Según se relata en la resolución de la Agencia Española de Protección de datos, con fecha de 23 de agosto, el reclamante encontró una oferta de empleo a través de un portal de internet. Siguiendo las instrucciones que se indicaban en el anuncio, contactó por teléfono con la empresa y le remitió su currículum a través del sistema de mensajería instantánea WhatsApp, sin que los responsables de la misma le dieran ningún tipo de información relativa al tratamiento que efectuarían con sus datos personales ni sobre la posibilidad de ejercitar los derechos ante el responsable del tratamiento.
Al no facilitarle información alguna sobre el tratamiento que harían de sus datos personales ni de los derechos que le asistían como titular de los mismos, este decidió formalizar una denuncia ante la AEPD. En ella, también aportó un pantallazo de la web corporativa en la que constaba que solo se mostraba una dirección postal, un correo electrónico y el número de teléfono; no había referencias a quién era el responsable del tratamiento o el delegado de protección de datos. Después de que la empresa no respondiera a su requerimiento de información, el organismo inició un procedimiento sancionador.
En su resolución, la AEPD determina que la recogida de datos a través de formularios incluidos en portales web «constituye un tratamiento de datos», por lo que su responsable queda sometido a las exigencias del Reglamento europeo de privacidad (RGPD). En este sentido, la norma comunitaria define «dato personal» como «toda información sobre una persona física identificada o identificable» (lo que incluye, por ejemplo, el nombre, su número de DNI, etc.), y «tratamiento» como «cualquier operación o conjunto de operaciones realizada sobre datos personales», como la recogida, el registro o su utilización, entre otras.
Constatado, por tanto, que la captación de currículums supone el tratamiento de datos personales, la resolución recuerda que los responsables están obligados a facilitar determinada información a los ‘propietarios’ de los mismos. En concreto, según el artículo 13 del RGPD, deben comunicar, entre otros elementos, la identidad y los datos de contacto del responsable del tratamiento y del delegado de protección de datos; los fines y la base jurídica del tratamiento; el plazo durante el cual se conservará la información recogida, y los derechos que asisten al interesado (entre ellos, los de acceso, rectificación, supresión u oposición).
Tras analizar las circunstancias del caso, la AEPD entiende que la empresa titular de la oferta ha infringido los requisitos de información contenidos en el artículo 13 del Reglamento, «porque no identifica de manera apropiada a su responsable ni los derechos que asisten a los usuarios, ni las vías a utilizar para su ejercicio», una información que la normativa exige que sea facilitada. Este incumplimiento del principio de transparencia o el derecho a la información del afectado, de acuerdo con el artículo 74.a) de la Ley Orgánica de Protección de Datos española constituye una «infracción leve».
Al no tener la compañía reclamada infracciones previas, ni haber obtenido beneficios directos de su conducta, ni estar considerada como gran empresa, la Agencia «gradúa» la sanción y a fija en una cuantía de 2.000 euros. Contra la resolución, en todo caso, cabe recurso ante la jurisdicción contencioso-administrativa.
Enlace a la resolución completa: https://www.aepd.es/es/documento/ps-00237-2021.pdf
FUENTE: AEPD