Reclutamiento | Reclutamiento 2.0 | Selección de Personal | LOPD | RRHH | Estrategia de Reclutamiento
En el Webinar que realizamos sobre la Ley de Protección de Datos en el Reclutamiento y la Selección dónde hablamos de reclutar y de los RRHH cumpliendo con la normativa vigente, surgieron muchas dudas por parte de los reclutadores sobre cómo recoger datos de los candidatos, los derechos ARCO o cómo gestionar los currículums.
Hemos querido recoger algunas de ellas y responderlas en este post. Si quieres ver el webinar entero puedes acceder aquí: La LOPD en el Reclutamiento y la Selección
1. ¿Hay que disponer de alguna plataforma para los usuarios y sus derechos ARCO? O con un "para modificar, cancelar, etc. llame a..." se cumpliría la ley?
La ley obliga a las Entidades que traten datos de carácter personal a poner a disposición de los interesados los mecanismos para poder ejercitar los derechos ARCO, sin entrar en el detalle de qué tipo de procedimiento deben aplicar. Por lo que no se necesita una plataforma expresamente.
Se recomienda informar al interesado de una dirección de correo electrónico a la que dirigirse para ejercitar dichos derechos (sin ser necesario que sea de uso exclusivo para este fin), de forma que la vía telemática sea la utilizada para el ejercicio de derechos, al igual que la utilizada para el alta.
El uso de un teléfono no es recomendable si no se puede garantizar que se puede identificar al usuario que ejerce sus derechos.
2. ¿Qué nivel de seguridad se aplican a las pruebas psicotécnicas (personalidad y actitudinales) en la selección de personal y RRHH?
De los tres niveles de seguridad de datos definidos en el RD 1720/2007 los datos contenidos en pruebas psicotécnicas se consideran datos de nivel medio, dado que permiten obtener el perfil de una persona, excepto que en las preguntas se soliciten datos especialmente protegidos (salud, tendencias sexuales, ideología, etc.) o se puedan averiguar como consecuencia de las preguntas.
3. ¿Qué medidas a nivel de LOPD debemos seguir cuando la información que tenemos del candidato es su Linkedin? ¿Qué medidas legales hay que seguir?
En tratamiento de datos de carácter personal se deberán aplicar aquellas medidas de seguridad que sean necesarias en función del nivel de seguridad de los datos (básico, medio o alto) y del tipo de soporte que utilicemos para su tratamiento (ficheros informáticos o documentación). En el ámbito de selección de personal el nivel habitual de aplicación de medidas es el equivalente a nivel medio.
Además de esto, la medida básica que siempre se debe aplicar es el derecho de información: no podemos recoger datos de personas sin informarles previamente ni sin tener su consentimiento. Internet no es un fuente considerada de acceso público en la que podamos captar información libremente sin restricciones.
4. Para los CV en formato papel, ¿qué nos podéis aconsejar?
Esta cuestión nos es planteada de forma frecuente por parte de nuestros clientes, dado que en la coyuntura económica actual la recepción de CV en papel ha sido incrementada de forma exponencial.
Nuestro consejo es que conservéis únicamente los datos de contacto de aquellos perfiles que os resulten interesantes y procedáis a destruir de forma controlada y confidencial los documentos recibidos.
Si la recepción de CVs está reglada se deberá informar al usuario del tratamiento de sus datos dentro del proceso que se utilice (formularios papel o web, entrevista, etc.); si se trata de CVs espontáneos recomendamos remitir un correo electrónico informando de estos mismos principios a los candidatos que deseemos conservar.
Además sobre los CVs que se conserven se deberán aplicar las medidas de seguridad de nivel nivel medio: establecer criterios de archivo, determinar usuarios autorizados, etc.
5. ¿Se debe contestar a todos los CV que entran en la empresa, sean o no, seleccionados para el proceso?
Efectivamente se debe responder a cualquier persona que os remita un CV, independientemente que su inclusión o no en procesos de selección.
En esta contestación debéis informarle de la inclusión de sus datos en ficheros titularidad de vuestra compañía, la finalidad para la que utilizareis los datos y los canales que el interesado puede utilizar para ejercitar los derechos ARCO.
En el caso de los CVs espontáneos se debería hacer como mínimo con aquellos que se conserven, destruyendo el resto si no van a ser tratados
6. Si queremos seleccionar una persona con discapacidad, ¿podemos publicar una oferta indicándolo?
Si, no hay ninguna problemática con solicitar en una oferta laboral que el candidato determine si posee o no certificado de minusvalía. Este dato no incrementaría el nivel de sensibilidad del currículum ni las medidas a aplicar.
Incluso sería posible solicitar el tipo y detalle de minusvalía pero entonces los datos tratados serían de nivel alto y conllevaría la aplicación de medidas técnicas adicionales y el requerimiento de contar con la autorización expresa del candidato para el tratamiento de la información.
Por otro lado, no recomendamos que en una oferta laboral se restrinja a minusválidos a aplicar, puesto que esto podría ser considerado discriminatorio al igual que restringir la oferta por motivos de sexo o edad.
7. ¿Cómo registro que un usuario ha concedido o denegado permiso para usar sus datos? ¿Debo guardar el correo, documento, etc.?
Cuando se registre un usuario se debe conservar alguna evidencia del proceso, forma, fecha en la que se dio de alta, etc.
El mecanismo depende completamente del sistema informático empleado: si se remite correo electrónico se debe conservar este correo, si se da de alta en un formulario la base de datos y/o aplicación debe registrar esta información y asociarlo a la política de privacidad aceptada, etc.
Hay softwares de reclutamiento, cómo puede ser Talent Clue, que envían automáticamente un email solicitando el consentimiento y registrando si el candidato ha aceptado o lo ha denegado y en que fecha.
8. ¿La empresa tiene la obligación de eliminar los datos de los candidatos de más de 1 año de antigüedad?
La LOPD no establece un plazo máximo a partir del cual sea obligatorio eliminar los datos de carácter personal para caso, únicamente que deben ser cancelados cuando hayan dejado de ser necesarios.
En el caso de selección de personal el plazo máximo recomendable para dejar de hacer uso de los datos es de un año; puesto que en ese periodo un CV no actualizado pierde su validez por poder estar desactualizado.
El no tratar los datos no implica el eliminarlos; puesto que pueden conservarse por diversos motivos que deben estudiarse en cada caso: evidencia de un servicio dado a un tercero, transparencia en un proceso de selección, etc. que pueden fijar un tiempo mínimo de conservación (4 años por ejemplo en el caso que estén ligados a un servicio que pueda ser motivo de inspección tributaria, etc.)
Si estas excepciones no se dan, no se recomienda conservar los CVs y proceder a eliminarlos de forma que no pueda reutilizarse (destrucción controlada de documentación o formateo de ficheros informáticos) pasado el tiempo en que finalizó el proceso y – como recomendación – con un máximo de 1 año de antigüedad.
Si quieres realizar un diagnóstico sobre la situación de tu empresa en términos de la LOPD de la mano de Tarsys lo puedes realizar aquí: Diagnóstico
Escrito por:
Miguel Ángel Martínez Ayuso- Director de Tarsys. Ingeniero de Telecomunicación. MBA, auditor certificado CISA, CISM, CGEIT y CDPP. Más de 15 años de experiencia en consultoría de seguridad de la información y protección de datos.