Cada vez que una empresa publica una oferta de empleo, recibe un currículum o accede al perfil profesional de un candidato en una red social, está tratando datos personales en el sentido del artículo 4.2 del Reglamento (UE) 2016/679 (RGPD). Sin embargo, muchas organizaciones desconocen las obligaciones concretas que esto implica: qué base jurídica ampara el tratamiento de los datos de candidatos, durante cuánto tiempo pueden conservarse los currículums de quienes no superaron el proceso, qué información debe facilitarse antes de recoger el CV y qué límites impone el RGPD cuando se consultan perfiles en redes sociales. Este artículo aborda cada una de estas cuestiones con rigor normativo y sin tecnicismos innecesarios.
¿Qué datos personales se tratan en un proceso de selección?
Un proceso de selección implica, como mínimo, el tratamiento de los siguientes datos personales de los candidatos:
- Datos identificativos: nombre, apellidos, dirección postal, teléfono, correo electrónico.
- Datos de formación y experiencia profesional: títulos académicos, historial laboral, idiomas, competencias, certificaciones.
- Fotografía, cuando el candidato la incluye en el currículum.
- Notas y valoraciones generadas por el entrevistador durante o después de la entrevista.
- Referencias de empleadores anteriores, si se solicitan y verifican.
- Datos obtenidos de redes sociales o fuentes públicas, como perfiles de LinkedIn, portfolios online o publicaciones en internet.
En sectores regulados —seguridad privada, transporte, servicios financieros, sanidad— el proceso puede extenderse a datos de salud, certificados de antecedentes penales o pruebas psicotécnicas, categorías que están sujetas a reglas más estrictas y que se analizan en la sección sobre categorías especiales de datos.
Base jurídica del tratamiento de datos de candidatos (artículo 6 RGPD)
El artículo 6.1 del RGPD exige que todo tratamiento de datos personales disponga de una base jurídica legítima. En el reclutamiento, las más relevantes son dos: las medidas precontractuales y el interés legítimo.
Medidas precontractuales: artículo 6.1.b RGPD
Cuando el candidato solicita activamente participar en un proceso de selección —enviando su currículum en respuesta a una oferta publicada—, el tratamiento de sus datos queda amparado por el artículo 6.1.b del RGPD. Este precepto habilita el tratamiento cuando «es necesario para la ejecución de un contrato en cuya celebración es parte el interesado, o para la aplicación a petición de este de medidas precontractuales». En este supuesto, no es necesario recabar el consentimiento del candidato para tratar sus datos con la finalidad específica del proceso de selección: la propia solicitud de participación constituye la base suficiente.
Interés legítimo: artículo 6.1.f RGPD
Cuando la empresa recibe un currículum de forma espontánea —sin que exista una oferta publicada a la que el candidato responda— o cuando quiere conservar los datos de candidatos no seleccionados para futuras vacantes, la base jurídica más adecuada es el interés legítimo del responsable del tratamiento (art. 6.1.f RGPD). Aplicar esta base requiere que el interés sea concreto y real, y que no quede subordinado a los derechos e intereses de los candidatos, lo que obliga a realizar una ponderación razonada —el denominado test de ponderación o balancing test.
Algunas organizaciones optan por solicitar el consentimiento explícito del candidato para conservar su currículum en una bolsa de empleo. Es una solución válida, pero presenta el inconveniente de que el consentimiento es revocable en cualquier momento, lo que obliga a eliminar los datos si el candidato lo retira. Por eso, el interés legítimo correctamente documentado resulta en muchos casos más robusto para las candidaturas espontáneas.
Si tienes dudas sobre qué base jurídica aplicar en tu proceso de selección o cómo documentar el test de ponderación, el equipo de adecuación al RGPD de Summum Consultoría puede acompañarte en el análisis y en la elaboración de la documentación necesaria.
Información al candidato: obligaciones del artículo 13 RGPD
El artículo 13 del RGPD establece la información que el responsable del tratamiento debe facilitar al interesado en el momento en que se recogen sus datos personales. En el contexto del reclutamiento, esto significa que la empresa debe informar al candidato —antes de que envíe su currículum o complete el formulario de inscripción— de los siguientes extremos:
- Identidad y datos de contacto del responsable del tratamiento.
- Datos de contacto del delegado de protección de datos (DPO), si existe.
- Finalidades del tratamiento y base jurídica (proceso de selección para el puesto X; medidas precontractuales o interés legítimo).
- Si los datos se conservarán para futuras vacantes y durante cuánto tiempo.
- Si los datos se comunicarán a terceros: empresas del grupo, consultoras de selección externas, plataformas de gestión de candidatos (ATS).
- Derechos del candidato: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
- Derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).
Esta información debe redactarse en lenguaje claro y comprensible. La práctica más habitual es incluirla en la cláusula de protección de datos adjunta al formulario de inscripción o en la página de empleo del sitio web corporativo. No incluirla —o hacerlo de forma incompleta— constituye una infracción del artículo 83 del RGPD.
Candidatura activa frente a candidatura espontánea: tabla comparativa
| Aspecto | Candidatura activa (responde a oferta publicada) | Candidatura espontánea (sin oferta publicada) |
|---|---|---|
| Base jurídica principal | Art. 6.1.b RGPD (medidas precontractuales) | Art. 6.1.f RGPD (interés legítimo) o consentimiento expreso |
| ¿Requiere consentimiento? | No, para el proceso de selección específico | No, si se justifica el interés legítimo; sí, si se opta por el consentimiento |
| Plazo de conservación recomendado | Hasta 1 año tras finalizar el proceso | Hasta 1 año desde la recepción del currículum |
| Deber de información | Art. 13 RGPD, en el momento del envío del CV | Art. 13 RGPD, en el momento del envío del CV |
| Uso para futuras vacantes | Sí, con base en interés legítimo o consentimiento adicional | Sí, con base en interés legítimo o consentimiento |
| Revocación por el candidato | Derecho de oposición (art. 21 RGPD) | Derecho de oposición o revocación del consentimiento |
Plazo de conservación de candidaturas no seleccionadas
Una de las dudas más frecuentes en materia de protección de datos en reclutamiento es cuánto tiempo puede una empresa conservar el currículum de un candidato que no ha sido seleccionado. El RGPD no fija un plazo concreto: establece el principio de limitación del plazo de conservación (artículo 5.1.e), que exige que los datos se mantengan durante no más tiempo del necesario para los fines del tratamiento.
La AEPD ha señalado, como criterio orientador, que un año es un plazo razonable para la conservación de datos de candidatos no seleccionados cuando la empresa desea mantenerlos en su base para futuras vacantes. Este criterio no actúa como plazo máximo legal inamovible, pero funciona como referencia de buenas prácticas que puede ser valorada por la propia AEPD en caso de investigación.
Transcurrido ese plazo, la empresa debe suprimir o anonimizar los datos. La supresión debe ser efectiva y alcanzar a todos los sistemas donde estén almacenados: el ATS, los correos electrónicos, las carpetas locales y cualquier copia de seguridad que sea accesible. No basta con archivar los currículums en una carpeta de «candidatos pasados».
En la práctica, muchas organizaciones implementan alertas automáticas en su sistema de seguimiento de candidatos para recibir un aviso cuando se acerca el plazo de supresión, o para solicitar al candidato que renueve su consentimiento antes de que los datos sean eliminados. Esta medida es sencilla de configurar en la mayoría de los ATS del mercado y reduce significativamente el riesgo de conservación indebida.
Redes sociales y datos de candidatos: ¿cuándo es lícito consultar perfiles?
La consulta de perfiles de candidatos en LinkedIn, Twitter/X, Instagram u otras redes sociales durante un proceso de selección está sometida al RGPD cuando el reclutador recoge, anota o trata de algún modo la información así obtenida. Que los datos sean públicos no los convierte en datos de libre uso para cualquier finalidad: el principio de limitación de la finalidad (art. 5.1.b RGPD) exige que los datos solo se utilicen para los fines para los que se recogieron originalmente. Un candidato que publica en LinkedIn su historial profesional lo hace para relacionarse en el ámbito profesional, no necesariamente para ser evaluado en cualquier proceso de selección.
Los criterios que deben guiar el uso de redes sociales en reclutamiento son los siguientes:
- Pertinencia y proporcionalidad: solo debe consultarse y anotarse información profesional directamente relevante para el puesto vacante. Consultar el perfil de Instagram de un candidato en busca de información sobre su vida personal —afiliación política, orientación sexual, estado de salud, activismo— carece de base jurídica lícita y puede constituir discriminación.
- Transparencia: el candidato debe ser informado de que se consultarán sus perfiles en redes sociales profesionales. Esta información debe incluirse en la cláusula de protección de datos del proceso de selección.
- Documentación: si el reclutador anota información obtenida de una red social, esa anotación forma parte del expediente de candidatura y está sujeta al derecho de acceso del candidato. El candidato puede solicitar qué información se ha recopilado sobre él y de qué fuentes.
- Límite en redes de ámbito personal: consultar perfiles en redes de uso predominantemente personal —Facebook en modo privado, TikTok, Snapchat— para obtener información de carácter íntimo o ideológico sobre el candidato carece de base jurídica y puede implicar la captación ilícita de categorías especiales de datos.
Categorías especiales de datos y no discriminación (artículo 9 RGPD)
El artículo 9 del RGPD otorga una protección reforzada a determinadas categorías de datos personales: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos tratados con fines de identificación única, datos relativos a la salud, y datos sobre vida sexual u orientación sexual. El tratamiento de estas categorías está prohibido con carácter general, salvo que concurra alguna de las excepciones del artículo 9.2 RGPD.
En el contexto del reclutamiento, esto tiene implicaciones directas e ineludibles:
- Una empresa no puede solicitar a los candidatos información sobre su estado de salud, embarazo, discapacidad, afiliación sindical u orientación sexual, salvo en los supuestos expresamente previstos en la ley (por ejemplo, datos de salud relevantes para la aptitud profesional en sectores como el transporte o la medicina, regulados por normativa sectorial específica).
- Si un candidato incluye voluntariamente en su currículum información de categoría especial —como una discapacidad—, la empresa no debe tratarla más allá de lo estrictamente necesario para adaptar el proceso si el candidato así lo solicita, y debe documentar la base del tratamiento.
- El uso de sistemas de inteligencia artificial o algoritmos de criba debe evaluarse cuidadosamente para detectar posibles sesgos que, de forma indirecta, puedan generar discriminación por razón de origen, sexo u otras categorías protegidas.
Además, el artículo 64.4.d) del Estatuto de los Trabajadores (introducido por la Ley 12/2021, de 28 de septiembre) dispone que los representantes de los trabajadores deberán ser informados de los perfiles elaborados con los datos de los trabajadores, así como de cualquier sistema de inteligencia artificial que pueda afectarles, incluidos los utilizados en la selección de personal. Esta obligación de información se activa antes de desplegar el sistema, no una vez ya en uso.
Derechos de los candidatos durante el proceso de selección
Los candidatos son interesados en el sentido del RGPD y pueden ejercer sus derechos en cualquier momento del proceso. La empresa debe disponer de un canal claro y accesible para atender estas solicitudes y responder en los plazos que fija el RGPD: un mes con carácter general, prorrogable a tres meses en casos de complejidad o elevado número de solicitudes.
Los derechos más relevantes en el ámbito de la selección de personal son:
- Derecho de acceso (art. 15 RGPD): el candidato puede solicitar qué datos tiene la empresa sobre él, con qué finalidad, durante cuánto tiempo y si se han comunicado a terceros.
- Derecho de rectificación (art. 16 RGPD): si algún dato es inexacto o incompleto, el candidato puede pedir su corrección.
- Derecho de supresión (art. 17 RGPD): el candidato puede solicitar la eliminación de sus datos cuando, por ejemplo, no desea seguir participando en el proceso o no quiere que su currículum permanezca en la bolsa de empleo.
- Derecho de oposición (art. 21 RGPD): cuando el tratamiento se basa en el interés legítimo del responsable, el candidato puede oponerse al tratamiento en cualquier momento. La empresa debe dejar de tratar los datos salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses del candidato.
- Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD): si la empresa usa sistemas de criba automática que producen decisiones con efectos jurídicos o que afectan significativamente al candidato, este tiene derecho a solicitar intervención humana, expresar su punto de vista e impugnar la decisión.
Si tu organización ha implantado o está implantando un sistema de gestión de candidatos, te recomendamos revisar si los procedimientos de atención de derechos están correctamente documentados. El servicio de adecuación al RGPD de Summum Consultoría incluye la revisión y puesta en marcha de estos procedimientos, adaptados al tamaño y sector de cada empresa.
Encargo del tratamiento: ETT, headhunters y plataformas ATS
Cuando la selección se externaliza a una empresa de trabajo temporal (ETT), a una consultoría de recursos humanos o a una plataforma de gestión de candidatos (ATS en modo SaaS), surge la cuestión de quién es el responsable del tratamiento y en qué calidad actúa el proveedor.
En general, el proveedor externo actúa como encargado del tratamiento cuando trata datos de candidatos por cuenta de la empresa cliente y siguiendo sus instrucciones. En ese caso, es obligatorio suscribir un contrato de encargo del tratamiento conforme al artículo 28 del RGPD, que regule las instrucciones del responsable, las medidas de seguridad aplicables, la subcontratación, y la devolución o supresión de datos al finalizar el servicio. Sin este contrato, la empresa cliente incurre en una infracción que puede quedar encuadrada en el régimen sancionador del artículo 83 del RGPD.
En determinados supuestos —por ejemplo, cuando un headhunter dispone de su propia base de candidatos y actúa con plena autonomía para captarlos—, puede considerarse que actúa como responsable independiente del tratamiento. Los límites no siempre son nítidos y deben analizarse caso por caso, prestando especial atención a quién decide sobre las finalidades y los medios del tratamiento.
Régimen sancionador: artículo 83 RGPD y LOPDGDD
El incumplimiento de las obligaciones del RGPD en el contexto del reclutamiento puede derivar en sanciones administrativas. El artículo 83 del RGPD distingue dos escalas:
- Infracciones menos graves (art. 83.4 RGPD): multas de hasta 10.000.000 EUR o, en el caso de una empresa, el 2 % del volumen de negocio anual mundial del ejercicio financiero anterior, optándose por la cifra que sea más elevada. Se incluyen aquí, entre otras, el incumplimiento de las obligaciones del encargado del tratamiento, la ausencia de contrato de encargo, o el incumplimiento de las condiciones aplicables al consentimiento.
- Infracciones más graves (art. 83.5 RGPD): multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial, optándose igualmente por la cifra más elevada. Se incluyen aquí las infracciones de los principios básicos del tratamiento (incluida la limitación de finalidad y el plazo de conservación), el tratamiento sin base jurídica, o el incumplimiento del deber de información.
La LOPDGDD (Ley Orgánica 3/2018) gradúa y precisa estas sanciones en el contexto del ordenamiento español y puede suponer además la imposición de medidas correctivas —como la suspensión del tratamiento o la supresión de los datos— con independencia de las multas. Además de las sanciones administrativas, un tratamiento discriminatorio de datos de candidatos puede derivar en responsabilidad en el ámbito laboral y civil.
Preguntas frecuentes
¿Podemos pedir al candidato que nos autorice a guardar su CV para futuras ofertas?
Sí. Es una práctica habitual y válida, siempre que el consentimiento sea libre, específico, informado e inequívoco (art. 4.11 RGPD). La empresa debe explicar claramente para qué se conservarán los datos, durante cuánto tiempo y cómo puede el candidato revocar su consentimiento. No son válidos el consentimiento tácito ni las casillas premarcadas. Recuerda que el candidato puede retirar el consentimiento en cualquier momento, lo que obliga a eliminar sus datos de todos los sistemas donde estén almacenados.
¿Cuánto tiempo puede conservarse un currículum de un candidato no seleccionado?
El RGPD no fija un plazo concreto, pero el criterio orientador de la AEPD apunta a un año como plazo razonable para conservar candidaturas no seleccionadas en una bolsa de empleo. Transcurrido ese plazo, los datos deben suprimirse o anonimizarse. Si la base jurídica es el consentimiento, el plazo será el que se haya informado al candidato al recabar dicho consentimiento. En ambos casos, la supresión debe ser efectiva y alcanzar a todos los sistemas donde los datos estén almacenados.
¿Es lícito buscar a los candidatos en Google o en sus redes sociales?
Consultar el perfil profesional de un candidato en LinkedIn durante un proceso de selección puede encuadrarse en el interés legítimo del empleador, siempre que se limite a información profesional pertinente para el puesto y que el candidato sea informado de esta práctica en la cláusula de protección de datos. Consultar perfiles en redes de ámbito personal —Instagram, Facebook, TikTok— para obtener información sobre la vida privada carece de base jurídica y puede suponer la captación ilícita de categorías especiales de datos (salud, ideología, orientación sexual), cuyo tratamiento está prohibido por el artículo 9 del RGPD salvo excepciones tasadas.
¿Qué ocurre si un candidato ejerce su derecho de supresión mientras está activo el proceso?
Si el candidato solicita la supresión de sus datos durante el proceso de selección, la empresa debe evaluar si concurre alguna de las causas del artículo 17 RGPD. En general, si el tratamiento se basa en medidas precontractuales (candidatura activa a una oferta), la empresa puede denegar la supresión mientras el proceso esté en curso, pero debe comunicarlo al candidato con la motivación correspondiente. Si el candidato retira su candidatura, ya no existe base para continuar el tratamiento y los datos deben suprimirse. Si el tratamiento se basa en el interés legítimo, el candidato puede oponerse en virtud del artículo 21 RGPD, y la empresa debe cesar el tratamiento salvo que acredite motivos legítimos imperiosos.
Si tu organización está revisando sus procesos de selección para verificar que el tratamiento de datos de candidatos cumple con el RGPD y la LOPDGDD, el equipo de protección de datos de Summum Consultoría, con oficinas en Castilla y León (Valladolid, Burgos, Palencia y Aranda de Duero) y en Las Palmas de Gran Canaria, puede acompañarte en la adecuación normativa. Consulta nuestro servicio de adecuación al RGPD y solicita una valoración inicial sin compromiso.