La sanción podrá ser hasta el 4% de su facturación anual

Riesgos para los negocios de los procesos de selección de personal si no aplican la Protección de Datos

Los autónomos corren el riesgo de ser sancionados si no cumplen correctamente el Reglamento General de Protección de Datos a la hora de seleccionar personal para un nuevo puesto de trabajo.
Riesgos para los negocios de los procesos de selección de personal si no aplican la Protección de Datos

El Reglamento General de Protección de Datos (RGPD) obliga a los autónomos y empresas a concretar y especificar como van usarse los datos de los candidatos que opten a un nuevo puesto de trabajo. Si el trabajador por cuenta propia no cumple con la normativa, corre el riesgo de enfrentarse a sanciones económicas de hasta 20 millones de euros o el 4% de la facturación anual de la actividad.

En este contexto, Agencia Española de Protección de Datos (AEPD) multó a un negocio porque no siguió el procedimiento legal y no respondió en un proceso de selección de personal a un candidato que envió su currículum vitae por WhatsApp para solicitar el empleo. La sanción sienta un precedente que los autónomos deben tener en cuenta si no quieren corres riesgos: si un negocio no contesta a un candidato, en sentido positivo o negativo, podrá ser multado. En este caso, la sanción alcanzó los 2.000 euros.

Fue el propio candidato quien interpuso una reclamación a la Agencia. El reclamante manifiesto que el negocio no le facilitó información relativa al tratamiento que efectuarían con sus datos personales ni de la posibilidad de ejercitar los derechos ante el responsable del tratamiento. A su vez, afirma que la entidad demandada no tiene una persona delegada de Protección de Datos o DPD. Y, en este caso, también incurrió en una falta al no tener identificada de forma apropiada en su página web a su responsable de protección de datos.  El nombre de la empresa se desconoce, pero lo AEPD aseguró que no se trataba de una “gran compañía”.

La empresa habría evitado la multa si hubiese mandado como respuesta al mensaje del candidato otro en el que aclarase el tratamiento que iba a hacer de los datos personales recogidos en el CV y cómo ese candidato podría ejercitar sus derechos ante el responsable de tratarlos.

Como principio fundamenta hay que recordar que el negocio es responsable de la custodia de la documentación recibida por parte de los candidatos dado que aporta datos sensibles sobre su vida. En caso de que se pierda o extravíe dicha documentación, se producirá una infracción del RGPD, al faltar al principio de integridad y confidencialidad.

En otras palabras, es imprescindible ofrecer la información correspondiente en materia de RGPD a la persona que quiere incorporarse a la plantilla, aunque finalmente no sea seleccionada. Si, por ejemplo, se recibe un currículum por correo electrónico, se deberá responder el email con toda la información relativa al artículo 13 del RGPD. Si el currículum se presenta de forma presencial, se deberá dar la información en ese mismo momento, por ejemplo mediante carteles visibles o documentos de acuse de recibo. 

Los autónomos también deberán comunicar el salario previsto para el puesto de trabajo 

A finales del año pasado, el Parlamento y el Consejo Europeo presentaron la propuesta de una nueva normativa de transparencia salarial. Entre otras cuestiones, en en esta nueva disposición también se obliga a los negocios y empresas a comunicar a los candidatos a un puesto de trabajo cuánto ganarán si finalmente son contratados. 

En este sentido la normativa obliga a: 

  • Comunicar al trabajador antes de su contratación el nivel retributivo inicial.
  • Poner a disposición del trabajador una descripción de los criterios utilizados para definir su retribución actual y su progresión profesional.
  • Dar información al trabajador sobre su nivel retributivo individual y sobre los niveles retributivos medios de los trabajadores que desempeñen el mismo puesto o un trabajo de igual valor.

¿Cómo puede un autónomo adecuar la gestión de los currículums a la normativa de protección de datos? 

Como todos los datos que tienen lugar en una empresa, la gestión de los currículums debe adecuarse a la normativa de protección de datos. Para ello, la AEPD ofrece una herramienta para tratar de forma correcta los datos de escaso riesgo, como son los currículums. Esta herramienta, llamada Facilita RGPD, “está planteada como un cuestionario online, con una duración máxima de 20 minutos, con el que los autónomos y empresas pueden constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo. Además, pueden obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa”, explicaron a este diario fuentes de AEPD.

La información que los negocios o empresas aportan permite obtener los documentos prácticamente completados. Dicha información no es conservada ni monitorizada por la agencia. “Las plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, las cláusulas informativas, las cláusulas que deberían incluirse si la empresa contacta con la persona encargada del tratamiento, así como un anexo con las directrices para atender las solicitudes de ejercicio de derechos en materia de protección de datos. También ofrece las medidas de seguridad mínimas a implantar en la organización y los requisitos a seguir para un correcto tratamiento de las imágenes captadas mediante cámaras”, añadieron desde la AEPD.

¿Qué deben tener en cuenta los negocios cuando reciben currículums?

El primer tratamiento de datos personales se produce durante la fase previa a la contratación, es decir, en el proceso de selección. La mayoría de las ofertas de empleo solicitan a los candidatos que envíen sus currículums para conocer los detalles de su vida laboral. Para el correcto tratamiento de la información es importante conocer una serie de puntos clave:

  • El tratamiento de datos personales durante el proceso de selección no exige el consentimiento de la persona candidata, tal y como refleja el artículo 6.1.b) del RGPD. El tratamiento de datos es lícito cuando resulta necesario para la aplicación a petición de la persona trabajadora de medidas precontractuales o la intención de concluir un contrato.
  • Cuando los recursos lo permitan, es conveniente disponer de impresos tipo para la formalización del currículum y de un procedimiento para su entrega. Esto permite informar al candidato de forma adecuada, pero también definir con precisión el tipo de datos a tratar. 
  • En caso de realizar algún tipo de anuncio o convocatoria, deberá incluirse la información del artículo 13 del RGPD.
  • Si se recibe un currículum sin haberlo pedido previamente mediante anuncio o convocatoria, deberán fijarse procedimientos de información y confirmar que el candidato conoce las condiciones en las que se desarrollará el tratamiento de sus datos.
  • El deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.