¡Y ahora llega el (maldito) currículum!

Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.

Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.

Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.

Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.

Los hechos

El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.

Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.

La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.

Las consideraciones de la AEPD

Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.

En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.

¿Qué debemos hacer?

La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.

Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.

Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.

Como siempre, ¡cuidad los currículos y cuídaos!

Candidatos, curriculums y empresas

Pasado el verano empieza un nuevo curso académico, político, judicial, deportivo y, en general, en todas aquellas áreas sociales que aprovechan las vacaciones para descansar. Y, en el entorno laboral, a las empresas y personas candidatas se los gira bastante trabajo. Unas, porque quieren contratar talento y las otras porque quieren fichar por la mejor empresa posible. En cualquier caso, es una época de prisas y nervios pero también de ilusión, que, a menudo, nos hace cometer errores. A unos y a otros.

Todo esto viene por un par de noticias que afectan a las empresas y a los candidatos.

La primera, muy reciente, hace referencia a la sanción impuesta por la AEPD a una empresa por no responder a los candidatos que se inscriben a una oferta de trabajo ni informarlo del tratamiento que tendrán sus datos personales. Lo hablamos días atrás.

El otro, de hace más tiempo, recogía el caso de una candidata que mintió en su currículum para conseguir un trabajo en Australia. Tuvo que pagar una indemnización y, después, entró en prisión. Otro día nos ocuparemos de este tema.

Las dos noticias juntas ponen de manifiesto que empresas y candidatos tienen que observar unas reglas del juego básicas para no infringir la normativa y entender que no hacerlo puede tener consecuencias graves. Por eso hoy recogemos, a modo de recordatorio, algunas otras conductas a observar en el proceso de selección y contratación de personas en las empresas.

Consentimiento. En la fase de selección no es necesario el consentimiento de la persona candidata. La empresa está legitimada porque el tratamiento es necesario por la ejecución de un contrato en el que el candidato es parte o por la aplicación, a petición de este, de medidas precontractuales (arte. 6.1.b) RGPD).

Información. La empresa, en cambio, tiene el deber de informar del tratamiento, el que constituye una garantía para la persona candidata. Y lo tiene que hacer de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Vida laboral. La empresa, acreditando un interés legítimo, puede solicitar un informe de vida laboral para comprobar la veracidad y experiencia del currículum.

Oferta de trabajo. Las ofertas de trabajo se tienen que redactar en términos neutros (no pedir sexo, edad, raza, creencias políticas o religiosas, etc.) y recordar que las funciones especificadas son vinculantes. Y si se incluye la alternativa de teletrabajo, el candidato lo puede reclamar posteriormente sino se le proporciona.

Entrevista de trabajo. En la entrevista de trabajo, las respuestas no equivalen a un consentimiento y si hacemos preguntas sobre datos de categoría especial (salud, orientación sexual, opiniones políticas, afiliación sindical, datos genéticos, etc.) se tendrán que tomar medidas adicionales. Evitamos anotar juicios de valor y vigilamos si los datos recogidos pueden dar lugar a discriminaciones contrarías al principio constitucional de igualdad. Supondría una infracción administrativa grave.

Redes sociales. Los candidatos no están obligados a permitir la investigación del empleador en los perfiles de las redes sociales, exceptuando supuestos específicos y siempre que el candidato sea informado.

Conservación y eliminación. Acabado el proceso de selección, si la persona no es contratada será necesario su consentimiento para un futuro tratamiento, salvo que el empleador pueda demostrar interés legítimo (base de legitimación). Si no, eliminará el currículum con toda la documentación asociada.

Medidas de seguridad. La empresa tiene que garantizar la confidencialidad y el secreto profesional, incluso, cuando haya acabado la relación. Por eso tiene que tener implementadas las medidas de seguridad que garantizan, además, la disponibilidad y la integridad de los datos.

Naturalmente, hemos recogido aquí algunas de las situaciones más comunes que se pueden dar en el tratamiento de datos durante el proceso de selección de candidatos. Como siempre, es importando un buen asesoramiento profesional que impida cometer errores que nos pueden dar sorpresas desagradables.

Cuidaos!

Nota: el contenido del post no puede sustituir en ningún caso el asesoramiento profesional que podéis pedir aquí.

¿Es obligatorio contestar a las demandas de empleo?

Estamos en unas circunstancias económicas que hace que las demandas de empleo sean bastante elevadas. Las empresas reciben un número creciente de currículums, muchos de ellos no solicitados, que se tienen que gestionar, entre otros, desde el punto de vista de la Protección de Datos. A raíz de una resolución de la AEPD, hoy nos ocupamos de uno de ellos: la obligatoriedad de la empresa de informar sobre que hará con el CV.

Hasta ahora, no responder a los candidatos que se inscriben a una oferta de trabajo ni informarle del tratamiento que tendrán sus datos personales es un práctica habitual en las empresas por diferentes razones: falta de protocolos, de información, desinterés o, simplemente, saturación de trabajo.

Pero esta situación puede cambiar radicalmente porque la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una empresa con 2.000€ de multa por no identificar de forma apropiada al responsable del tratamiento, ni comunicar al candidato la posibilidad de ejercer sus derechos ante el responsable del tratamiento, ni el destino que iban a tener sus datos. Además, la entidad reclamada no disponía de Delegado de Protección de Datos (DPD).

El trámite se efectuó por WhatsApp, lo cual nos pone en alerta porque cuando abrimos un canal de comunicación nuevo, como puede ser un sistema de mensajería frente al convencional correo electrónico, tenemos que ser cuidadosos e implantar un protocolo en la empresa que tenga en cuenta las particularidades y especificaciones del canal para evitar sorpresas posteriores. En el presente caso, el candidato contactó por teléfono y remitió el CV por WhatsApp, sin recibir acuse de recibo.

El candidato remitió a la AEPD los pantallazos con los mensajes intercambiados por WhatsApp, en las que no aparece ninguna información relativa al tratamiento de los datos. La empresa reclamada no procedió a presentar alegaciones ni pruebas en el plazo de audiencia por lo cual la Agencia continuó con el procedimiento.

La AEPD considera que se ha infringido el artículo 13 del RGPD que hace referencia a la información sobre el tratamiento que se tiene que facilitar a los interesados cuando los datos personales provienen de él mismo, así como el resto de información necesaria para garantizar un tratamiento de datos leal y transparente.

Otro día hablaremos del resto de obligaciones que tenemos hacia los candidatos como la manera y el tiempo de conservación de los currículums y de los protocolos que la empresa tiene que tener implantados para dar respuesta a las candidaturas. Pero lo que nos tiene que quedar claro es que tenemos que estar bien asesorados y cumplir con nuestras obligaciones. De otro manera, podemos ser sancionados y, lo que es peor, sufrir una pérdida reputacional que puede costar mucho de recuperar.

Mientras tanto, ¡cuidaos!

Revisión Textos Legales Web