Nadie dice que la LOPD sea fácil. Es más. En ciertos casos, la LOPD puede convertir algo sencillo y normal en un infierno ineficiente (para más referencias, consulten sus Grandes Éxitos I, II y III).
El caso que os expongo hoy, es el de los portales de empleo.
En el mundo real, es algo muy sencillo. Una empresa (X) necesita cubrir una vacante. Para ello, contrata la posibilidad de poner una oferta en un reconocido portal de empleo (llamémosle “Infotajos”). X publica su oferta de empleo en Infotajos, y va recibiendo los CV de los candidatos interesados en su oferta. Hace algunas entrevistas… unos descartes y… ¡enhorabuena! ¡X ha cubierto su plaza!
En el mundo LOPD, es algo un poco más complejo.
Resulta que X sólo puede tratar datos personales en 2 casos: (i) si es Responsable de un Fichero; o (ii) si es Encargado del Tratamiento. Resulta que para ser Encargado tienes que prestarle un servicio a un Responsable… Así que está descartado. Está claro, X es Responsable.
¿Pero qué pasa con Infotajos? Infotajos también recoge datos personales… y también presta servicios a Responsables… pero sólo cuando X ha contratado la oferta. ¿Entonces? ¿Infotajos es Responsable o Encargado?
En un primer momento, Infotajos recibe CV aunque los candidatos no se hayan inscrito a ninguna oferta. Entonces, dado que no está prestando ningún servicio a ningún Responsable, debe ser un Responsable en sí mismo.
Pero el candidato se inscribe en una oferta de X… y sus datos personales pasan a ser responsabilidad de X. ¿Cómo? A través de una sección de CVs responsabilidad de X, provista y alojada por Infotajos. La trama se complica.
Ahora Infotajos presta un servicio por el que trata datos personales que son responsabilidad de X. Entonces, debe ser Encargado. Pero también ha actuado de intermediario entre el candidato y X… por lo que es Responsable y además, ha cedido datos personales a X.
¿Pero se puede ser Encargado, Responsable y cedente a la vez de los mismos datos? Cosas más raras se han visto.
Bueno, tampoco es tan grave… se articulan unas condiciones de contratación lo suficientemente estrafalarias como para cumplir con la LOPD con respecto al candidato y a X… y ya está.
¿Ya está? De eso nada, monada.
Recordemos que X es Responsable de un Fichero, y como tal, debe cumplir con varias obligaciones… entre ellas… inscribir un fichero ante la AEPD, y cumplir con el deber de información de forma previa, clara y precisa.
Sólo informando debidamente, X podrá acreditar un consentimiento inequívoco del candidato para el tratamiento y posibles cesiones a las que vaya a someter a los datos del candidato (imaginemos que X es una empresa que se dedica a la selección de personal de un grupo de empresas… por poner un ejemplo).
Bueno, vale… pues que X notifique el fichero de candidatos… que no es tan complicado… y que ponga una cláusula informativa en la propia oferta de empleo, tal y como exige la Agencia Española de Protección de Datos en su Guía de Relaciones Laborales… ¡ya ves tú qué problema!
Por desgracia, a veces, la Ley no es el único problema.
Resulta que algunos portales de empleo, aun sabiendo que sus clientes/empresas son Responsables de un fichero cedido por el propio portal, rechazan las ofertas de empleo que contienen cláusulas informativas LOPD, porque dichas cláusulas, por exigencia del artículo 5.1.a) de la LOPD, informan de que los datos del candidato van a ser incorporados en un fichero responsabilidad de X.
A título personal, ignoro si tal estrechez obedece a un instinto de conservación de su negocio, a un intento de sacar más dinero por el mismo servicio, o simplemente a un criterio equivocado. Lo cierto es que discutir este tema con sus responsables se ha manifestado como el ejercicio de dialéctica más frustrante y agotador de mi vida.
Por lo tanto, sólo me queda recomendar a las empresas que publiquen sus ofertas de trabajo a través de portales de empleo, que antes de gastarse el dinero, pregunten si la empresa que gestiona el portal les permite incluir cláusulas LOPD en sus ofertas, ya que en caso de que no lo permitan, su empresa podrían incurrir en una infracción de la LOPD por “Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la Ley” (con multas entre 600 y 60.000 euros), o si su empresa se dedica a hacer la selección de personal de un grupo de empresas, incluso podría considerarse que ha procedido a “La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas” (con multas entre 300.000 y 600.000 euros).
Evidentemente, el portal de empleo tiene derecho a poner sus condiciones de uso de sus servicios, y más en una posición de dominio; sin embargo, no olvidemos que el artículo 1255 del Código Civil establece que “Los contratantes pueden establecer los pactos, cláusulas y condiciones que tengan por conveniente, siempre que no sean contrarios a las leyes, a la moral ni al orden público”.
En conclusión, si recogemos datos personales sin cumplir con el deber de información, podemos ser sancionados… aunque el responsable del canal de recogida de los datos nos lo impida.
Áudea Seguridad de la Información
Departamento Legal
www.audea.com