Si trabajas en Recursos Humanos sabrás que hay una nueva norma que debes tener en cuenta. Se trata del Reglamento Europeo de Protección de Datos, RGPD. ¿Sabes cómo te afecta? Si soy de RRHH, ¿qué hago? ¿Puedo guardar los CV de los candidatos con la nueva RGPD? Lo vemos en este post.  

¿Cuáles son los principales cambios en la ley europea RGPD?

El Nuevo Reglamento Europeo de Protección de Datos, RGDP, entró en vigor el 25 de mayo de 2018. Sustituye a la LOPD, Ley Orgánica de Protección de Datos española. En cuanto al reclutamiento de datos, los cambios más importantes son :

  1. Tiene que haber consentimiento expreso. Tiene que haber un “sí” inequívoco. Con la antigua ley se permitía el consentimiento por omisión o tácito. Ahora no. Los candidatos tienen que dar su permiso, mediante una acción clara y afirmativa, a la recogida y uso de sus datos personales.
  2. Información clara y concisa. Otra de las novedades del RGPD es el deber de informar al candidato. Hay que hacerlo de manera concisa, transparente e inteligible. Si se hace por escrito, debe estar redactada en lenguaje sencillo. El texto debe estar perfectamente visible y en un lugar de fácil acceso. Por otro lado, la empresa debe describir con detalle el tratamiento que le va a dar a esa información. O si se van a trasladar esos datos a otras empresas.
  3. Derecho a copia de sus datosEl candidato puede solicitar en cualquier momento una copia de sus datos. Y el empleador se los tiene que dar de manera estructurada y en un formato que le permita la lectura mecánica.
  4. Notificación de violaciones de seguridad. Si el reclutador sufre un ataque informático y se ve afectada la base de datos, deberá informar al candidato. Tiene un máximo de 72 horas para hacerlo. Esto no será necesario si la vulneración no implica riesgos para los derechos y libertades de los afectados.
  5. Borrados o bloqueados. Desaparece el Registro de Actividades de Tratamiento, que era un registro interno. Ahora los datos solo se puede conservar si están actualizados. Si los documentos pasan más de dos años sin ninguna novedad serán borrados o bloqueados.

¿Puedo guardar los CV de los candidatos con la nueva RGPD?

¿Tengo que borrar periódicamente la base de datos por la RGPD?

No, no hay que borrar periódicamente la base de datos de los candidatos a un puesto de trabajo. Pero sí hay que asegurar que su almacenamiento cumple la normativa. Si en un momento no has recogido el consentimiento expreso del dueño del CV, debes hacerlo ahora De igual modo, si tienes su consentimiento pero han pasado 24 meses, debes actualizar los datos. Y si no puedes, no los uses. Bloquea dicho informe. O elimínalo.

Es aconsejable emplear únicamente documentos digitales. Si almacenamos CV en papel no tendremos claro cuánto tiempo ha pasado desde que nos lo han dado. Ni tampoco podremos actualizarlos. Así que corremos el peligro de infringir la RGPD. Por ello, aunque no hay ninguna prohibición normativa, el consejo es no tener Excel o PDF impresos.

La RGPD pide a las empresas que analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. El objetivo es aplicar las medidas adecuadas para proteger la privacidad de las personas.

¿Cómo actuar si recibo un CV para no incumplir la RGPD?

Cuando un candidato a un empleo nos entrega un CV en mano, lo correcto sería darle una información mínima. Le explicaríamos quién va a ver sus datos. Con qué objetivo. Y también se le diría el tiempo que la empresa guardaría esa información. Posteriormente, se le pediría su consentimiento expreso para hacer uso de su CV. Es recomendable que este consentimiento se haga por escrito. Así, llegado el caso, podríamos demostrarlo ante la Agencia de Protección de Datos.

Puede que el CV no nos lo den en mano, sino que nos llegue a través de la web. En este caso, tras el formulario de recogida de datos hay que incluir una casilla. En ella, el interesado debe marcar haber leído la política de privacidad. Con ella marcada se entiende que nos da el consentimiento para el uso de sus datos.

Podemos seguir contactando con candidatos a través de un email recabado en Internet. Pero solo podremos hacerlo si está claro el interés del candidato en ser contactado para el puesto de trabajo. Por ejemplo, si está publicada en LinkedIn o en un portal de empleo. Entonces es evidente que el candidato está dispuesto a que le escriban reclutadores.

¿Puedo guardar los CV de los candidatos con la nueva RGPD?

¿Por cuánto me pueden sancionar?

Si no cumples con las directrices que te hemos explicado, te sancionarán. Y las sanciones son mucho más graves que en la antigua LOPD (Ley Orgánica de Protección de Datos). Por ejemplo,  tratar datos sin el consentimiento de un candidato sería un incumplimiento grave. Podrían multar a tu empresa con hasta 20 millones de euros o el 4% del volumen de la facturación anual. En este caso, sería elegida la cifra más grande.

Esta sanción está muy lejos de los 600.000 euros máximos que la LOPD hizo pagar a una empresa española. No hay que olvidar que el RGPD es una ley europea. Y tiene como objetivo proteger a todos los ciudadanos de la UE ante los ataques a su privacidad. Es decir, mientras la compañía procese o almacene datos personales de residentes en la UE, está obligada a cumplir sus preceptos. Facebook o Amazon, por ejemplo, aunque son empresas americanas, estarían obligadas a cumplir este reglamento europeo.

La figura del responsable de protección de datos dentro de la empresa

La RGPD establece la figura de Delegado de Protección de Datos (DPD). Éste sería el encargado de adoptar todas las medidas necesarias para garantizar que se cumplen todos los principios de la ley europea. Por eso muchos aconsejan incorporar la figura del Delegado de Protección de Datos.

Este profesional solo sería obligatorio en organismos públicos, aunque es bienvenida su presencia también en la empresa privada.

Ha de ser nombrado por su conocimiento de la legislación y práctica de la protección de datos. Y será el responsable de que la empresa cumpla todas las normas aplicables al RGPD. La ley establece además, que estos profesionales deben tener “total autonomía en el ejercicio de sus funciones”. Señalan el RGPD como “necesario-” que se relacionen con el nivel superior de la dirección. Y señalan ” obligatorio” que se le faciliten todos los recursos necesarios para desarrollar su actividad.

Rate this post