La protección de los datos personales es una materia aplicable en todo momento en la empresa, hasta cuando se trata de un candidato aún no incorporado.
El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 en su artículo 13 dispone que, para que el tratamiento de datos personales de las personas físicas sea legítimo, y, siempre y cuando los datos se obtengan del propio interesado, se le deberá facilitar a dicha persona cierta información, que, como mínimo debe hacer referencia a los siguientes extremos:
- Identificación del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación del tratamiento
- Plazo de conservación de los datos
- Los destinatarios de estos datos
- Los derechos que asisten a esa persona
De lo anterior nos surge el interrogante de que hacer en el caso de que un candidatos o una persona nos haga llegar su curriculum.
¿Qué se debe hacer cuando una empresa/profesional autónomo obtienen datos personales del interesado a través de su curriculum vitae?
Antes de entrar en materia, recordemos que, de acuerdo a la nueva normativa, cuando se reciban datos personales de personas físicas, debemos tener en cuenta dos aspectos fundamentales: de un lado, la obligatoriedad de contar con el consentimiento del titular de los datos y, en segundo término, el derecho a ser informado sobre el tratamiento que recibirán estos datos.
A este respecto, debemos diferenciar si los referidos curriculums han sido entregados de manera física (entrega en mano), o automatizada (entrega a través de una página web o de correo electrónico).
Protección de Datos personales cuando se entrega físicamente el curriculum
La empresa o el profesional autónomo receptor del curriculum en cuestión, deben proporcionarle al candidato (preferiblemente por escrito ya que la carga de demostrar que se cumple con la normativa recae sobre el Responsable del Tratamiento) todos los aspectos enunciados en la introducción del presente artículo.
Ahora bien, haber informado al interesado, no implica haber obtenido su consentimiento, el cual es necesario para que el tratamiento de datos sea lícito.
Por ello, desde ATEA COMPLIANCE recomendamos que, una vez se le entregue toda esta información al candidato, se le requiera a que firme el correspondiente acuse de recibo de esta comunicación.
Protección de Datos personales cuando se entrega de forma automatizada del curriculum,
vamos a plantear las tres situaciones más habituales en el tráfico ordinario de una empresa:
- En el caso de que se entregue a través de la página web, porque, por ejemplo, la misma disponga de un apartado específico para ello, con carácter previo a que el candidato envíe el curriculum, se deberá incluir una casilla a marcar a través de la cual el candidato declare haber leído la política de privacidad (donde deberán quedar contemplados todos los aspectos que exige la normativa), cumpliendo así con el doble deber de informar y de contar con el consentimiento del interesado para el tratamiento de sus datos personales.
- En el supuesto de que el curriculum se entregue a través de correo electrónico, una vez éste haya sido visualizado, el remitente deberá informar al candidato de los ya reiterados aspectos que exige la normativa en materia de protección de datos.
- En el supuesto de que el currículum se remitiera por correo postal o electrónico y se cuente con una dirección electrónica facilitada por el propio interesado, podría remitírsele a este la información correspondiente por ese medio solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo.
Por último, cabe señalar que, en el supuesto de grupos de empresas o de cualquier otra fórmula de colaboración empresarial, se deberá tener en cuenta que la cesión de los datos contenidos en el currículum, o del propio documento debe contar con el consentimiento del candidato.
En Atea Compliance, hacemos consultoría jurídica en materia de Protección de datos de carácter personal y nuevas tecnologías. Podemos asesorarte en todo los que necesites…