La protección de datos durante los procesos de selección, ¿dónde entra en juego el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una normativa europea que tiene como principal objetivo garantizar la protección de los datos personales de los ciudadanos de la Unión Europea. Su propósito fundamental es otorgar a las personas un mayor control sobre sus datos personales y regular cómo deben ser utilizados.

• Límites en el tratamiento de datos

En caso de realizar anuncios o convocatorias públicas para la selección de personal, es imprescindible incluir la información exigida en el artículo 13 del RGPD “Información que deberá facilitarse cuando los datos personales se obtengan del interesado”  en el que nos detalla que el responsable del tratamiento debe proporcionar al interesado toda la información relevante sobre el uso de sus datos personales de manera transparente y leal, tales como quién es el responsable del tratamiento, la finalidad, legitimación, plazos de conservación y dónde y cómo ejercer los derechos de protección de datos.

Si un candidato envía su currículum sin que la empresa lo haya solicitado, es necesario contar con un procedimiento que garantice que dicha persona ha sido informada de las condiciones bajo las cuales se tratarán sus datos. Esto puede incluir un acuse de recibo o una confirmación explícita.

• Selección de personal y redes sociales

• Colaboración entre empresas

• Agencias de colocación y empresas de selección: Actúan como encargadas del tratamiento si han firmado un contrato con la empresa empleadora. En este caso, la base jurídica del tratamiento es la necesidad para la celebración del contrato de trabajo (art. 6.1.b del RGPD, "licitud del tratamiento", en el cual se recoge que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales), y no el consentimiento. Una vez concluido el proceso, los datos deben ser eliminados o devueltos.
• Cuando contactan sin una oferta concreta: Son responsables del tratamiento, ya que no actúan en nombre de una empresa concreta.
• Empresas de trabajo temporal (ETT): Son responsables del tratamiento porque son las empleadoras directas.
• Cesión de datos entre empresas: Requiere el consentimiento del candidato, incluso si ambas empresas pertenecen al mismo grupo.

• Decisiones automatizadas

El RGPD prohíbe con carácter general la toma de decisiones basadas únicamente en el tratamiento automatizado, “incluida la elaboración de perfiles cuando produzca efectos jurídicos en el interesado o le afecte significativamente o de modo similar”.

No obstante, estas decisiones se podrán llevar a cabo cuando sean necesarias para la celebración o ejecución de un contrato. En la medida en que resulta una excepción a la regla general, debe ser debidamente valorada e interpretada.

Resulta inadmisible que las decisiones basadas en la utilización de algoritmos y la elaboración de perfiles en el progreso de selección produzcan discriminación.

• Puede solicitar intervención humana si la persona afectada así lo solicita, además de un cauce para que esta persona exprese su opinión y en su caso, impugne la decisión. Asimismo, tendrá derecho a recibir una explicación de la decisión tomada después de tal evaluación, tal y como dispone el considerando 71 del RGPD;
• Debe recibir una explicación clara sobre cómo se tomó la decisión.

Transparencia y supervisión

Para que la intervención humana sea significativa, debe realizarse por una persona autorizada y con capacidad real de modificar la decisión. Además, el diseño del algoritmo debe evitar sesgos y ser sometido a una evaluación de impacto antes de su implementación.

• Categorías especiales de datos personales

• Reconocimientos médicos: En general, son voluntarios, salvo en actividades donde la ley los exige por riesgos laborales. No requieren consentimiento, ya que el RGPD permite su tratamiento con fines de medicina preventiva o evaluación de la capacidad laboral.
• Pruebas psicotécnicas o psicológicas: Las pruebas de personalidad o psicotécnicos requieren el consentimiento del candidato. Antes de aplicarlos, la empresa debe evaluar la proporcionalidad del tratamiento y garantizar medidas reforzadas de privacidad y confidencialidad.
  

• Acceder a los resultados de sus pruebas;
• Conocer los criterios de selección utilizados.

No son admisibles porque carecen de base jurídica, no son proporcionales y vulneran el principio de minimización de datos.

Garantizar la privacidad y el cumplimiento normativo en la gestión de estos datos es esencial en cualquier proceso de selección.

El cumplimiento del RGPD en los procesos de selección no es solo una obligación legal, sino también una garantía de transparencia, equidad y respeto por la privacidad de los candidatos. Desde la recopilación de currículums hasta la toma de decisiones automatizadas, cada etapa del proceso debe ajustarse a los principios de minimización, seguridad y confidencialidad de los datos personales.

Las empresas deben establecer procedimientos claros para la gestión de la información, asegurando que solo se traten los datos estrictamente necesarios y que los candidatos sean informados de forma transparente. Además, el uso de herramientas digitales y algoritmos en la selección debe evitar sesgos y garantizar el derecho a la intervención humana.

¿Quieres cumplir con la protección de datos en tu empresa? En Grupo CFI ofrecemos el servicio de implantación del RGPD/LOPDGDD en tu organización con un servicio totalmente personalizado, a medida y a un precio muy asequible al mes, con el fin de que puedas adecuar tus procesos a los requisitos que marca la normativa. ¿Tienes alguna duda? Puedes llamarnos sin compromiso al ☎️ 901 001 802.