Niveles de seguridad
Según Informe 0623/2009, del Gabinete jurídico AEPD, respecto al fichero en el que consten los Curriculums y copias de las titulaciones de los empleados, el informe de fecha 27 de abril de 2009, de la Agencia analiza porque deben de adoptarse medidas de seguridad de nivel medio, en los ficheros que consten, señalando que:
El artículo 81 señala la aplicación de los niveles de seguridad ,
“1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.
- Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
- f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
El Reglamento establece tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos personales. En todo caso, se encontrarán comprendidos en el artículo 81.2 f) todos los ficheros que contengan datos a partir de los cuales puedan deducirse los hábitos, preferencias, aficiones, actividades o posición económica de los afectados, datos curriculares que incluyan información muy detallada sobre el sujeto que permitan deducir un perfil de estudios o de trabajador como tendría el fichero para la selección de personal al que se refiere la consulta, de modo que el nivel de medidas de seguridad aplicable al supuesto consultado será el nivel medio, debiendo también aplicarse las medidas de nivel básico, toda vez que los niveles son acumulativo”
No obstante existen interpretaciones que opinan que de los tres niveles de seguridad de datos definidos en el RD 1720/2007 los datos contenidos en pruebas psicotécnicas se consideran datos de nivel medio, dado que permiten obtener el perfil de una persona, excepto que en las preguntas se soliciten datos especialmente protegidos (salud, tendencias sexuales, ideología, etc.) o se puedan averiguar como consecuencia de las preguntas.
Deber de información
Asimismo, el deber de información del art. 5 LOPD forma parte del contenido esencial del derecho a la protección de datos. Este carácter esencial lo posee tanto en el caso de la recogida de los datos personales para un tratamiento que requiera consentimiento como en el supuesto de que no lo requiera. «El artículo 5 de la Ley Orgánica 15/1999 viene a establecer un deber impuesto en general a los responsables de los tratamientos, de tal suerte que, en principio, será necesario informar al afectado del tratamiento de sus datos de carácter personal, tanto en los supuestos en que el mismo cuenta con el consentimiento del mismo como en los casos en que el tratamiento se encuentra habilitado por otras causas admitidas por el artículo 6 de la propia Ley. (Informe 60/2004)
«1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
El primer tratamiento de datos personales puede producirse cuando el futuro trabajador sea un simple candidato a un puesto. Para ello deben tenerse en cuenta, cuando los recursos lo permitan, disponer de impresos de modelos de impresos tipo para la formalización del currículum, y de un procedimiento de formalización y entrega de los mismos por los candidatos, ya que ello permite no sólo informar adecuadamente sino definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad etc.
Si para la selección de personal se realiza algún tipo de anuncio o convocatoria pública debería incluirse en ella la información del art. 5 LOPD.
Si el currículum se presenta directamente por el candidato sin habérsele solicitado deben fijarse procedimientos de información que supongan algún acuse o confirmación de conocer las condiciones en las que se desarrollará el tratamiento. Ej. Si el currículum se remitió por correo postal o electrónico y se cuenta con una dirección electrónica facilitada por el propio interesado puede remitírsele información por ese medio solicitando confirmación de la recepción y condicionando el tratamiento de los datos al acuse de recibo. Si se presentó en un mostrador u oficina de atención debería ser informado allí por cualquier medio que acredite el cumplimiento de este deber como por ejemplo carteles, documentos de acuse de recibo y en general cualquier medio que garantice y permita probar el cumplimiento del deber de información. No debe olvidarse que el Reglamento de desarrollo de la Ley Orgánica de protección de datos indica que el deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
¿Cuánto tiempo pueden conservar mis datos personales?
La Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone además que “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.
La entrega de un curriculum por el candidato, aunque no se especifique, persigue un fin, que es su incorporación a un proceso de selección de personal. Por tanto, los datos que se incluyan en el mismo no podrán ser utilizados para otras finalidades, ni podrá cederlos a terceros, empresas, etc… Sin el consentimiento expreso e inequívoco del candidato, titular de los datos.
Los datos sólo se conservarán el tiempo estrictamente necesario atendiendo a la finalidad de la recogida, por lo que, el currículum deberá destruirse en un tiempo prudencial, no obstante habrá que estar a lo dispuesto en los avisos legales oportunos en el momento de información como bien hemos mencionado anteriormente en el momento de recogida del curriculum. Hay criterios que establecen que en el plazo de un año no obstante en estos casos, los datos personales del curriculum, pueden haber sufrido variaciones importantes, por lo tanto un curriculum no actualizado pierde su validez por poder estar desactualizado. No obstante pueden conservarse por diversos motivos que deben estudiarse en cada caso, lo cual podría establecerse en su caso en el propio anuncio o impreso de recogida.