La creación de currículos con IA se desborda y abre un frente de riesgo para la protección de datos
Las solicitudes de empleo han crecido un 239% desde el lanzamiento de ChatGPT, pero la masiva generación de datos plantea riesgos de reutilización y transferencia
De tardar horas en redactar un currículum a tener cinco versiones en cuestión de minutos. Al calor de la inteligencia artificial (IA) se consolida una nueva tendencia en la búsqueda de empleo que no está exenta de riesgos para la protección de datos. Las empresas fueron las primeras en incorporarla a los procesos de selección para dar con candidatos de forma predictiva, realizar el primer cribado de currículums o analizar el match entre competencias y aptitudes.
Ahora el fenómeno se está invirtiendo. Son los propios candidatos quienes recurren de forma intensiva a la IA para redactar currículums y cartas de presentación, optimizándolos con palabras clave diseñadas para superar los filtros de los sistemas de selección de personal (ATS). También la utilizan para postularse automáticamente a decenas de ofertas o generar fotografías profesionales. Si la IA aplicada al reclutamiento ya planteaba interrogantes en materia de transparencia, elaboración de perfiles y toma de decisiones automatizadas, su utilización masiva por parte de los candidatos introduce un nuevo desafío: la comunicación de grandes volúmenes de datos a sistemas de terceros, sin que exista un control exclusivo sobre su reutilización o transferencia internacional.
El resultado es un aumento explosivo de candidaturas que está tensionando los procesos de selección. Según una comunicación de Canva, el 41% de los candidatos en España utilizó IA generativa en 2024 para mejorar su currículum, y el generador de textos con IA de esta plataforma fue utilizado 13,7 millones de veces. “Podemos hablar de una inflación de currículums optimizados”, dice Mamen Blanco, experta en IA aplicada a recursos humanos. El riesgo es que “muchas personas introducen datos personales sin revisar cómo están configuradas las herramientas. A nivel individual esto ya es delicado, pero a nivel empresarial es especialmente arriesgado porque puede implicar una cesión involuntaria de información confidencial”.
A escala global, el fenómeno es más acusado. El número de solicitudes de empleo que envía un candidato promedio ha aumentado en un 239% desde el lanzamiento de ChatGPT en 2022, según datos de Greenhouse, una plataforma de gestión de procesos de selección, recopilados por The Economist. Herramientas como JobCopilot o LazyApply permiten rellenar solicitudes automáticamente mientras los candidatos dedican “su valioso tiempo” a otra cosa. Desde LinkedIn informan que en los próximos meses estará disponible en español Job Match, un servicio que muestra hasta qué punto las competencias de un profesional encajan con los requisitos de cada oferta, “ayudándole a priorizar candidaturas”. Además, su herramienta AI Powered Job Search ya permite describir el puesto que el usuario busca para recibir sugerencias personalizadas. Junto a estas funcionalidades, también proliferan asistentes con IA que sugieren respuestas en las entrevistas online tras procesar la información personal del candidato, sin que el reclutador tenga acceso al contenido generado.
Mejor sin nombre
Ante este cambio de paradigma, la Agencia Española de Protección de Datos (AEPD) recomienda no cargar en los asistentes de IA generativa “datos personales como el nombre completo, dirección, número de teléfono, DNI, NIE o fotografías”. El motivo es la “pérdida de control” de la información. “Al subir una imagen, el contenido deja de estar bajo el poder exclusivo del usuario y pasa a ser tratado por un proveedor externo que decide cómo se procesa”, explican fuentes de la agencia.
Por ello, los expertos en privacidad aconsejan minimizar los datos compartidos. Joaquín Muñoz, socio del área de Privacy & Data Protection en Bird & Bird, dice que “no hace falta incluir toda nuestra información sensible desde el principio. Mi recomendación es utilizar estas herramientas para generar la estructura, aprovechando su capacidad de optimización, pero hacer los ajustes finales en nuestro equipo”.
Política de privacidad
Una lectura de las políticas de privacidad de estas plataformas muestra que el uso de los datos no se limita a la prestación inmediata del servicio. Canva puede recopilar los textos, imágenes o vídeos que el usuario sube para usar en los diseños, incluso con fines de aprendizaje automático, y recibir información de terceros como Facebook, Instagram o LinkedIn sobre el puesto o la empresa en la que trabaja, por ejemplo. Parte de estos datos puede ser transferida fuera de la Unión Europea, a países como Estados Unidos, Filipinas o Singapur, sujetos a leyes de protección de datos distintas. Los asistentes conversacionales y generativos, como ChatGPT o Gemini, siguen patrones similares: recopilan los datos personales proporcionados al crear la cuenta, así como los archivos, imágenes, audios e instrucciones que el usuario carga. Esta información puede usarse para mejorar sus capacidades de respuesta, salvo que la persona se oponga. Plataformas como LinkedIn también emplean los datos de sus miembros para entrenar sus modelos de IA.
Todo esto se realiza dentro del marco del Reglamento General de Protección de Datos, que obliga a estas plataformas a garantizar la seguridad de la información y aplicar mecanismos apropiados en las transferencias fuera de la Unión Europea. Aun así, como en cualquier servicio digital, existe un riesgo inherente de brechas de seguridad, por lo que conviene revisar los términos de cada plataforma para comprender cómo usan los datos.
Este tipo de riesgos se materializa en casos concretos. En junio de 2025, investigadores de seguridad detectaron una vulnerabilidad en la plataforma de selección de McDonald’s. El acceso al panel administrativo de un entorno de prueba estaba protegido únicamente con la contraseña por defecto “123456”, lo que permitió visualizar hasta 64 millones de solicitudes de empleo, incluyendo nombres, correos electrónicos y transcripciones de entrevistas.
Este episodio evidencia que, en entornos digitalizados, hasta un fallo básico puede tener un impacto masivo. Por eso, subraya el abogado de Bird & Bird Joaquín Muñoz, “si una aplicación no genera confianza o sus términos son excesivamente permisivos o poco claros, es preferible buscar alternativas más seguras, aunque eso pueda implicar renunciar a ciertas funcionalidades creativas. La comodidad no debería ir en detrimento de la protección de datos”.
Derecho a saber si la IA decide tu candidatura
Cuando una empresa utiliza un algoritmo para evaluar un currículum, el candidato tiene derecho a saberlo. Así lo establece el Reglamento General de Protección de Datos (RGPD), que reconoce el derecho de acceso a la información sobre el tratamiento de los datos personales. “Este derecho incluye conocer si se han usado sistemas automatizados, así como recibir una explicación comprensible de la lógica aplicada”, explica Adrián Todolí, catedrático de Derecho del Trabajo de la Universidad de Valencia. Además, la normativa permite impugnar la decisión algorítmica cuando afecte de manera significativa al candidato.
El artículo 22 del RGPD refuerza esta protección al reconocer el derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados. “El rechazo de una candidatura laboral es un claro ejemplo de efecto perjudicial”, subraya el jurista, que analiza estas cuestiones en su libro Algoritmos productivos y extractivos, editado por Aranzadi LA LEY.
Sin embargo, ejercer estos derechos puede ser complejo debido a la opacidad de los sistemas. El candidato no conoce ni a los demás aspirantes ni los criterios reales de comparación, por lo que el primer paso consiste en solicitar información sobre los parámetros y variables utilizados por la IA. “Si la empresa no facilita la información, la ofrece de forma incompleta o, aun siendo correcta, revela indicios de discriminación, estos elementos pueden utilizarse como prueba en un procedimiento posterior”, concluye Todolí.