Una denuncia tras responder a una oferta de trabajo pone en aprietos a cientos de empresas españolas
La denuncia ante la Agencia Española de Protección de Datos (AEPD) de un candidato a un puesto de trabajo y la multa de 2.000 euros a la empresa que lo ofrecía podría servir de toque de atención a todas las compañías que están incurriendo, sin saberlo o intencionadamente, en el mismo error que la ahora sancionada. Este tiene que ver con no informar a quienes les envían su currículum al inscribirse en una selección abierta del tratamiento que tendrán sus datos.
El origen del proceso está en la denuncia del demandante de empleo. Este se enteró de la oferta a través de un portal de ofertas de trabajo y, como se indicaba en la resolución, envió su CV a la empresa en cuestión a través del número de WhatsApp habilitado para la recepción de candidaturas. El aspirante alega que en ningún momento fue informado de cuál sería el tratamiento que darían a sus datos personales. Una práctica relativamente común cuando se participa en procesos de selección. Lo normal en muchos casos es que los aspirantes se inscriban o envíen sus currículum si siquiera un acuse de recibo por parte del destinatario de los mismos. Por lo que se desconoce si esos datos serán destruidos, archivados para futuros procesos o tendrán algún uso específico.
La queja del demandante es que el demandado no le informó ni del tratamiento de los datos, ni tampoco de cómo y por qué canales podía ejercitar sus derechos ante el responsable del tratamiento de los mismos. La resolución de la AEPD, que ha sido publicada íntegra en su portal, deja patente que la empresa en cuestión carece de un delegado de protección de datos (DPD), figura que se encarga de este tipo de gestiones. Además, señala el texto, tampoco en su web se pueden consultar de manera apropiada sus políticas en este sentido.
Desde la Agencia de Protección de Datos consideraron que había información suficiente para iniciar una investigación y así lo hicieron dando a la demandada la oportunidad, como corresponde, de presentar alegaciones y pruebas que contradijesen las facilitadas por el demandante. No lo hizo y se inició el proceso sancionador.
La resolución de la AEPD recoge que “se considera que los hechos expuestos constituyen, por parte del reclamado, una infracción a lo dispuesto en el artículo 13 del RGPD”. A la hora de imponer la sanción, establecen que no teniendo “infracciones previas”, no habiendo “obtenido beneficios directos” y no teniendo “la consideración de gran empresa” la sanción que le imponen es de 2.000 euros “por la infracción del artículo 13 del RGPD, de conformidad con el artículo 58.2 del RGPD”. Dicho artículo establece la "información que deberá facilitarse cuando los datos personales se obtengan del interesado".
La resolución de esta denuncia que ha acabado en multa y que firma Mar España Martí, directora de la Agencia Española de Protección de Datos, podría abrir la puerta a otras similares dado que no responder a los candidatos con un acuse de recibo (y mucho menos para informarles del tratamiento que recibirán sus datos) es una práctica común en los procesos de selección.