Datos de candidatos en procesos de selección: qué dice el RGPD

·

Cada vez que una empresa publica una oferta de empleo, recibe un currículum o accede al perfil profesional de un candidato en una red social, está tratando datos personales en el sentido del artículo 4.2 del Reglamento (UE) 2016/679 (RGPD). Sin embargo, muchas organizaciones desconocen las obligaciones concretas que esto implica: qué base jurídica ampara el tratamiento de los datos de candidatos, durante cuánto tiempo pueden conservarse los currículums de quienes no superaron el proceso, qué información debe facilitarse antes de recoger el CV y qué límites impone el RGPD cuando se consultan perfiles en redes sociales. Este artículo aborda cada una de estas cuestiones con rigor normativo y sin tecnicismos innecesarios.

¿Qué datos personales se tratan en un proceso de selección?

Un proceso de selección implica, como mínimo, el tratamiento de los siguientes datos personales de los candidatos:

En sectores regulados —seguridad privada, transporte, servicios financieros, sanidad— el proceso puede extenderse a datos de salud, certificados de antecedentes penales o pruebas psicotécnicas, categorías que están sujetas a reglas más estrictas y que se analizan en la sección sobre categorías especiales de datos.

Base jurídica del tratamiento de datos de candidatos (artículo 6 RGPD)

El artículo 6.1 del RGPD exige que todo tratamiento de datos personales disponga de una base jurídica legítima. En el reclutamiento, las más relevantes son dos: las medidas precontractuales y el interés legítimo.

Medidas precontractuales: artículo 6.1.b RGPD

Cuando el candidato solicita activamente participar en un proceso de selección —enviando su currículum en respuesta a una oferta publicada—, el tratamiento de sus datos queda amparado por el artículo 6.1.b del RGPD. Este precepto habilita el tratamiento cuando «es necesario para la ejecución de un contrato en cuya celebración es parte el interesado, o para la aplicación a petición de este de medidas precontractuales». En este supuesto, no es necesario recabar el consentimiento del candidato para tratar sus datos con la finalidad específica del proceso de selección: la propia solicitud de participación constituye la base suficiente.

Interés legítimo: artículo 6.1.f RGPD

Cuando la empresa recibe un currículum de forma espontánea —sin que exista una oferta publicada a la que el candidato responda— o cuando quiere conservar los datos de candidatos no seleccionados para futuras vacantes, la base jurídica más adecuada es el interés legítimo del responsable del tratamiento (art. 6.1.f RGPD). Aplicar esta base requiere que el interés sea concreto y real, y que no quede subordinado a los derechos e intereses de los candidatos, lo que obliga a realizar una ponderación razonada —el denominado test de ponderación o balancing test.

Algunas organizaciones optan por solicitar el consentimiento explícito del candidato para conservar su currículum en una bolsa de empleo. Es una solución válida, pero presenta el inconveniente de que el consentimiento es revocable en cualquier momento, lo que obliga a eliminar los datos si el candidato lo retira. Por eso, el interés legítimo correctamente documentado resulta en muchos casos más robusto para las candidaturas espontáneas.

Si tienes dudas sobre qué base jurídica aplicar en tu proceso de selección o cómo documentar el test de ponderación, el equipo de adecuación al RGPD de Summum Consultoría puede acompañarte en el análisis y en la elaboración de la documentación necesaria.

Información al candidato: obligaciones del artículo 13 RGPD

El artículo 13 del RGPD establece la información que el responsable del tratamiento debe facilitar al interesado en el momento en que se recogen sus datos personales. En el contexto del reclutamiento, esto significa que la empresa debe informar al candidato —antes de que envíe su currículum o complete el formulario de inscripción— de los siguientes extremos:

Esta información debe redactarse en lenguaje claro y comprensible. La práctica más habitual es incluirla en la cláusula de protección de datos adjunta al formulario de inscripción o en la página de empleo del sitio web corporativo. No incluirla —o hacerlo de forma incompleta— constituye una infracción del artículo 83 del RGPD.

Candidatura activa frente a candidatura espontánea: tabla comparativa

Aspecto Candidatura activa (responde a oferta publicada) Candidatura espontánea (sin oferta publicada)
Base jurídica principal Art. 6.1.b RGPD (medidas precontractuales) Art. 6.1.f RGPD (interés legítimo) o consentimiento expreso
¿Requiere consentimiento? No, para el proceso de selección específico No, si se justifica el interés legítimo; sí, si se opta por el consentimiento
Plazo de conservación recomendado Hasta 1 año tras finalizar el proceso Hasta 1 año desde la recepción del currículum
Deber de información Art. 13 RGPD, en el momento del envío del CV Art. 13 RGPD, en el momento del envío del CV
Uso para futuras vacantes Sí, con base en interés legítimo o consentimiento adicional Sí, con base en interés legítimo o consentimiento
Revocación por el candidato Derecho de oposición (art. 21 RGPD) Derecho de oposición o revocación del consentimiento

Plazo de conservación de candidaturas no seleccionadas

Una de las dudas más frecuentes en materia de protección de datos en reclutamiento es cuánto tiempo puede una empresa conservar el currículum de un candidato que no ha sido seleccionado. El RGPD no fija un plazo concreto: establece el principio de limitación del plazo de conservación (artículo 5.1.e), que exige que los datos se mantengan durante no más tiempo del necesario para los fines del tratamiento.

La AEPD ha señalado, como criterio orientador, que un año es un plazo razonable para la conservación de datos de candidatos no seleccionados cuando la empresa desea mantenerlos en su base para futuras vacantes. Este criterio no actúa como plazo máximo legal inamovible, pero funciona como referencia de buenas prácticas que puede ser valorada por la propia AEPD en caso de investigación.

Transcurrido ese plazo, la empresa debe suprimir o anonimizar los datos. La supresión debe ser efectiva y alcanzar a todos los sistemas donde estén almacenados: el ATS, los correos electrónicos, las carpetas locales y cualquier copia de seguridad que sea accesible. No basta con archivar los currículums en una carpeta de «candidatos pasados».

En la práctica, muchas organizaciones implementan alertas automáticas en su sistema de seguimiento de candidatos para recibir un aviso cuando se acerca el plazo de supresión, o para solicitar al candidato que renueve su consentimiento antes de que los datos sean eliminados. Esta medida es sencilla de configurar en la mayoría de los ATS del mercado y reduce significativamente el riesgo de conservación indebida.

Redes sociales y datos de candidatos: ¿cuándo es lícito consultar perfiles?

La consulta de perfiles de candidatos en LinkedIn, Twitter/X, Instagram u otras redes sociales durante un proceso de selección está sometida al RGPD cuando el reclutador recoge, anota o trata de algún modo la información así obtenida. Que los datos sean públicos no los convierte en datos de libre uso para cualquier finalidad: el principio de limitación de la finalidad (art. 5.1.b RGPD) exige que los datos solo se utilicen para los fines para los que se recogieron originalmente. Un candidato que publica en LinkedIn su historial profesional lo hace para relacionarse en el ámbito profesional, no necesariamente para ser evaluado en cualquier proceso de selección.

Los criterios que deben guiar el uso de redes sociales en reclutamiento son los siguientes:

Categorías especiales de datos y no discriminación (artículo 9 RGPD)

El artículo 9 del RGPD otorga una protección reforzada a determinadas categorías de datos personales: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos tratados con fines de identificación única, datos relativos a la salud, y datos sobre vida sexual u orientación sexual. El tratamiento de estas categorías está prohibido con carácter general, salvo que concurra alguna de las excepciones del artículo 9.2 RGPD.

En el contexto del reclutamiento, esto tiene implicaciones directas e ineludibles:

Además, el artículo 64.4.d) del Estatuto de los Trabajadores (introducido por la Ley 12/2021, de 28 de septiembre) dispone que los representantes de los trabajadores deberán ser informados de los perfiles elaborados con los datos de los trabajadores, así como de cualquier sistema de inteligencia artificial que pueda afectarles, incluidos los utilizados en la selección de personal. Esta obligación de información se activa antes de desplegar el sistema, no una vez ya en uso.

Derechos de los candidatos durante el proceso de selección

Los candidatos son interesados en el sentido del RGPD y pueden ejercer sus derechos en cualquier momento del proceso. La empresa debe disponer de un canal claro y accesible para atender estas solicitudes y responder en los plazos que fija el RGPD: un mes con carácter general, prorrogable a tres meses en casos de complejidad o elevado número de solicitudes.

Los derechos más relevantes en el ámbito de la selección de personal son:

Si tu organización ha implantado o está implantando un sistema de gestión de candidatos, te recomendamos revisar si los procedimientos de atención de derechos están correctamente documentados. El servicio de adecuación al RGPD de Summum Consultoría incluye la revisión y puesta en marcha de estos procedimientos, adaptados al tamaño y sector de cada empresa.

Encargo del tratamiento: ETT, headhunters y plataformas ATS

Cuando la selección se externaliza a una empresa de trabajo temporal (ETT), a una consultoría de recursos humanos o a una plataforma de gestión de candidatos (ATS en modo SaaS), surge la cuestión de quién es el responsable del tratamiento y en qué calidad actúa el proveedor.

En general, el proveedor externo actúa como encargado del tratamiento cuando trata datos de candidatos por cuenta de la empresa cliente y siguiendo sus instrucciones. En ese caso, es obligatorio suscribir un contrato de encargo del tratamiento conforme al artículo 28 del RGPD, que regule las instrucciones del responsable, las medidas de seguridad aplicables, la subcontratación, y la devolución o supresión de datos al finalizar el servicio. Sin este contrato, la empresa cliente incurre en una infracción que puede quedar encuadrada en el régimen sancionador del artículo 83 del RGPD.

En determinados supuestos —por ejemplo, cuando un headhunter dispone de su propia base de candidatos y actúa con plena autonomía para captarlos—, puede considerarse que actúa como responsable independiente del tratamiento. Los límites no siempre son nítidos y deben analizarse caso por caso, prestando especial atención a quién decide sobre las finalidades y los medios del tratamiento.

Régimen sancionador: artículo 83 RGPD y LOPDGDD

El incumplimiento de las obligaciones del RGPD en el contexto del reclutamiento puede derivar en sanciones administrativas. El artículo 83 del RGPD distingue dos escalas:

La LOPDGDD (Ley Orgánica 3/2018) gradúa y precisa estas sanciones en el contexto del ordenamiento español y puede suponer además la imposición de medidas correctivas —como la suspensión del tratamiento o la supresión de los datos— con independencia de las multas. Además de las sanciones administrativas, un tratamiento discriminatorio de datos de candidatos puede derivar en responsabilidad en el ámbito laboral y civil.

Preguntas frecuentes

¿Podemos pedir al candidato que nos autorice a guardar su CV para futuras ofertas?

Sí. Es una práctica habitual y válida, siempre que el consentimiento sea libre, específico, informado e inequívoco (art. 4.11 RGPD). La empresa debe explicar claramente para qué se conservarán los datos, durante cuánto tiempo y cómo puede el candidato revocar su consentimiento. No son válidos el consentimiento tácito ni las casillas premarcadas. Recuerda que el candidato puede retirar el consentimiento en cualquier momento, lo que obliga a eliminar sus datos de todos los sistemas donde estén almacenados.

¿Cuánto tiempo puede conservarse un currículum de un candidato no seleccionado?

El RGPD no fija un plazo concreto, pero el criterio orientador de la AEPD apunta a un año como plazo razonable para conservar candidaturas no seleccionadas en una bolsa de empleo. Transcurrido ese plazo, los datos deben suprimirse o anonimizarse. Si la base jurídica es el consentimiento, el plazo será el que se haya informado al candidato al recabar dicho consentimiento. En ambos casos, la supresión debe ser efectiva y alcanzar a todos los sistemas donde los datos estén almacenados.

¿Es lícito buscar a los candidatos en Google o en sus redes sociales?

Consultar el perfil profesional de un candidato en LinkedIn durante un proceso de selección puede encuadrarse en el interés legítimo del empleador, siempre que se limite a información profesional pertinente para el puesto y que el candidato sea informado de esta práctica en la cláusula de protección de datos. Consultar perfiles en redes de ámbito personal —Instagram, Facebook, TikTok— para obtener información sobre la vida privada carece de base jurídica y puede suponer la captación ilícita de categorías especiales de datos (salud, ideología, orientación sexual), cuyo tratamiento está prohibido por el artículo 9 del RGPD salvo excepciones tasadas.

¿Qué ocurre si un candidato ejerce su derecho de supresión mientras está activo el proceso?

Si el candidato solicita la supresión de sus datos durante el proceso de selección, la empresa debe evaluar si concurre alguna de las causas del artículo 17 RGPD. En general, si el tratamiento se basa en medidas precontractuales (candidatura activa a una oferta), la empresa puede denegar la supresión mientras el proceso esté en curso, pero debe comunicarlo al candidato con la motivación correspondiente. Si el candidato retira su candidatura, ya no existe base para continuar el tratamiento y los datos deben suprimirse. Si el tratamiento se basa en el interés legítimo, el candidato puede oponerse en virtud del artículo 21 RGPD, y la empresa debe cesar el tratamiento salvo que acredite motivos legítimos imperiosos.

Si tu organización está revisando sus procesos de selección para verificar que el tratamiento de datos de candidatos cumple con el RGPD y la LOPDGDD, el equipo de protección de datos de Summum Consultoría, con oficinas en Castilla y León (Valladolid, Burgos, Palencia y Aranda de Duero) y en Las Palmas de Gran Canaria, puede acompañarte en la adecuación normativa. Consulta nuestro servicio de adecuación al RGPD y solicita una valoración inicial sin compromiso.