Actualidad

31 Agosto 2021

PROTECCIÓN DE DATOS MULTA A UNA EMPRESA POR CAPTAR CURRÍCULUMS SIN DAR 'ACUSE DE RECIBO'

 

No dar respuesta sobre el proceso de selección puede suponer una multa de 2.000 € para las empresas.

 

 

El 23 de agosto la Agencia Española de Protección de Datos publicó la resolución por la que sanciona a una empresa con 2.000 Euros por no dar acuse de recibo del cv a la persona remitente. En concreto, el reclamante envió el CV a través de WhatsApp, siguiendo las instrucciones de la oferta publicada en un portal de empleo en internet.

 

Al no facilitarle información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, este decidió formalizar una denuncia ante la AEPD. En ella, también aportó un pantallazo de la web corporativa en la que constaba que solo se mostraba una dirección postal, un correo electrónico y el número de teléfono; no había referencias a quién era el responsable del tratamiento o el delegado de protección de datos. Después de que la empresa no respondiera a su requerimiento de información, el organismo inició un procedimiento sancionador.

 

 En su resolución, la AEPD determina que la recogida de datos a través de formularios incluidos en portales web «constituye un tratamiento de datos», por lo que su responsable queda sometido a las exigencias del Reglamento europeo de privacidad (RGPD). En este sentido, la norma comunitaria define «dato personal» como «toda información sobre una persona física identificada o identificable» (lo que incluye, por ejemplo, el nombre, su número de DNI, etc.), y «tratamiento» como «cualquier operación o conjunto de operaciones realizada sobre datos personales», como la recogida, el registro o su utilización, entre otras.

 

 Constatado, por tanto, que la captación de currículums supone el tratamiento de datos personales, la resolución recuerda que los responsables están obligados a facilitar determinada información a los ‘propietarios’ de los mismos. En concreto, según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado (entre ellos, los de acceso, rectificación, supresión u oposición).

 

 

Tras analizar las circunstancias del caso, la AEPD entiende que la empresa titular de la oferta ha infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».

 

Al no tener la compañía reclamada infracciones previas, ni haber obtenido beneficios directos de su conducta, ni estar considerada como gran empresa, la Agencia «gradúa» la sanción y a fija en una cuantía de 2.000 euros. Contra la resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.

 

Ver resolución de la AEPD: https://www.aepd.es/es/documento/ps-00237-2021.pdf