¿Cómo gestionar los currículums en la farmacia?

Recientemente la Agencia Española de Protección de Datos ha sancionado a una empresa por incumplir el deber de información del tratamiento de datos en la recepción de un currículum. Seguro que esta noticia la conocéis, por algún medio de comunicación con titulares un tanto alarmistas como “No contestar a un currículum es sancionable”, “Multa por no responder a un currículum”... Efectivamente han multado a una empresa por no proporcionar la información correcta sobre sus datos al interesado, pero es necesario desgranar la Resolución para no alarmar a las empresas y/o profesionales, ya que por mi experiencia, cuando informo a mis clientes sobre el correcto tratamiento de los datos de candidatos y currículums, muchos contestan: “Pues entonces no recojo currículums” y esa no es la actitud, ya que inevitablemente se necesitan trabajadores, y además éstos no tienen la culpa de que se deban cumplir unas normas, lógicas por otro lado. Es como si dijéramos, si tengo que recoger el consentimiento de un cliente potencial interesado en mis servicios para enviarle información sobre mis productos, pues no quiero más clientes ¿verdad que no pensaríamos esto nunca? Pues igualmente, si tenemos que recoger el consentimiento de un candidato para que podamos conocerlo, contratarlo y beneficiarnos de su experiencia, pues tendremos que hacerlo. Lo más conveniente es tener un protocolo sencillo para cumplir la normativa sin dejar de realizar acciones que nos beneficien. Volviendo a la Resolución: efectivamente la empresa tenía publicada una oferta de trabajo a través de una plataforma web y no proporcionaba en esta ninguna información sobre protección de datos al interesado, requisito obligatorio no sólo para la recepción de currículums sino para cualquier formulario de recogida de datos que tengamos en la web. El interesado no obstante voluntariamente envió el currículum, con lo cual estaba proporcionando su consentimiento mediante una clara acción afirmativa, pero aun así la empresa debía cumplir con el deber de información respecto al tratamiento de esos datos y los derechos que le asisten, y ni le informó antes de enviar el currículum ni después por cualquier otro medio. Con todo ello ¿qué debemos tener en cuenta? ¿qué protocolo debemos aplicar y tener presente en estos casos? Podemos clasificar el protocolo en base a tres aspectos:

1. Vacante actual: Tenemos una vacante en la empresa y publicamos una oferta de trabajo.
2. Interés en CV sin vacante actual: No tenemos actualmente una vacante en la farmacia, pero nos interesa tener currículums porque en nuestra actividad la rotación de empleados es frecuente o porque necesitamos que se cubran las vacaciones de los empleados fijos, guardias, etc.
3. No interés en CV, trabajadores fijos sin rotación: No tenemos ninguna vacante ni tampoco rotación, por lo que no nos interesa tener currículums porque salvo que se produzca una situación extraordinaria no variamos de empleados.

Una vez que tenemos claro en qué grupo se puede encuadrar nuestra farmacia, procedemos a identificar qué debemos hacer en cada caso:   1.- Vacante actual:

• Si publicamos la oferta en nuestra página web o en otra plataforma web no corporativa, debemos insertar una cláusula informativa y un check de consentimiento en el que el usuario nos indique que se da por informado de las condiciones del tratamiento de sus datos por el envío del currículum. A modo de ejemplo, en nuestra página web tenemos un “Formulario de Empleo” para añadir ofertas y demandas de empleo para farmacias https://www.audifarma.es/empleo/nuevo
• Si proporcionamos una dirección electrónica o número de teléfono para que nos remita el CV, o si nos lo remite a través del formulario de contacto genérico de la web, si bien nos está proporcionando el consentimiento con el sólo hecho de enviárnoslo, debemos informarle contestando a ese mensaje. Podemos generar una respuesta automática incluyendo en ella la información exigida en el artículo 13 del RGPD. Es necesario que se fijen procedimientos de información que supongan algún acuse o confirmación de que se han conocido las condiciones del tratamiento, por lo que se puede exigir que nos conteste o al menos solicitando confirmación de lectura mediante acuse de recibo.
• Si nos presenta el CV de forma presencial, deberá ser informado en ese momento, por cualquier medio que acredite el cumplimiento del deber de información, como por ejemplo un documento de acuse de recibo firmado.

La información proporcionada se debe ajustar al artículo 13 del RGPD, si bien la finalidad deberá ser acorde al tratamiento realizado, que este caso sería la de hacer partícipe al interesado en el proceso de selección de personal, incluso mediante un análisis del perfil del solicitante. 2.- Interés en CV sin vacante actual: En este caso el procedimiento será el mismo que en el apartado anterior, a excepción del primer apartado, ya que si no tenemos una vacante actual evidentemente no publicaremos ninguna oferta en web propia o externa. La diferencia se encontrará en la información que proporcionemos, ya que la finalidad en este caso será la de conservar el CV para informar o hacer partícipe al interesado de futuros procesos de selección de personal. Es posible que nos interese conservar los datos de candidatos no seleccionados en un proceso concreto, por lo que debemos en ese caso recoger de nuevo un consentimiento en el que nos autorice para conservarlo con esta finalidad. 3.- No interés en CV: Este es el caso más particular porque si el interesado mediante candidatura espontánea nos remite su currículum, pero no queremos conservarlo, igualmente debemos informar qué vamos a hacer con esos datos que nos ha entregado. En este caso, bien sea de forma presencial o mediante comunicaciones electrónicas debemos recoger el acuse de recibo por medios fehacientes en el que le informamos de que vamos a proceder a la destrucción de los datos por no haber sido solicitado y no tener abierto ningún proceso de selección de candidatos. Otras particularidades:

• En todos los casos, debemos tener en cuenta que no podremos ceder los datos a terceros sin el consentimiento del interesado. Esto ¿qué quiere decir? Pues que, si yo no necesito personal, pero me envían un CV de una persona con un perfil que se que le puede cuadrar en la farmacia de mi amigo, por mucho que piense que voy a “hacer una buena obra” porque voy a ayudar a mi amigo y al candidato, estamos cometiendo una ilegalidad. Podremos enviárselo siempre y cuando se lo comuniquemos al interesado y recojamos de forma fehaciente su consentimiento para esa comunicación o cesión de datos.
• Caducidad y conservación de los datos. El RGPD establece que los datos se han de conservar durante el menor tiempo posible. En el caso de los CV se considera que el plazo de conservación debe estar comprendido entre los 12 y los 24 meses, ya que es un tiempo razonable para que alguien en búsqueda activa de empleo haya realizado nuevas formaciones, titulaciones, calificaciones, etc. El plazo establecido se debe comunicar al interesado en la cláusula informativa.
• Una vez expirado el plazo establecido de conservación (no más de 24 meses) se debe destruir el currículum y proceder a la supresión y bloqueo de los datos personales. Debemos archivar la información por fecha de recepción a fin de proceder a su destrucción en el periodo máximo establecido.
• No sólo destruiremos la información en papel mediante destructoras, si la información está informatizada debemos suprimir los documentos, borrar los emails y todos aquellos formatos en los que podamos haber almacenado los datos.
• Independientemente del método de recogida de los datos y del cumplimiento del deber de información, siempre debe ser un medio que permita acreditar su cumplimiento, conservándose mientras conservemos el currículum.

En definitiva, como para cualquier otro protocolo relacionado con la normativa de protección de datos, se debe contar con asesores especializados que les proporcionen tanto los procedimientos como los documentos exigibles para cumplir la normativa. Verónica García Doylataguerra Consultora protección de datos Audifarma