La AEPD Agencia Española de Protección de Datos multa a una empresa por recoger currículums sin dar ‘acuse de recibo’

El reclamante encontró una oferta de empleo en un portal de internet especializado. El interesado contactó por teléfono con la empresa y le remitió su currículum a través del sistema de mensajería instantánea WhatsApp. Hasta aquí todo correcto, el problema empieza cuando los responsables de la empresa receptora del CV no le dieran ningún tipo de respuesta.

Al no facilitar información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, el reclamante decidió formalizar una denuncia ante la AEPD, aportando incluso una captura de pantalla de la web corporativa en la que constaba que solo se mostraba una dirección postal, un correo electrónico y el número de teléfono.

En dicha web no había referencias a quién era el responsable del tratamiento o el delegado de protección de datos. Después de que la empresa no respondiera a su requerimiento de información, el organismo inició un procedimiento sancionador.

En la resolución de la AEPD se determina que la recogida de datos a través de formularios incluidos en portales web «constituye un tratamiento de datos», por lo que su responsable queda sometido a las exigencias del Reglamento europeo de privacidad (RGPD).

La norma comunitaria define «dato personal» como «toda información sobre una persona física identificada o identificable» (lo que incluye, el nombre, su número de DNI, etc.), y «tratamiento» como «cualquier operación o conjunto de operaciones realizada sobre datos personales», como la recogida, el registro o su utilización, entre otras.

Queda constatado, por tanto, que la captación de currículums supone el tratamiento de datos personales, la resolución recuerda que los responsables están obligados a facilitar determinada información a los ‘propietarios’ de los mismos. Según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos ARCO (Acceso, Rectificación, Supresión u Oposición) que asisten al interesado.

La AEPD entiende que la empresa ha infringido el Artículo 13 del Reglamento al no identificar de manera apropiada el responsable, no informar de los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio. Según la Ley Orgánica de Protección de Datos española esta situación constituye una “infracción leve”.

Al no tener la empresa reclamada ninguna infracción previa, no haber obtenido beneficios directos por la conducta utilizada y no estar considerada como gran empresa, la Agencia Española de Protección de Datos fija la sanción en 2.000 euros. Contra dicha resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.