Una reciente resolución de la Agencia Española de Protección de Datos (AEPD) apunta que la práctica generalizada en muchas empresas que reciben currículos de muchos aspirantes sin dar el oportuno acuse de recibo de su recepción informando a esos aspirantes de sus derechos de privacidad, rectificación, responsable del tratamiento de los datos, etc… tal y como exige la LOPD puede ser constitutivo de una infracción sancionada con multa de 2000€.
El caso analizado hace referencia a una oferta de empleo en internet contestada por un aspirante siguiendo las instrucciones del anuncio, contactando por teléfono con la empresa y remitiendo su CV a través del WhatsApp sin que posteriormente los responsables de la empresa le dieran ningún tipo de respuesta. Al no facilitarle información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, el aspirante decidió formalizar una denuncia ante la AEPD aportando un pantallazo de la web corporativa en la que únicamente constaba una dirección de correo postal, un correo electrónico y un número de teléfono sin que figurara por ninguna parte quién era el responsable del tratamiento o el delegado de protección de datos.
La resolución de la AEPD señala que la recogida de datos a través de formularios incluidos en portales web constituye un tratamiento de datos, por lo que el responsable de tal recogida queda sometido a las exigencias del Reglamento Europeo de Privacidad (RGPD) que define dato personal como «toda información sobre una persona física identificada o identificable» y tratamiento como «cualquier operación o conjunto de operaciones realizada sobre datos personales«. En este sentido, constando que esa captación de CV supone un tratamiento de datos personales, la resolución recuerda que, según el Art. 13 RGPD, los responsables de dicho tratamiento están obligados a facilitar determinada información a los propietarios de los mismos entre la que se encuentra la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos, los fines, la base jurídica del tratamiento, el plazo durante el que se conservará la información recogida, y los derechos que asisten al interesado (acceso, rectificación, supresión y oposición).
Por todo ello, la AEPD entiende que la empresa infringió los requisitos de información contenidos en el Art. 13 RGPD al no identificar de manera apropiada ni al responsable ni los derechos que asisten a los usuarios, ni las vías para ejercitar los derechos correspondientes vulnerando con ello el principio de transparencia y el derecho a la información siguiendo el Art. 74.a) LOPD, constituyendo tal comportamiento una infracción que, al no constar infracciones previas, ni haber obtenido beneficios directos de tal conducta, ni estar considerada como gran empresa, la AEPD gradúa como Leve y sanciona con una multa de 2.000€. Sanción que no es firme y puede ser impugnada ante la Jurisdicción Contencioso-Administrativa.
La Ley está para cumplirse –está claro- pero a mi juicio las exigencias de la LOPD no afectan de manera uniforme a todas las empresas. Todos somos objeto de llamadas de operadoras de telecomunicaciones que no son la nuestra y que tienen nuestros datos sin que se los hayamos facilitado extremo que vino a solucionar dicha LOPD y que no ha solucionado mientras se está utilizando para atacar a empresas y autónomos de manera cruel por incumplimientos leves -como el que traemos aquí hoy- o para entorpecer la vida de los ciudadanos mientras los auténticos incumplimientos se soslayan. Urge una reforma que aporte lógica y practicidad al mundo de la necesaria Protección de Datos.