¿QUÉ OCURRE CON MIS DATOS? NUESTRO CV Y LA PROTECCIÓN DE DATOS

Hace ya unos días, la Agencia Española de Protección de Datos (AEPD) publicó una resolución (Resolución de Procedimiento Nº:PS/00237/2021) sobre un procedimiento sancionador que entraba a resolver una cuestión común que en muchas ocasiones se puede llegar a pasar desapercibido.
  • ¿QUIÉN ES EL RESPONSABLE DEL TRATAMIENTO DE LOS DATOS DE MI CURRICULUM SI ACCEDO A UNA OFERTA DE EMPLEO A TRAVÉS DE MÉTODOS EXTERNOS A PLATAFORMAS COMO INFOJOBS?
Es una realidad común para todas aquellas personas que hemos optado en realizar una búsqueda activa de empleo a través de medios no tan “tradicionales” y también es cierto que, a menudo, no somos conocedores, o no nos percatamos de si nuestros derechos como interesados quedan o no salvaguardados. Precisamente, el pasado 23 de agosto de 2021, la AEPD resolvió un procedimiento sancionador contra el responsable de una empresa por incumplimiento de los derechos de información de los interesados. Os hacemos un breve resumen de los hechos:
  • El demandante (Usuario 1) se puso en contacto con la Empresa X a través de la página web vsofertasserias.com dónde se encontraba publicada la oferta de trabajo a la que el demandante aplicaba. Éste remitió a través del teléfono que figuraba disponible en la web su currículum (vía WhatsApp) sin recibir respuesta acerca del responsable del tratamiento de sus datos y los derechos ante dicho responsable.
¿Cuál es entonces la importancia de este asunto? Bueno, normalmente, cuando utilizamos portales como Infojobs o plataformas similares, conocemos las políticas de privacidad sobre las que se configura el servicio (que justamente en este caso, despliega toda la información acerca del responsable del tratamiento de los datos y la finalidades que se les dará a los datos recabados de los usuarios, el plazo de conservación de esos datos y la legitimación para el tratamiento, los derechos de los usuarios y la política de cookies). Si nos vamos directamente al Reglamento (UE) 2016/679, de Protección de Datos (RGPD), su artículo 13 despliega la información que el responsable, en este caso la Empresa X debería haber puesto a disposición del Usuario 1, y que justamente coincide con el contenido general con el que ha de contar cualquier Política de Privacidad. A destacar, entre otras cuestiones:
  • La identidad y los datos de contacto del Responsable y, en su caso, del representante.
  • Los datos de contacto del Delegado de Protección de Datos.
  • La finalidad del tratamiento de los datos recabados del usuario.
  • El plazo de conservación de dichos datos personales.
  • Los derechos reconocidos al interesado para suprimir, rectificar o limitar su tratamiento.
Si reconducimos al marco jurídico nacional, esto mismo se expone en el artículo 11 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, que aborda de una forma mucho más “comedida” (en cuanto a extensión se refiere) lo relativo a la transparencia e información acerca de la recogida y tratamiento de los datos recabados de un usuario. Por curioso que pudiera parecer, la contravención de las exigencias de transparencia e información y el choque con el correcto funcionamiento y respeto de los derechos de los usuarios de este tipo de plataformas no tiene la consideración de “falta grave”. El RGPD, en su artículo 83, fija las condiciones generales para la imposición de multas administrativas (que funciona a modo de guía estructural para que la autoridad de control de cada Estado – en nuestro caso la AEPD – proceda al estudio de medidas efectivas, proporcionadas y disuasorias con arreglo a las infracciones indicadas en el Reglamento).

Para poder conocer la gradación que se le otorga a cada una de estas infracciones debemos descender nuevamente a la LOPD (artículos 71 a 74).

Resulta curioso como la ausencia de transparencia e información al usuario, como en este caso, no suponga una infracción grave por la afectación de los derechos del propio usuario. Al contrario, en virtud de lo establecido por la LOPD [artículo 74 letra a)] esto tendrá la consideración de “infracción leve”. Os dejamos el enlace a la resolución aquí debajo para que podáis consultar los fundamentos de derecho en profundidad. Y lanzamos una pequeña conclusión.
  • Ya en el Preámbulo de la Ley Orgánica 3/2018 se antojaba necesaria una reforma de la Constitución para la incorporación “expresa” de los derechos digitales al manto protector de los derechos fundamentales reconocidos al ciudadano. No obstante, el legislador integró un “giro de tuerca” lo suficientemente flexible como para poder amprar el derecho a la protección de datos en el artículo 18.4 de la Constitución Española, salvando – de aquella forma – las distancias con los avances tecnológicos del momento.
Dada la importancia que le presta la propia LOPD parece algo poco coherente que el respeto al deber de información y transparencia pase de perfil como una infracción leve cuando puede llevar a confusión al usuario, hasta el punto de poder ver vulnerada la legitimación otorgada para el tratamiento de los datos en un primer lugar. Dicho esto, ya sabéis, ante cualquier duda, tened a mano el RGPD y la LOPD para que no utilicen vuestros datos sin vuestro consentimiento. ¿Qué os parece la resolución y el fundamento de la AEPD al respecto? ¡Os leemos!  

Share this content: