Protecció de dades en els processos de selecció


L’RGPD defineix les dades personals com: “tota informació sobre una persona física identificada o identificable (…)” i tractament com: qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, registre, organització, estructuració, conservació (…)”. Seguint amb aquestes pautes l’entrega d’un CV en format físic o electrònic suposa un tractament de dades sotmès a la normativa de protecció de dades.

A continuació, abordarem tres de les qüestions més rellevants en relació amb el procediment de recepció de CV.

És necessari el consentiment de la persona durant el procés de selecció per a realitzar el tractament de les dades?

No, el tractament de dades durant el procés de selecció no exigeix el consentiment de la persona interessada.

L’article 6.1 b) de l’RGPD estableix que el tractament serà lícit si és necessari per executar un contracte en què l’interessat (en aquest cas, la persona candidata) és part o per a l’aplicació de mesures precontractuals sol·licitades per aquesta part. També hem de tenir en compte el considerant 44 de l’RGPD que específica que: “El tractament ha de ser lícit quan sigui necessari en el context d’un contracte o de la intenció de concloure un contracte”.

En cas de què les dades incloses en el CV s’utilitzin després per a altres fins, per exemple, comercials, implicarà que necessitarem una altra base jurídica, com el consentiment o l’interès legítim.

Com podem informar a la persona candidata?

El deure d’informació s’haurà de dur a terme per mitjans que permetin provar el compliment i es conservarà mentre duri el tractament.

La recepció de CV pot venir per dues vies diferenciades, per un anunci o convocatòria on l’empresa en qüestió indiqui que té una vacant o per l’entrega de la persona candidata del seu CV.

En el primer cas a l’anunci o convocatòria s’haurà d’incloure la informació de l’art. 13 de l’RGPD. En el segon supòsit l’empresa haurà de fixar un procediment d’informació que permeti confirmar que s’informa al candidat correctament.

En cas de què el CV s’enviï per correu electrònic o postal es podrà enviar la informació a l’adreça del remitent i esperar la confirmació per iniciar el tractament. En cas de què s’entregui físicament s’haurà d’informar allí per qualsevol mitjà que permeti l’acreditació, per exemple, mitjançant cartells.

Com es pot regular l’enviament de CV? Existeix algun límit a la informació que l’empresa pugui demanar?

Es recomana establir un únic canal per a l’enviament, de manera que sigui més fàcil controlar-lo, per exemple, via formulari tipus on es demani la informació necessària i en aquest mateix es doni la informació requerida per la normativa. S’han de respectar els principis de minimització i limitació i no demanar informació de manera indiscriminada, sinó, únicament aquelles dades rellevants per al lloc.

Per al cas de què arribin CV per altres mitjans se’ls pot indicar que ho enviïn pel mitjà establert.

Sancions

Com hem comentat a l’inici de l’article, aquest tractament es troba subjecte a la normativa de protecció de dades i el seu incompliment pot arribar a sancions.

El passat 23 de juliol de 2021 l’Agència va interposar una sanció de 2.000 € a una empresa per incomplir amb l’esmentat art. 13 de l’RGPD, al no proporcionar al candidat la informació relativa al tractament de les seves dades ni la possibilitat d’exercitar els seus drets davant el responsable del tractament.

Us seguirem informant, i si necessiteu més referències, no dubteu en contactar amb nosaltres, estem a la vostra disposició!

L’Equip de PymeLegal