya que, lo primero en que se piensa es: “si el candidato lo ha enviado voluntariamente queda implícito el tratamiento de los datos”.

Esta práctica habitual tiene los días contados, ya que recientemente la Agencia Española de Protección de Datos, en una de sus últimas resoluciones – procedimiento sancionador PS/00237/2021 -, ha sancionado a una entidad por un importe de 2.000 euros (dos mil euros) por no informar al candidato del tratamiento de sus datos una vez recibió su CV a través de WhatsApp.

Antecedentes

El candidato contactó con la empresa a través del teléfono que constaba en un anuncio de una página Web y remitió su currículum por WhatsApp, tal y como se solicitaba.

Tras no recibir ninguna contestación por parte de la empresa, el candidato tomó la decisión de interponer una reclamación ante la Agencia Española de Protección de Datos, manifestando que tras enviar su CV no se le ha había facilitado información relativa al tratamiento que efectuarían con sus datos personales ni de la posibilidad de ejercitar los derechos ante el responsable del tratamiento. Además, también manifiesta que la empresa no dispone de Delegado de Protección de Datos.

Junto con la reclamación, el candidato aporta varios pantallazos de su terminal móvil, con las conversaciones realizadas a través de la aplicación WhatsApp, donde consta el envío del CV del candidato.

La empresa nunca respondió sobre el tratamiento de sus datos, y ese silencio es el motivo de la sanción, puesto que como comentaremos a continuación, se vulnera la normativa vigente en protección de datos.

¿Qué dice la Agencia de Protección de Datos?

En la mencionada resolución, la Agencia Española de Protección de Datos determina que la multa viene establecida por no dar cumplimiento a lo previsto en el artículo 13 del RGPD. Dicho artículo determina que, en el momento de la recogida de datos de carácter personal, el Responsable del Tratamiento – le empresa o entidad -, debe facilitar al interesado la información del tratamiento de sus datos, concretamente:

• La identidad y los datos de contacto del responsable
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
• Cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;
• Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

Además, nos deben indicar:

• El plazo durante el cual se conservarán los datos personales
• Cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
• El derecho a presentar una reclamación ante una autoridad de control;
• La existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Es por ello por lo que cuando una entidad reciba un CV deberá establecer mecanismos para poder informar al candidato del tratamiento de sus datos.

Cabe destacar que, ésta no es la única sanción que la Agencia Española de Protección de datos por incumplimiento del artículo 13 de la RGPD. Os recordamos la sanción que impuso a CAIXABANK por 6 millones de euros. Puede leer nuestro artículo al respecto en nuestro blog.

No olvidemos que

Como hemos mencionado en anteriores comunicados, cuando entró en vigor la RGPD, unos de los cambios más significativos que se produjeron en el deber de información, ya que anteriormente se permitía el consentimiento tácito en el tratamiento de los datos, y tras la reforma, se exige un consentimiento expreso, que comprende el deber de la entidad de obtener el consentimiento del candidato para almacenar y tratar sus datos del CV.

Protocolo interno

Con el fin de garantizar el cumplimiento de los requisitos del RGPD y la LOPDGDD es conveniente un protocolo interno; que tenga por objeto establecer y definir el proceso de buenas prácticas en la gestión de CV por parte del personal de la entidad a fin de implantar las medidas técnicas y organizativas apropiadas que garanticen un nivel de seguridad adecuado al riesgo en el tratamiento de los datos personales, y por supuesto aplicarlo.

Desde nuestro departamento de Protección de Datos, estaremos encantados en poderles ampliar toda esta información; y en ayudarles a que puedan cumplir con esta normativa evitándoles futuras sanciones.