RGPD/LOPDGDD en selección: guía práctica sin jerga

Bases legales, transparencia, transferencias y contratos explicados para equipos de RR. HH.

En selección, procesamos datos personales todos los días. El marco legal es sencillo si lo simplificamos. En Mainder lo vemos en tres pilares: elegir la base legal adecuada, informar y respetar los derechos, y supervisar transferencias y contratos con proveedores.

Bases legales:
• Precontratación: si la persona ha aplicado a una vacante concreta, podemos usar sus datos para “medidas precontractuales”, solo para ese proceso y el tiempo necesario; no se almacena “por si acaso” para el futuro.
• Consentimiento: válido si es libre, informado y fácil de retirar; no debe ser condición para aplicar; útil para talent pools o retención de CVs tras cerrar el proceso.
• Interés legítimo: para búsquedas proactivas y networking, siempre que se haga un test interno (LIA), se informe al candidato desde el primer contacto y se dé vía clara de oposición; no ampliar usos sin aviso.
• Obligación legal: para verificaciones requeridas por ley (por ejemplo, acreditaciones o cumplimiento de igualdad) y solo lo estrictamente necesario.

Transparencia y derechos del candidato:
El aviso de privacidad debe explicar quiénes somos y cómo contactarnos, qué datos usamos y por qué, con quién se comparten, si habrá transferencias fuera del EEE y bajo qué garantías, plazos de retención, derechos (acceso, rectificación, supresión, limitación, oposición y portabilidad) y cómo ejercerlos, así como contacto del DPO si aplica. Si usamos decisiones automatizadas, explicar claramente su funcionamiento, impacto y cómo solicitar revisión humana. Se recomienda responder a solicitudes de derechos en un mes y documentar el proceso.

Transferencias internacionales y marco EEUU:
Primero se verifica “adecuación” (país reconocido por la UE). Si no, usar Cláusulas Contractuales Tipo (SCC) con evaluación de impacto de la transferencia (TIA) y medidas complementarias si el riesgo lo requiere. Con proveedores en EE. UU., podemos usar el EU-US Data Privacy Framework si la entidad está certificada; si no, SCCs y TIAs. Mantener un registro simple y revisiones periódicas.

Acuerdos de tratamiento de datos (DPA) con proveedores:
Todo proveedor que procese datos por nosotros debe firmar un contrato detallando propósito, duración, categorías de datos, medidas de seguridad, reglas de subprocesadores, asistencia en derechos y DPIAs, notificación de brechas, auditorías razonables y destino de los datos al finalizar el servicio (devolución o eliminación verificable). Señales de alerta: proveedor se declara “responsable” del reuso de datos, reserva usos vagos como “mejora de servicios”, niega auditorías o plazos de aviso, no identifica subprocesadores o países, o mueve datos fuera del EEE sin base válida.

Retención y minimización:
Recoger solo lo necesario para evaluar la candidatura y definir plazos claros. Como guía, conservar CVs y notas del proceso mientras dure el proceso más un plazo razonable para defensa ante reclamaciones; para talent pools, usar consentimiento renovable y eliminar al vencimiento o retiro del consentimiento. Para videos de entrevistas o pruebas técnicas, plazos más cortos y anonimización cuando análisis agregado sea suficiente.

Recomendación de Mainder:
Orden lógico: base legal adecuada y documentada → aviso claro al candidato → prueba de cumplimiento de derechos → transferencias con garantías → DPAs sin lagunas. Con esto, tu workflow de selección cumple “compliance by default”.

Y tú, ¿cómo justificas hoy tu base legal para búsquedas proactivas? ¿Qué explicación sencilla das a un candidato si hay soporte automatizado en el screening? ¿Cuál es tu criterio de eliminación en talent pools o entrevistas en video?