Obligacions de protecció de dades en la recepció de currículums

Obligacions de protecció de dades en la recepció de currículums

 

L’Agència Espanyola de Protecció de Dades ha sancionat a una empresa per incompliment de la normativa de protecció de dades, al no informar a un candidat que li va remetre el seu currículum, respecte del tractament a realitzar amb les seves dades personals.

 

El candidat va respondre a una oferta de treball remetent el seu currículum per WhatsApp, seguint les indicacions de l’empresa ofertant. Un cop rebut el currículum, l’empresa no li va facilitar cap informació relativa al tractament que s’anava a efectuar amb les seves dades personals, ni sobre els drets que podia exercir davant el responsable del tractament, tot i que van ser requerits expressament pel candidat.

Davant aquesta actuació, l’afectat va presentar denúncia davant l’Agència Espanyola de Protecció de Dades (AEPD), que va iniciar un procediment sancionador. Després de la notificació a l’empresa, aquesta no va presentar al·legacions ni proves negatòries dels fets denunciats.

L’AEPD considera que la recollida de dades de caràcter personal a través de formularis inclosos en una pàgina web constitueix un tractament de dades, respecte de el qual el responsable del tractament ha de donar compliment a la normativa (RGPD art.13).

En aquest supòsit, es constata que la pàgina web de l’empresa no identifica de manera apropiada al seu responsable, ni els drets que assisteixen als usuaris, ni les vies a utilitzar per al seu exercici. L’AEPD considera que aquests fets constitueixen una infracció de la normativa de protecció de dades, i els sanciona amb multa de 2.000 €.

Recepció de dades a través de currículums

Les direccions de RRHH obtenen gran quantitat d’informació sobre professionals a través dels currículums rebuts. Per respectar la protecció de dades del currículum és necessari informar l’interessat sobre on van a emmagatzemar aquestes dades, per a què anem a usar-los i on poden exercir els seus drets si volen cancel·lar, rectificar o oposar-se a aquest tractament.

Quan s’ha de sol·licitar el consentiment de tractament de dades?

Sempre que rebem un currículum hem de demanar el consentiment a titular per poder tractar les dades personals incloses en el mateix. Aquest consentiment s’ha d’atorgar per escrit o, en qualsevol cas, de manera expressa.

En cas de no rebre el consentiment del tractament de dades del candidat hem de destruir el CV.

Limitacions en la gestió de dades del CV

Tant el RGPD com la LOPD-GDD estableixen limitacions a les empreses en la gestió de les dades rebudes a través de currículums:

– El tractament de dades personals d’un CV ha de complir amb el principi de minimització de dades, és a dir, que no es podran demanar més dades sobre el candidat dels estrictament necessaris per avaluar el seu perfil professional.
– Els currículums només es podran guardar durant el temps necessari per complir la finalitat de el tractament, no mantenint-aquells que continguin dades desactualitzats. En cap cas el termini de conservació podrà ser superior 24 mesos.
– Els CV en paper s’han de destruir, mentre que els de format digital s’hauran esborrar de tots els mitjans de recepció i dels dispositius on estiguin emmagatzemats.
– Tot el personal que hagi tingut accés a la informació d’un CV ha de guardar confidencialitat de les dades incloses en el mateix.

 

 

 

Compartir a:

Deixar comentari

*