Las empresas están obligadas a contestar a los currículums espontáneos que reciben

El inicio del curso en septiembre es para muchos el momento de buscar nuevas oportunidades laborales. Los procesos de selección de las empresas pueden ser muy variados, pero en todos ellos es inevitable recabar información personal de los candidatos. Por ello, esta fase, a pesar de que aún no haya una relación contractual con los aspirantes, debe diseñarse para proteger su privacidad.

Es más, incluso aunque la compañía no tenga abierto ningún proceso de selección, si recibe un currículum vitae (CV) deberá responder informando al interesado del tratamiento que va a hacer de los datos contenidos en él. Y es que como indica José Leandro Núñez, socio de Audens, la normativa exige que esta información se facilite en el momento en el que se obtengan los datos. “Lo ideal es incluirla en las propias ofertas publicadas, o en los formularios de inscripción, porque de este modo se puede acreditar fácilmente que la información estaba a disposición de los candidatos desde el primer momento”, aclara Núñez.

Sin embargo, destaca Esmeralda Saracibar, socia de Ecix Group, si los candidatos remiten su CV sin que se les haya solicitado o por otro medio que no sea “la operativa oficial” implementada por la empresa para ello, será necesario que esta responda indicando cuál será el tratamiento de los datos recibidos. Esta contestación deberá contener, como indica Saracibar, entre otros elementos, información referida a la identificación del responsable del tratamiento, los datos de contacto del delegado de protección de datos (DPD), las finalidades, los destinatarios de los datos y los plazos de conservación.

Este deber de información no implica que sea necesario contar con el consentimiento de quien envía su currículum, salvo que la empresa decida guardarlo para futuras vacantes. En este caso, señala Paula Garralón, asociada de proteccion de datos y privacidad de Bird & Bird, no hay un plazo de conservación establecido por ley, pero de acuerdo con el principio de calidad del dato, el market practice de las empresas es solicitar de nuevo el consentimiento de los candidatos cuando han transcurrido dos años, dándoles la oportunidad de actualizar el contenido de sus CV.

Las multas por incumplir estas obligaciones pueden llegar hasta los 20 millones de euros o un 4% del volumen de la facturación global anual de la empresa. En la práctica, precisa Núñez, las sanciones que imponen las autoridades de protección de datos no suelen ser tan elevadas. Sin ir más lejos, la última multa impuesta por no poner a disposición de un candidato la política de privacidad cuando envió su currículum a través de Whatsapp, fue de 2.000 euros.

Portales de empleo

También es muy habitual que el proceso de selección se realice a través de agencias de colocación o portales de empleo. En estos supuestos, explica Saracibar, la empresa que tiene la vacante deberá suscribir con aquella en la que delega la selección, un contrato específico para asegurarse de que cumple con las obligaciones legalmente previstas en materia de privacidad. “Las agencias de colocación y empresas de selección solo actuarán como encargados del tratamiento por cuenta y bajo las instrucciones de la empresa que las contrata”, apunta la abogada.

Eso sí, añade Garralón, en el supuesto de que las agencias de colocación recaben información de los candidatos antes de disponer de ofertas de empleo concretas serían titulares de su propia base de datos de aspirantes y, por tanto, responsables de su tratamiento. Lo mismo ocurre en el caso de las empresas de trabajo temporal (ETT) ya que son empleadoras directas de los trabajadores.

En cualquier caso, matiza Saracibar, las empresas que obtengan perfiles provenientes de ETT o portales de empleo que sean responsables independientes del tratamiento de datos, deberán justificar que los recibieron de forma lícita, es decir, que existe una legitimación para su cesión y que al interesado se le ha informado sobre la identidad del destinatario de los datos.