¿Qué obstáculos puede tener un reclutador con el RGPD?

El reglamento europeo vigente en materia de privacidad (de General Data Protection Regulation, GDPR), afecta profundamente al proceso de reclutamiento y de gestión de RRHH. En un ámbito en el que gestionas información personal, te recomendamos extremar las precauciones.

Si bien te pueden servir como base, estas líneas no pretenden ser un texto legal, por lo que sugerimos que consultes con un experto en privacidad y protección de datos.

¿En qué consiste la GDPR?

A efectos prácticos, los requerimientos de protección de datos personales contemplan tres elementos básicos:

• En la captación. Obligación de recabar los datos de tipo personal solo si se ha obtenido el consentimiento explícito y previo del interesado.
• En el tratamiento. Garantizar el correcto tratamiento, emplearlos solo para el fin para el que se han proporcionado, guardar la confidencialidad y establecer los mecanismos de protección necesarios para cumplir estos términos.
• En la transparencia. Facilitar el ejercicio de los derechos del propietario de los datos personales reconocidos en la normativa vigente. Por ejemplo, hacer sencillo para la persona el proceso de rectificación o modificación de sus datos.

¿Qué normativa rige la protección de datos personales?

Por un lado, existen las directivas comunitarias que establecen el marco legal al que todos los países de la CEE deben adaptar su normativa.

Se trata de la GDPR, la normativa europea que aquí conocerás por RGPD, con aplicación en los países miembros desde mayo de 2018.

En España, la Ley Oficial de Protección de Datos (LOPD), fue superada por la entrada en vigor del nuevo reglamento de protección de datos europeo y así se desarrolló y aprobó la nueva LOPDGDD, que entró en vigor el pasado en diciembre de 2018.

¿Cómo afecta la obligatoriedad de protección de datos al área de Recursos Humanos?

Al contemplar la privacidad como un todo, veremos que la cantidad de datos personales que la gestión de Recursos Humanos de una empresa tiene el deber de custodiar es muy amplia.

Desde los CV de profesionales e información sobre empleados, que pueden incluir historiales médicos, situaciones familiares o financieras y otros datos sensibles, e incluso grabaciones de cámaras. Casi cualquier dato de carácter personal se gestiona en algún momento por este departamento en la empresa.

Esto significa que cada parte es responsable de su protección en cada fase del itinerario de estos datos, siguiendo el criterio marcado por el plan de tratamiento de datos personales bajo la autoridad del responsable de datos de la empresa.

¿Cómo afecta la GDPR al reclutador?

El embudo de reclutamiento comprende desde la publicación de un anuncio y la recogida de datos hasta la contratación. Esto supone que durante este itinerario tienes unas responsabilidades marcadas sobre la protección de los datos.

Sugerimos tener en cuenta desde la forma de procesar y tratar los datos hasta los mecanismos y obligaciones de alerta en caso de quiebra de la seguridad o cómo actuar para minimizar los daños ante una filtración o un ataque.

La compañía tiene la obligación de contar con un plan detallado, que te servirá como guía, y de formar a los equipos en el mismo. También debe contar con un responsable del tratamiento de datos, que será la figura de referencia.

Algunas empresas todavía no han desarrollado esta estructura organizativa ni cuentan con un plan de protección de datos. En estos casos, si el reclutador es interno, se enfrentará a la necesidad de asumir una importante responsabilidad sobre la seguridad de los datos que gestiona, tanto en sus soportes físicos como en las bases de datos y transacciones digitales.

Si el reclutador es externo, se encuentra en una situación en la que poner en manos de la empresa estos datos sin contar con la necesaria verificación de la garantía, le puede hacer incurrir en responsabilidades indirectas.

Recomendaciones sobre cómo actuar diligentemente

• La captación de datos debe ser expresa y con pleno conocimiento del interesado. Esto supone, en definitiva, un deber previo de información a la persona que opta al empleo, así como documentar el consentimiento en la inscripción.
• Registro de actividades. Te recomendamos, registrar el itinerario de los datos de naturaleza privada. En caso de intervenir diferentes técnicos, los datos irán pasando, por ejemplo, de los técnicos que filtran y seleccionan los perfiles a los que realizan las entrevistas y, de estos, a los evaluadores, para finalizar en quienes eligen al aspirante.
• Cuando los datos son externalizados, es preciso contar con un certificado de que la empresa a la que se ceden cumple la normativa de protección y que los datos que se aportan serán gestionados conforme a los usos autorizados por el propietario de los mismos.
• En caso de que se vayan a desarrollar este tipo de cesiones a terceros, el profesional tendrá que haber sido informado también previamente y haber dado su consentimiento expreso. Este punto afecta especialmente a los portales de empleo.
• La persona que haya querido optar al empleo deberá ser informada, así mismo, de los derechos que le asisten sobre sus datos y la forma y canales de ejercerlos dispuestos por la organización.

Conclusión

El cumplimiento de la normativa de protección de datos es imprescindible también en la gestión de Recursos Humanos. Los técnicos de reclutamiento deben asumir estas nuevas responsabilidades con diligencia para evitar un posible deterioro de la reputación de la organización e importantes sanciones.

Si tienes en cuenta estas pautas, además de consultar con un profesional especializado en la materia, sentarás las bases de su correcta gestión.