En el proceso de selección de personal, las empresas manejan una gran cantidad de datos personales a través de los currículums que reciben. Sin embargo, el tratamiento de esta información está sujeto a la normativa del Reglamento General de Protección de Datos (RGPD), lo que implica una serie de obligaciones para garantizar la privacidad y seguridad de los candidatos.

1. Recolección y Base Legal para el Tratamiento de los Datos

El primer aspecto que una empresa debe considerar al recibir un currículum es la base legal sobre la cual tratará estos datos. Según el RGPD, las bases legales más comunes para el tratamiento de currículums son:

• Consentimiento del candidato: Si la empresa desea conservar el currículum para futuras oportunidades, debe solicitar el consentimiento explícito del candidato. Este consentimiento debe ser libre, específico, informado e inequívoco.
• Ejecución de medidas precontractuales: Si el tratamiento de los datos es necesario para evaluar la candidatura y tomar decisiones sobre la contratación, puede justificarse sin necesidad de consentimiento adicional.

2. Principios de Minimización y Limitación del Plazo de Conservación

El RGPD establece el principio de minimización de datos, lo que significa que la empresa solo debe recopilar y tratar aquellos datos estrictamente necesarios para el proceso de selección. Asimismo, los currículums no pueden almacenarse indefinidamente. Un plazo de conservación razonable suele situarse entre 6 meses y 1 año, salvo que el candidato haya dado su consentimiento para un período mayor.

3. Información y Derechos de los Candidatos

Las empresas tienen la obligación de informar a los candidatos sobre el tratamiento de sus datos. Esta información debe incluir:

• Quién es el responsable del tratamiento.
• La finalidad del tratamiento de los datos.
• La base legal que lo justifica.
• El plazo de conservación de los datos.
• Los derechos del candidato (acceso, rectificación, supresión, oposición y portabilidad).
• Dónde pueden ejercer sus derechos.

Esto suele proporcionarse en una política de privacidad o mediante una cláusula informativa en el proceso de recepción del currículum.

4. Seguridad en el Tratamiento de Currículums

El almacenamiento de currículums debe garantizar su seguridad y confidencialidad. Algunas buenas prácticas incluyen:

• Acceso restringido: Solo el personal autorizado debe manejar estos datos.
• Medidas técnicas de seguridad: Uso de cifrado, antivirus y sistemas de control de accesos.
• Eliminación segura: Una vez finalizado el período de conservación, los currículums deben eliminarse de forma segura para evitar accesos no autorizados.

5. Ejemplo Práctico de Buenas Prácticas

Imaginemos que una empresa de tecnología, Lolpc, abre un proceso de selección para un puesto de desarrollador. La empresa recibe numerosos currículums y, para cumplir con el RGPD, aplica las siguientes medidas:

1. Al recibir los currículums, informa a los candidatos mediante un aviso en su página web sobre el tratamiento de sus datos.
2. Almacena los currículums en una base de datos protegida, accesible solo para el departamento de RRHH.
3. Solo conserva los currículums durante 6 meses, eliminándolos de manera segura una vez finalizado este plazo.
4. Si desea mantener un currículum por más tiempo, solicita consentimiento explícito al candidato.

Gracias a estas medidas, Lolpc garantiza el cumplimiento del RGPD, protegiendo la privacidad de los candidatos y evitando posibles sanciones.