Cómo gestionar los datos de los currículums

Desde el boletín LOPD en la empresa nos recuerdan que en toda empresa se deben analizar las distintas fuentes de entrada de datos personales en la entidad.

 

Es habitual recibir en las empresas curriculum vitae de posibles candidatos que quieren optar a un puesto de trabajo, ya sea a través de un proceso de selección de personal que la empresa haya iniciado, o siendo el propio candidato el que facilita sus datos a la empresa de forma espontánea.

Una vez recibido el currículum, podemos encontranrnos ante dos posibles alternativas:

a) Que NO nos interese: en este caso, hemos de destruir el currículum con una trituradora o sistema similar, de forma que no sea posible recuperar esos datos (si lo hemos recibido por mail, borraremos el correo).

b) Que SÍ nos interese: en caso de que guardemos el currículum hemos de informar al titular del mismo de que vamos a guardar dichos datos para procesos de selección de personal e indicarle quién es el responsable del fichero y cómo puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Hemos de tener en cuenta que, a los currículums que guardemos, les hemos de aplicar las medidas de seguridad de nivel medio.

Evolución de la Ley de Protección de Datos

La normativa sobre protección de datos tendrá un alcance global en un futuro. Tras su implantación en Alemania hace más de 30 años, se está tratando de armonizar esta normativa en todos los países de la Unión Europea. A su vez, se está implantado esta normativa en los países de Latinoamérica.

Con respecto a la evolución de la normativa sobre protección de datos, hemos de destacar las siguientes fechas: 

• 1977 Alemania. Aparece la “Ley De Protección Contra el Abuso de Datos Personales, en el Proceso de Datos”
• 1978 Constitución Española. En su artículo 18 relativo al Derecho al honor, a la intimidad personal y familiar y a la propia imagen, así como a la limitación en el uso de la informática para garantizar esto.
• 1992 España. Aparece la “Ley Orgánica De Regulación Del Tratamiento Automatizado De Datos” (LORTAD).
• 1999 España. Aparece la “Ley Orgánica De Protección De Datos De Carácter Personal” (LOPD).
• 2007 España. Aparece el Reglamento de Desarrollo de la LOPD (RD1720/2007).

La recogida de datos por parte de la Policía Local

La Agencia Española de Protección de Datos (AEPD) aclara en su boletín LOPD en la Empresa algunas cuestiones relacionadas con la recogida de datos por parte de la Policía Local.

En este sentido, el informe 0512/2010 de la AEPD resuelve la consulta planteada sobre la posible vulneración de la LOPD, y a su Reglamento de desarrollo, por el hecho de que la policía local que controla el acceso a las dependencias municipales donde se celebran los Plenos del Ayuntamiento (Sala de Juntas), recoja los datos de nombre, apellidos, DNI y lugar al que se dirigen de las personas que pretendan presenciar dichos Plenos, siendo la finalidad de su recogida el control de seguridad de acceso al edificio.

Tal y como se desprende de dicho informe jurídico, la Policía Local forma parte de las Fuerzas y Cuerpos de Seguridad del Estado, pues así lo dispone el artículo 1.4 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad. En consecuencia, si el Ayuntamiento tiene atribuida la prestación del servicio de seguridad y control de acceso al edificio a la unidad correspondiente de la policía local, no estaríamos ante un supuesto de vulneración de la LOPD. 

No obstante, ello implica que el Ayuntamiento, como responsable del fichero, deberá asumir el cumplimiento de todas las obligaciones establecidas en la LOPD, incluida la inscripción del fichero en el Registro General de Protección de Datos. Por tanto, debería indicarse al interesado qué dependencia municipal va a ser responsable del tratamiento, ante la que poder ejercitar sus derechos y la finalidad del fichero.

En conclusión, hay que tener en cuenta que, siempre que se traten datos personales, deben implantarse las medidas de seguridad oportunas.

Imagen: Freedigitalphotos.net

Difusión por email de ficheros con datos personales

Toda empresa debe ofrecer formación adecuada para el personal que trata datos personales, ya que un uso indebido de estos datos puede suponer sanciones económicas importantes. Desde INPD, somos conscientes de lo importante que es conocer la legislación vigente para cumplirla. Por eso os traemos un ejemplo de un caso real, gestionado por la Agencia Española de Protección de Datos (AEPD).

En el procedimiento sancionador PS/00559/2011 de la AEPD podemos ver la sanción que puede sufrir una entidad por enviar de forma accidental un fichero que contenía datos personales, adjunto a un correo electrónico.

Una usuaria denunció a un centro de bienestar del que fue cliente, por haberle remitido un correo electrónico que contenía un fichero adjunto con datos de 9.293 personas, incluyendo los suyos. Dicho fichero contenía datos personales de las personas afectadas, tales como nombre, apellidos, domicilio, teléfono (línea fija y móvil), dirección email, número de DNI y sexo.

Durante las actuaciones quedó acreditado que la empresa denunciada remitió a terceros un documento en el que figuran los datos personales de abonados de la entidad. Información que no puede ser facilitada a terceros, salvo consentimiento de los afectados o que exista una habilitación legal que permita su comunicación, circunstancias que no se dan en el presente caso.

Por tanto, queda acreditado que, por parte de dicha entidad, se vulnera el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado que terceras personas tuviesen acceso a datos personales de los afectados. Como resultado, el centro de bienestar demandado obtuvo una sanción de 3.000 € por vulneración del artículo 10 de la LOPD relativo al deber de secreto.

Imagen: freedigitalphotos.net