05Feb

Cinco claves para cumplir el RGPD en los procesos de selección de personal

En el ámbito empresarial, los procesos de selección de personal son uno de los escenarios de mayor riesgo para el cumplimiento de la normativa de protección de datos: manejo de currículums, entrevistas, pruebas de aptitud, referencias o verificaciones adicionales son operaciones que, aunque parezcan rutinarias, implican tratamiento de información personal conforme al Reglamento General de Protección de Datos (RGPD).

La Agencia Española de Protección de Datos (AEPD) ha reiterado en numerosas ocasiones que el cumplimiento en materia de protección de datos no es una cuestión exclusivamente documental, sino que exige integrar la privacidad en todas las fases del proceso selectivo. Sobre esa base, desde el departamento de MICROLAB hemos desarrollado los cinco aspectos esenciales que toda organización debería conocer para garantizar un proceso de selección respetuoso con el RGPD y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Para un enfoque más amplio en el ámbito laboral, puedes ampliar esta información en protección de datos y recursos humanos.

  1. El deber de transparencia

El RGPD impone la obligación de informar a los candidatos, de forma previa y comprensible, sobre el tratamiento de sus datos personales. Esta información debe facilitarse en el momento de la captación del currículo, con independencia del canal utilizado: web corporativa, plataformas de empleo, correo electrónico o entrega presencial.

El contenido mínimo de esta información debe incluir, entre otros extremos, la identidad del responsable, la finalidad del tratamiento, la base jurídica, los plazos de conservación y los derechos que asisten a los candidatos, así como el modo de ejercerlos. Si necesitas contexto sobre obligaciones generales para empresas, puedes consultar requisitos y responsabilidades de las empresas según la LOPD y el RGPD.

La ausencia de una cláusula informativa adecuada ha dado lugar a numerosas sanciones por parte de la AEPD, por lo que disponer de un aviso claro, visible y accesible en cada canal de recepción de candidaturas resulta imprescindible.

  1. La base legal del tratamiento: interés legítimo y consentimiento

Todo tratamiento de datos personales debe apoyarse en una base jurídica válida. En los procesos de selección de personal, el tratamiento de currículums para procesos abiertos puede ampararse en el interés legítimo de la empresa, siempre que el candidato haya sido debidamente informado.

Sin embargo, la conservación del CV una vez finalizado el proceso constituye una finalidad distinta, lo que exige recabar el consentimiento expreso del interesado. Conservar currículums “por si acaso” sin este consentimiento no resulta conforme a la normativa.

  1. Principio de minimización: solo datos necesarios

El principio de minimización obliga a tratar únicamente los datos estrictamente necesarios y relacionados con el puesto a cubrir. En la práctica, esto implica no solicitar información irrelevante ni indagar en aspectos de la esfera personal del candidato que no guarden relación con su idoneidad profesional. Un ejemplo práctico de aplicación del principio de minimización en el ámbito laboral lo tienes en si la empresa puede tratar el número de teléfono personal de un trabajador.

La solicitud o el uso de este tipo de información no solo infringe el RGPD, sino que puede vulnerar derechos fundamentales vinculados a la igualdad y la no discriminación.

  1. Plazos de conservación ajustados a la finalidad

Los datos personales deben conservarse únicamente durante el tiempo necesario para la finalidad con la que fueron recabados. Mientras el proceso de selección esté abierto, la conservación del CV resulta lícita.

Finalizado el proceso, la conservación para futuras oportunidades requiere consentimiento expreso. Como criterio prudente, se recomienda un plazo máximo de dos años, ya que los currículums tienden a quedar desactualizados. Superar estos plazos sin base jurídica es una de las infracciones más habituales detectadas por la AEPD.

  1. Formación del personal de Recursos Humanos

La empresa debe garantizar que las personas que participan en los procesos de selección conocen y aplican correctamente la normativa de protección de datos. Para ello, resulta esencial contar con formación periódica y con procedimientos internos claros sobre la recepción, gestión y eliminación de currículums.

En la mayoría de los casos, los incumplimientos no derivan de la inexistencia de políticas, sino de su incorrecta aplicación. Por ello, la formación es una pieza clave de la responsabilidad proactiva exigida por el RGPD.

En definitiva, cumplir con estas claves en los procesos de selección no es solo una obligación legal, sino una buena práctica que permite desarrollar procesos eficientes y alineados con la normativa de protección de datos.

Desde MICROLAB aportamos el asesoramiento y la formación necesarios para que la captación de talento sea eficiente, lícita y protegida frente a los riesgos derivados de una mala gestión de datos personales. Si quieres ver el alcance de la adaptación, puedes consultar nuestros servicios de adecuación al RGPD y LOPDGDD y, si necesitas contexto adicional, por qué deberías contratar una empresa de protección de datos.

Share this post

Related Posts

teletrabajo
Principales medidas de seguridad para el teletrabajo

El teletrabajo se ha convertido en una modalidad cada vez...

28/11/2024
¿Qué páginas web necesitan adecuarse a la LSSI?

La transformación digital ha traído consigo un sin número de...

07/03/2024
¿Es obligatorio cumplir la Ley de Protección de Datos?

En Microlab recibimos con frecuencia preguntas de empresas y...

30/10/2025
Teletrabajo - cinco claves para no compomenter la seguridad de la empresa
Teletrabajo: cinco claves para no comprometer la seguridad de la empresa

El coronavirus ha obligado a miles de trabajadores a cambiar...

17/02/2022
Microlab Hard S.L.
Textos legales para tu web: Cumple con la LOPD-GDD y el RGPD en tu página

Contar con textos legales para tu web es imprescindible para...

03/07/2025
La importancia del consentimiento para publicar imágenes de clientes en redes sociales según el RGPD

En la actualidad, las redes sociales se han convertido en...

07/11/2024
¿Qué datos se encuentran excluidos de la LOPD?
¿Qué datos se encuentran excluidos de la LOPD?

La Ley Orgánica de Protección de Datos es un instrumento...

04/10/2021
Tres claves para cumplir la normativa de protección de datos
Tres claves para cumplir la normativa de protección de datos durante el control a los trabajadores

La Ley Orgánica 3/2018, de Protección de Datos Personales y...

27/01/2022
Sancionan a la discoteca Fabrik por enviar publicidad a un usuario tras solicitar la baja de sus datos

La discoteca madrileña envió varios mensajes de texto (SMS) con...

02/03/2023
Requisitos de la LSSI sobre el uso de cookies

En la actualidad, casi todas las páginas web utilizan cookies...

13/11/2025