Logotipo de DevSkiller TalentBoostLogotipo de DevSkiller TalentScoreEl logo de DevSkillerLogotipo de TalentBoostLogotipo de TalentScore

El dolor de cabeza del GDPR llega a la contratación en 2018 - resuelto por Krzysztof Dzioba de EY LAW

Publicado: Última actualización:

La web ha transformado el modo en que la gente busca trabajo y la forma en que las empresas contratan a los profesionales. Los candidatos rellenan formularios y envían voluntariamente su información personal o son identificados por los reclutadores en función de la información que deciden compartir en línea. En algunos casos, los datos de los candidatos que participan en el proceso de contratación se manejan mal.

El 25 de mayo de 2018 entra en vigor un nuevo reglamento de privacidad que aborda esta cuestión. Se llama Reglamento General de Protección de Datos (RGPD).

Aunque mayo de 2018 pueda parecer lejano, hay mucho que hacer, así que hay que empezar ya. El tiempo corre, pero las organizaciones aún están lejos de estar preparadas. Según un estudio de 2017 de TrustArc titulado "Privacidad y el GDPR de la UE", 61% de los participantes en la encuesta informaron que no han iniciado el proceso de implementación del GDPR. Para que conozca mejor el GDPR y sus implicaciones en el proceso de contratación, hablamos con Krzysztof Dzioba de Derecho de Ernst & Young Tałasiewicz, Zakrzewska y Wspólnicy sp.k.

Tabla de contenidos

1. ¿Qué es el Reglamento General de Protección de Datos (RGPD) y a quién se aplica?

El 4 de mayo de 2016, tras cuatro años de duras negociaciones, el RGPD ha sido publicado en el Diario Oficial. El reglamento supone un cambio de juego para todo tipo de organizaciones. El borrador final introduce retos de cumplimiento de la protección de datos más estrictos y prescriptivos, respaldados por multas de hasta 4% de los ingresos anuales globales. El Reglamento sustituirá a la Directiva 95/46/CE, que ha sido la base de la legislación europea sobre protección de datos desde su introducción en 1995. El RGPD entrará en vigor en toda la UE el 25 de mayo de 2018 sin que los Estados miembros deban aplicarlo.

El Reglamento tendrá un impacto significativo en las empresas de todos los sectores industriales, trayendo consigo cambios tanto positivos como negativos para las empresas en términos de coste y esfuerzo. Es probable que las organizaciones acojan con satisfacción la armonización de las leyes en todos los Estados miembros, lo que facilitará la navegación por el complejo panorama de la protección de datos a las organizaciones multinacionales. La introducción de nuevos derechos para las personas, como el derecho al olvido y el derecho a la portabilidad, así como la introducción de la notificación obligatoria de infracciones, probablemente aumentarán la carga normativa para las organizaciones.

Todas las empresas y algunas instituciones públicas que tratan datos personales (de clientes, empleados o contratistas) están obligadas a aplicar el RGPD.

Lo más importante es que el RGPD no exige soluciones técnicas específicas en materia de protección de datos. Establece que dichas soluciones deben ajustarse a los datos específicos y al riesgo relacionado con la violación de la protección de los datos personales. Las entidades que traten datos tendrán que demostrar que han evaluado el riesgo y aplicado las medidas adecuadas.

La protección de datos se complicó mucho y se convirtió en un proceso vivo, que debe ser supervisado y desarrollado constantemente.

2. ¿Cómo afecta el RGPD al proceso de contratación y al trabajo de los reclutadores en comparación con la anterior normativa de protección de datos personales?

En la mayoría de los casos, los datos personales de los candidatos y de los empleados están protegidos en base a leyes distintas de cada Estado miembro.

Debido al artículo 88 del RGPD, la misma norma se aplicará desde mayo de 2018. Se concedió a los Estados miembros el derecho a establecer normas más específicas en materia de protección de los derechos y libertades en relación con el tratamiento de los datos personales de los trabajadores en el contexto laboral. Por lo tanto, las normas a este respecto aún deben establecerse en cada país. Se espera que las diferencias puedan ser bastante significativas, por ejemplo, en lo que respecta a la biometría o a categorías específicas de datos personales.

El RGPD, por su parte, añadirá varios privilegios nuevos a los empleados y a los candidatos, que podrían ser ajustados adicionalmente por las normativas nacionales.

También hay algunas normas nuevas relativas al consentimiento para el tratamiento de datos, que se mencionan a continuación.

3. ¿Cómo afecta el GDPR al primer contacto con el candidato? 4. ¿Qué tipo de consentimientos se requieren legalmente?

Debido al motivo 32 del RGPD, el consentimiento debe darse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca de que el interesado está de acuerdo con el tratamiento de los datos personales que le conciernen, como por ejemplo mediante una declaración escrita, incluso por medios electrónicos, o una declaración oral. El silencio, las casillas marcadas previamente o la inactividad no deben constituir un consentimiento.

En consecuencia, en el proceso de contratación el empresario debe informar al candidato, entre otras cosas, sobre:

  • los fines del tratamiento de datos personales,
  • el período durante el cual se almacenarán,
  • receptores de los datos,
  • el derecho a presentar una reclamación ante el organismo de control.

Formalmente, todos los candidatos deben ser informados por el empresario sobre las normas de tratamiento de datos, ya sea mediante un documento (adjunto o referido en la oferta de trabajo) o indicando la información requerida en el primer contacto.

4. ¿Existen diferencias entre el tratamiento de los datos personales de un candidato activo (que ha enviado su CV) y uno pasivo (cuyos datos se han encontrado en LinkedIn, GitHub, Twitter o Facebook)?

El empresario debe tratar los datos personales de los posibles empleados de acuerdo con los principios de fiabilidad, finalidad, adecuación y temporalidad.

El empresario debe tener en cuenta la necesidad de cumplir con la obligación de información hacia el candidato activo. El alcance de la información puede variar en función de si el empleador obtiene el CV de un tercero o directamente del candidato.

El tratamiento de los datos de los candidatos pasivos requiere una base jurídica determinada, como el interés legítimo. La recopilación de información en las redes sociales tiene que estar relacionada únicamente con fines empresariales. En otras palabras, los empleadores solo pueden recoger y procesar datos personales de los candidatos siempre que estos datos sean necesarios y relevantes para el desempeño del trabajo.

Básicamente, la diferencia en el tratamiento de los datos personales de los candidatos se debe a la base jurídica del tratamiento. El candidato activo da su consentimiento y los datos de los candidatos pasivos se tratan sobre la base del interés legítimo del empleador. No obstante, el contacto inicial con dicho candidato debe abarcar las obligaciones de información del empleador.

5. ¿Qué se considera como datos personales según el RGPD?

Según el RGPD, se entiende por "datos personales" cualquier información relativa a una persona física identificada o identificable. Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.

Básicamente, cualquier información que pueda identificar a una persona determinada es un dato personal.

Mientras que una determinada información para una determinada entidad funcionará como datos personales, no lo hará otra. Los costes o el tiempo excesivos para identificar a una determinada persona hacen que esa información no pueda considerarse un dato personal.

6. ¿Obtienen los candidatos algún derecho para proteger sus datos recogidos en el proceso de contratación? ¿Cuáles son sus derechos?

Con el RGPD, los candidatos tendrán más derechos en el ámbito del tratamiento de sus datos en la fase de contratación y el empresario tendrá que garantizar su aplicación. Por ejemplo, los datos de un candidato pueden ser tratados sobre la base de su expresión voluntaria y consciente de voluntad. El consentimiento no puede presumirse y los usuarios tendrán derecho a retirarlo, pero debe ser un proceso igual de sencillo que el consentimiento.

El GDPR, como ya se ha dicho, implementa derechos que no están excluidos del proceso de contratación, por ejemplo:

  • el derecho a ser informado del uso que se hará de los datos personales,
  • el derecho de acceso,
  • el derecho de rectificación de los datos inexactos o incompletos,
  • el derecho al olvido en determinadas circunstancias,
  • el derecho a bloquear o suprimir el tratamiento de los datos personales,
  • el nuevo derecho a la portabilidad de los datos.

Los Estados miembros podrían aclarar cómo pueden ejercer esos derechos los trabajadores durante el proceso de contratación.

7. ¿Cómo afecta el RGPD a los candidatos que participan pero no son seleccionados? Pueden almacenarse legalmente sus datos y, en caso afirmativo, en qué medida?

Los empleadores no deben almacenar los datos de los candidatos (incluido el CV) durante un periodo superior a la duración de un determinado procedimiento de contratación.

Como indica el órgano consultivo europeo en materia de protección de datos personales -el Grupo de Trabajo art. 29- en el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, afirmó que "dos datos recogidos durante el proceso de contratación deben eliminarse, por lo general, tan pronto como quede claro que no se hará una oferta de empleo o que ésta no será aceptada por la persona en cuestión. El individuo también debe ser correctamente informado de cualquier tratamiento de este tipo antes de participar en el proceso de contratación."

Recuerde que los datos personales no sólo se refieren a los CV. También hay que eliminar la información almacenada sobre los candidatos en el proceso de entrevistas.

Si los empleadores desean procesar estos datos durante un periodo de tiempo más largo, por ejemplo, con el fin de una posterior contratación, deben tener una base legal adecuada, como el consentimiento del candidato.

Sin embargo, el tratamiento de los datos recogidos en el proceso de contratación puede durar más tiempo, en caso de interés legítimo (por ejemplo, para defenderse de reclamaciones relacionadas con la discriminación). Debe vigilarse estrictamente que, en tal caso, los datos no se utilicen para otros procesos de contratación u otros fines.

8. ¿Pueden los candidatos exigir legalmente que se eliminen sus datos obtenidos en el curso de la contratación? ¿Tienen derecho a obtener sus datos personales?

En virtud del derecho al olvido del RGPD, el candidato tendrá derecho a exigir al empresario que borre sus datos personales en determinadas circunstancias. Puede ocurrir cuando el empleado haya revocado su consentimiento.

El RGPD no excluye el derecho a obtener sus datos personales en el proceso de contratación.

De los actos de cada Estado miembro pueden surgir normas o requisitos adicionales al respecto.

9. ¿Cómo se aplica el GDPR al uso de herramientas externas (como ATS) en el proceso de contratación? ¿Qué parte es tratada como el administrador de datos y el procesador de datos?

En función del tipo de servicios prestados, el intercambio de datos entre el empresario y el proveedor de servicios de contratación puede adoptar la forma de una relación entre dos administradores o de un administrador y una persona que trate los datos personales a petición.

La respuesta a la pregunta de qué modelo es válido en cada caso requiere el análisis de los contratos celebrados con dichos socios. Por ejemplo, una agencia de contratación puede transferir al empresario únicamente información básica sobre el candidato (por ejemplo, experiencia y formación y no datos de identificación) y, por tanto, no transferir datos personales. En tal caso, el empleador no será, en mi opinión, considerado controlador de datos, ni siquiera procesador.

10. ¿Se requiere legalmente algún consentimiento adicional después de la contratación del candidato? 11. ¿Necesitan los nuevos contratados algún tipo de formación sobre los sistemas utilizados en la organización y la protección de datos en estos sistemas?

En la mayoría de los casos, el catálogo exacto de datos personales necesarios para un contrato de trabajo está regulado por las leyes de cada Estado miembro. No es necesario el consentimiento si la legislación laboral, fiscal o cualquier otra disposición general exige el tratamiento de determinados datos personales.

Se aconseja que los empresarios sólo traten los datos que no requieran el consentimiento de los empleados. ¿Por qué?

En primer lugar, debido al GDPR, como ya se ha dicho, cualquier consentimiento debe concederse libremente, sin coacción. En cada relación, el empleador se dirige al empleado desde una posición de fuerza. Por lo tanto, es significativamente más difícil demostrar que el empleado podría simplemente negar o revocar su consentimiento para el tratamiento de datos personales, por ejemplo, su imagen con fines de marketing o integración.

Por supuesto, algunos de los beneficios de los empleados (por ejemplo, coche de empresa, asistencia sanitaria) podrían estar relacionados con el tratamiento de datos. Sin embargo, este consentimiento puede revocarse en cualquier momento y los datos deben tratarse únicamente durante el periodo de tiempo necesario para tal fin.

11. ¿Cómo se aplica el RGPD al despido de empleados? Tienen los empleadores alguna obligación que deba cumplirse?

En primer lugar, como ya se ha dicho, si el consentimiento de los empleados es la única base jurídica para el tratamiento de datos personales, el empleado podría revocar su consentimiento en el momento del despido. En consecuencia, todos esos datos deben ser borrados de los sistemas del empleador.

Si la base para el tratamiento de los datos está definida en una determinada ley (relativa al derecho laboral, a la seguridad social, a los impuestos), el empresario sigue estando obligado a almacenar esos datos tras la finalización del contrato de trabajo.

En las leyes de cada Estado miembro se pueden imponer otros reglamentos y requisitos a los empresarios.

12. En el caso de las transferencias de datos fuera de la UE, ¿quién está legalmente obligado a proteger los datos y garantizar que todos los procedimientos estén de acuerdo con el RGPD?

El empresario determina los fines y los medios del tratamiento de los datos personales de los empleados. Por lo tanto, debe considerarse un responsable del tratamiento, tal como se establece en el artículo 4.7 del RGPD. El responsable del tratamiento es responsable en caso de cualquier infracción de la protección de datos.

Debido a la norma de responsabilidad, el incumplimiento de la diligencia debida por parte de una entidad de un tercer país correrá a cargo del empleador. En consecuencia, el empresario tiene que asegurarse de que la entidad del tercer país ha proporcionado las salvaguardias apropiadas, y a condición de que se disponga de derechos ejecutables de los interesados y de recursos legales efectivos para los mismos, debido al artículo 46.1 del RGPD.

Por supuesto, si el empresario va a sufrir consecuencias financieras debido a una mala conducta contractual de la entidad del tercer país, podría hacer valer sus derechos ante los tribunales y exigir una indemnización.

13. ¿Cuáles son las consecuencias del incumplimiento del RGPD?

En primer lugar, las evidentes y conocidas consecuencias económicas (sanciones de hasta 20.000.000 de euros o 4% del volumen de negocios anual total a nivel mundial del ejercicio anterior, lo que sea mayor). En segundo lugar, las reclamaciones civiles de los interesados. Y, por último, un importante daño comercial.

Compartir correo

Más información sobre la contratación de tecnología

Suscríbase a nuestro Learning Hub para recibir información útil directamente en su bandeja de entrada.

Verificar y desarrollar las habilidades de codificación sin problemas.

Vea los productos DevSkiller en acción.

Certificaciones de seguridad y cumplimiento. Nos aseguramos de que sus datos estén seguros y protegidos.