Muchas veces una norma mal interpretada puede parecer contraria al sentido común. En el artículo de hoy quiero aclarar una cuestión que seguro ha generado más de un quebradero de cabeza a los compañeros de selección de recursos humanos; pues, aunque parezca sencillo, es un tema con muchas aristas.

Normativa de protección de datos

La normativa de protección de datos resulta de aplicación material sobre «el tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». Desgranemos a alto nivel esta definición:

En primer lugar, recordemos que se considera «dato personal» toda información relativa a una persona física identificada o identificable. En otras palabras, todo aquel dato que, solo o en combinación con otros, permita su asociación a una persona (Ej. el dato “domicilio Zaragoza” asociado a un nombre y apellido) o su identificación (Ej. un nombre completo o un DNI), generando información sobre ella.

En segundo lugar, el término «tratamiento» significa cualquier operación realizada sobre datos personales: recoger, almacenar, estructurar, enviar, modificar, interconectar, etc.

Los conceptos de «automatizado o no automatizado» no presentan gran complejidad, fundamentalmente significa que la normativa abarca tanto al tratamiento de datos digitales como al de datos en papel. Por su parte, «fichero» significa todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

La última parte de la definición, sin embargo, puede contener la clave para responder a la pregunta formulada. La normativa se aplica cuando los datos personales estén contenidos o destinados a ser incluidos en un fichero.

Por tanto, según el contexto concreto, nos encontraremos con diferentes matices a la pregunta “¿impide la normativa de protección de datos pedir referencias de un ex empleado?”.

Variables que intervienen

A modo de ejemplo, podrían intervenir las siguientes variables:

Si el candidato ha facilitado proactivamente datos de contacto de personas a las que solicitar referencias o si la empresa se los ha pedido.
Si la empresa ha contactado directamente con la empresa que consta en el CV.
Si las referencias van a almacenarse o no en algún sitio (ya sean notas internas del reclutador captadas tras una llamada telefónica o un documento escrito certificado por el Departamento de RRHH de la empresa anterior).
El contenido solicitado o facilitado en las referencias.

Estos factores intervendrán en la valoración de la condición de licitud que ampare o no a la empresa seleccionadora a recoger e incluir esos datos en un fichero de candidatos, los cuales, para su validez deberán ser complementados en todo caso con el cumplimiento de diversas obligaciones exigidas por la normativa, como puede ser el deber de información, seguridad de los datos y atención de derechos.

Por otro lado, desde la perspectiva de la empresa a la que se le solicitan referencias también debemos preguntarnos si ésta las podría dar sin incurrir en un incumplimiento. Nuevamente, habrá tantos supuestos como se nos ocurran.

¿Impide la protección de datos pedir referencias de un ex empleado/a?

A grandes rasgos resulta interesante distinguir entre aquellas referencias dadas verbalmente por un trabajador de la ex empresa del candidato de aquellas facilitadas por escrito, así como aquellas que sean impresiones o valoraciones subjetivas de aquellas que sean datos concretos sobre el desempeño (Ej. José G. vendió un 53% más que el resto de sus compañeros el primer semestre del año pasado).

Así, por ejemplo, las referencias consistentes en valoraciones subjetivas facilitadas verbalmente, desde el punto de vista del encuestado, en mi opinión, no entran dentro del ámbito de aplicación de la normativa de protección de datos.

Pues, aunque la AEPD ha dicho claramente que también constituyen datos personales, en el momento en el que son facilitados por el encuestado no se encuentran contenidos en ningún fichero ni están destinados a incorporarse en un fichero del encuestado.

Estos mismos datos, sin embargo, sí que suponen un tratamiento para el seleccionador cuando tenga previsto su registro en un fichero de su responsabilidad o por cuenta de un tercero (pensemos en consultoras de selección que actúan como intermediarias para un cliente), momento en el que será de aplicación la normativa de protección de datos en toda su extensión.

¿Quieres especializarte en Dirección de Compliance y protección de datos?

El Máster en Dirección de Compliance y Protección de Datos te convertirá en un/una profesional de alta cualificación con las competencias necesarias para realizar tareas especializadas en dos de las áreas más relevantes tanto para empresas privadas como para administraciones públicas: la protección de datos y el cumplimiento normativo o Compliance.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Nombre y apellidos *

Correo electrónico *

Política de Privacidad *

*Doy mi consentimiento expreso y acepto la Política de privacidad.

Información básica sobre protección de datos.
Responsable del tratamiento: Mainjobs Internacional Educativa y Tecnológica S.A.U
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad