Sabemos que el deber de información nunca está excluido cuando recabamos datos de carácter personal de cualquier cliente, empleado, proveedor, etc…
Tampoco existe exclusión cuando recibimos curriculums vitae, bien en un proceso de selección determinado, bien de manera espontánea.
Esto, que con la normativa de protección de datos en la mano conocemos, con frecuencia pasa desapercibido y nos olvidamos de la importancia de facilitar la información contemplada en el artículo 13 del RGPD, también en este tipo de situaciones.
Ahora, la Agencia Española de Protección de Datos nos lo viene a recordar a través de una resolución en la que acuerda sancionar a una empresa con 2.000€ precisamente por no “dar acuse de recibo” de los curriculums que recibía, y por tanto, no facilitando dicha información obligatoria.
Y es que, si bien es el interesado quién facilita su curriculum, llevando a cabo por tanto un acto afirmativo, que es libre y voluntario, lo cual posibilita que la empresa destinataria tenga una base de legitimación para el tratamiento, al menos de inicio, lo que, insistimos, no admite excepción es el deber de informar al candidato sobre el tratamiento que haría de sus datos. En concreto, la información contemplada en el citado artículo 13 del RGPD es, entre otra, la identidad y los datos de contacto del responsable del tratamiento, los fines y la base jurídica del tratamiento, el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado.
En este caso concreto, el interesado accedió a una oferta de empleo y, siguiendo las instrucciones facilitadas por la empresa, envió su curriculum a través de Whatsapp.
La empresa nunca respondió a dicho mensaje, y por tanto faltó a su deber de informar, lo que dio lugar a una reclamación por parte de este que finalizó en la mencionada sanción.
En concreto en su resolución la AEPD entiende que la empresa había infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».
Cierto es que la sanción bien podía haber sido mayor, pero en este caso se tuvo en cuenta que la empresa sancionada no tenía reclamaciones anteriores, que es una pequeña empresa y que no buscó con su conducta buscar un beneficio propio, por lo que se “gradúa” la multa hasta esos 2.000€.
Es importante resaltar que, al igual que ocurre en un número muy elevado de procedimientos que acaban en sanción, la empresa en cuestión tampoco respondió al requerimiento de información sobre el caso que le remitió la Agencia, lo que pone de relieve la vital importancia de, siempre y en todo caso, dar respuesta en tiempo y forma a cualquier requerimiento que podamos recibir.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!