InicioBase de conocimiento › Datos de candidatos: conservación y destrucción
RRHH

Datos de candidatos: conservación y destrucción bajo el RGPD

Datos de candidatos: conservación y destrucción bajo el RGPD

Los datos de candidatos quedan bajo el RGPD desde el momento en que un candidato se postula. La regla principal es corta. Al terminar el proceso, conserva los datos de un candidato rechazado unas cuatro semanas y después los destruye. Si quiere conservarlos más tiempo, pide consentimiento, normalmente hasta un año. A continuación lee qué cuenta como datos de candidatos, qué plazos se aplican y cómo ordenarlos de forma confidencial.

La selección produce muchos datos personales. Un CV, una carta de motivación, un assessment, referencias y sus propias notas de las entrevistas. Esos datos no deben quedarse indefinidamente en un buzón o un archivador. El RGPD exige la limitación de la conservación, así que no los guarda más tiempo del necesario. Al mismo tiempo, a veces quiere mantener a un buen candidato a la vista para una vacante posterior. Este artículo muestra cómo resolver ambas cosas con orden sin infringir la ley. Tratamos los plazos, el papel del consentimiento y los pasos prácticos para ordenar los datos de candidatos en papel y digital de forma confidencial.

¿Qué son los datos de candidatos?

Los datos de candidatos son todos los datos personales que recibe o crea usted mismo durante un proceso de selección. Abarcan el CV, la carta de motivación, los datos de contacto, el historial formativo y laboral, el resultado de un assessment o test en línea, las referencias obtenidas y las notas que su responsable de selección o jefe toma durante las entrevistas. La correspondencia por correo electrónico o LinkedIn también cuenta. A veces esos datos tocan una categoría especial, por ejemplo cuando un candidato menciona algo sobre su salud o cuando pide un certificado de antecedentes. Una copia de un documento de identidad es justo lo que no debe pedir en la fase de candidatura, eso llega solo en la contratación. Cuanto más sensible el contenido, con más cuidado trata la conservación y la destrucción. Un resumen del contexto más amplio del orden confidencial está en nuestro artículo sobre la destrucción de datos.

El plazo estándar: cuatro semanas

La autoridad de protección de datos mantiene como orientación que puede conservar los datos de un candidato rechazado hasta cuatro semanas tras el fin del proceso de selección. Ese plazo corto le da margen para explicar un rechazo o responder a una pregunta del candidato. Después ya no hay base legal y debe destruir los datos. Cuatro semanas no es una cifra legal estricta, sino una norma ampliamente aceptada que muestra que se toma en serio la limitación de la conservación. Guardar demasiado tiempo sin motivo es una infracción, aunque no vuelva a mirar los datos. Por eso planifique el orden enseguida en cuanto se cubra una vacante, para que las candidaturas rechazadas no se queden meses. Un momento fijo cada trimestre en el que revisa los procesos terminados evita que viejos CV se acumulen en su sistema.

Conservar un año con consentimiento

Si quiere mantener a un candidato a la vista más tiempo, se permite hasta un año tras el fin del proceso, siempre que el candidato lo consienta expresamente. Suele pedir ese consentimiento en el rechazo, en el mismo correo. El candidato debe ser libre de decir no y de retirar el consentimiento en cualquier momento. Un rechazo no puede depender de dar el consentimiento, porque entonces no es libremente otorgado. Registre cuándo y para qué se dio el consentimiento, porque sin esa prueba queda en posición débil en una inspección. El año es un máximo, no un estándar. Si ya no necesita los datos antes, ordénelos antes. Si el año pasa sin que haya seguido una nueva vacante, destruye los datos de todos modos.

La cantera de talento

Muchos empleadores guardan a los candidatos interesantes en una cantera de talento. Eso también se permite solo con consentimiento, y con el mismo cuidado que la opción de un año. Dígale al candidato con claridad qué guarda, por qué y cuánto tiempo. El consentimiento debe ser específico para la cantera de talento, no escondido en condiciones generales. Reconfirme el consentimiento periódicamente, por ejemplo cada año, para que la cantera no se quede llena de gente que perdió el interés hace tiempo. Dele al candidato una forma sencilla de darse de baja y atienda esa solicitud enseguida. Una cantera de talento sin mantenimiento se convierte automáticamente en una colección de datos caducados que ya no puede conservar y que juega en su contra en una inspección.

¿Cuándo empieza a correr el plazo?

El plazo empieza al final del proceso de selección. Ese momento se alcanza en cuanto ha cubierto la vacante o ha enviado un rechazo al candidato. En una candidatura espontánea sin vacante concreta, el plazo empieza en el momento en que ha evaluado la candidatura. Lleve registro de ese momento de inicio por candidato, para saber luego exactamente cuándo vencen las cuatro semanas o el año. Un campo fijo en su sistema de selección con la fecha de fin del proceso hace mucho más sencillo el orden posterior. Algunos sistemas pueden programar automáticamente un recordatorio o una eliminación en esa fecha, lo que reduce mucho el riesgo de datos olvidados. Si no lo tiene, ponga usted mismo una tarea recurrente en su agenda.

Una breve tabla de conservación

DatoPlazo de conservaciónNota
CV y carta de motivación (rechazado)4 semanas tras el fin del procesoLimitación de la conservación RGPD
CV con consentimiento del candidatoHasta 1 año tras el fin del procesoConsentimiento, retirable libremente
Assessment y resultados de test4 semanas, o 1 año con consentimientoSigue a la candidatura
Referencias y notas4 semanas tras el fin del procesoLimitación de la conservación RGPD
Cantera de talentoMientras valga el consentimientoReconfirmar periódicamente
Candidatura de un candidato contratadoPasa al expediente de personalPlazos propios por documento

Los datos de candidatos aún no son un expediente de personal

Un malentendido frecuente es que los datos de candidatos quedan automáticamente bajo los plazos del expediente de personal. No es así. Mientras una persona no esté contratada, se aplican los plazos cortos de la selección. Si contrata al candidato, solo los documentos relevantes pasan al expediente de personal y adoptan los plazos de conservación que les corresponden. Las candidaturas rechazadas de la misma ronda mantienen el plazo de cuatro semanas o el año. Esa distinción importa, porque el expediente de personal tiene plazos mucho más largos que a veces llegan hasta siete años tras el fin del contrato. Cómo ordenar un expediente de personal está en nuestra guía sobre destruir el expediente de personal. Qué plazos se aplican ahí está en la guía rápida de plazos de conservación del RGPD.

¿Quién puede acceder a los datos de candidatos?

Los datos de candidatos son confidenciales y solo deben ser accesibles para las personas que realmente los necesitan. En la práctica son el responsable de selección y el jefe implicado. Un CV que circula en un buzón compartido o en una unidad general a la que llega media organización es un riesgo. Limite el acceso en su sistema de selección a los roles adecuados y no comparta los CV más ampliamente de lo necesario. Envíe un CV mediante un enlace seguro en el sistema en lugar de como adjunto que se reenvía sin que se note. Cuantas menos personas tengan acceso, menor es el riesgo de una brecha de datos y más fácilmente podrá mostrar después que trató los datos con cuidado.

¿Dónde están los datos de candidatos?

Antes de poder ordenar, debe saber dónde están los datos. Los datos de candidatos rara vez están en un solo lugar. Piense en su sistema de selección o ATS, el buzón con los CV como adjunto, una unidad compartida con entrevistas impresas, los CV impresos sobre una mesa o en una carpeta y los mensajes sueltos por LinkedIn o WhatsApp. No olvide tampoco las copias que algunos compañeros imprimieron para sí mismos durante una ronda de entrevistas. Haga un breve inventario de todos esos lugares, porque los datos que olvida son justo los que se quedan demasiado tiempo. Solo cuando tiene el cuadro completo puede ordenar por entero, tanto en digital como en papel.

Destruir los datos de candidatos en papel

Los CV impresos, los assessments impresos y las notas manuscritas no van con el papel viejo. Tirarlos sin triturar es una brecha de datos que debe notificar a la autoridad de protección de datos. Por eso triture los datos de candidatos en papel como mínimo al nivel DIN 66399 P-4. Use el P-5 si hay datos especiales o una copia de un documento de identidad. Reúna el papel entretanto en un contenedor cerrado en lugar de una papelera abierta, para que un CV no quede tirado a medio camino. Una simple trituradora de oficina no siempre alcanza el nivel adecuado y no produce prueba. Con volúmenes mayores o una ronda de orden anual, externalizar a una empresa de destrucción suele ser más práctico y más demostrable.

Destruir los datos de candidatos en digital

Ordenar en digital es más que arrastrar un archivo a la papelera. En su ATS elimina el perfil y vacía la papelera. Compruebe también que el proveedor retira los datos de las copias de seguridad en un plazo razonable. En el buzón borra los mensajes con los CV como adjunto, incluida la carpeta de elementos enviados. Su proveedor de ATS es un encargado del tratamiento, así que ahí corresponde un contrato de encargo que indique cómo y cuándo se retiran los datos. Arrastrar un archivo a la papelera no es lo mismo que destruir, porque los datos a menudo siguen en el disco. Si hay datos de candidatos en un portátil viejo, un teléfono o una memoria USB que retira, destruye físicamente ese soporte de datos o lo hace destruir.

Retirar el consentimiento y el derecho de supresión

Un candidato puede retirar su consentimiento en cualquier momento y puede pedir la supresión de sus datos. Si llega tal solicitud, suprime los datos del candidato sin dilación indebida, salvo que haya un motivo legal para conservarlos de todos modos. Para los datos de candidatos esa excepción es rara, porque normalmente no recae sobre ellos una obligación de conservación fiscal u otra. Confirme al candidato que los datos se han suprimido. Una tramitación rápida y cuidada de tal solicitud refuerza la confianza y evita una reclamación ante el supervisor.

Destrucción demostrable con un certificado

El RGPD pide no solo que ordene, sino también que pueda mostrarlo. Si hace destruir datos de candidatos en papel o en soportes de datos, pida un certificado de destrucción con la fecha, la cantidad y el nivel. Anote la destrucción en su registro de actividades de tratamiento y describa en una breve política cómo y cuándo ordena los datos de candidatos. Así convierte un acto aislado en una forma de trabajar fija que puede mostrar en unos minutos durante una inspección. Conserve el certificado al menos cinco años en su expediente RGPD, en un lugar fijo donde sea localizable. Una prueba que no puede presentar no cuenta en la práctica. Más sobre esto en la destrucción demostrable para el RGPD.

La recogida sellada refuerza la cadena

Con la externalización, la certeza empieza ya en la recogida. Recogemos su material en un radio de 20 km alrededor de Ámsterdam, sellado, para que la cadena de su oficina hasta la destrucción permanezca cerrada. No hay atención presencial en un local ni un trayecto de desplazamiento aparte, porque el trabajo va por rondas de recogida agrupadas. Como los trayectos se agrupan a escala nacional, paga un precio fijo sin sorpresas después. El papel y los soportes de datos pueden ir en la misma recogida, cada uno destruido al nivel adecuado. Una cadena cerrada significa que un CV nunca se extravía por el camino, lo que hace la prueba de una destrucción cuidadosa aún más fuerte. Así el cuidado de su oficina se prolonga hasta el momento en que los datos son ilegibles.

Errores frecuentes

  • Guardar los CV demasiado tiempo. Sin consentimiento, cuatro semanas tras el proceso es el límite.
  • No registrar el consentimiento. Guardar datos un año sin prueba de consentimiento es una infracción.
  • Ordenar solo en digital. Los CV impresos sobre la mesa se olvidan a menudo.
  • Tirar sin triturar. Un CV con el papel viejo es una brecha de datos notificable.
  • Sin prueba. Sin certificado no puede mostrar que ha destruido.

Ordenar los datos de candidatos paso a paso

  1. Anote por candidato la fecha de fin del proceso de selección.
  2. Pida el consentimiento si quiere conservar más de cuatro semanas.
  3. Inventaríe todos los lugares donde están los datos, en digital y en papel.
  4. Destruya tras el plazo al nivel DIN adecuado y elimine las copias digitales.
  5. Conserve el certificado y anote la destrucción en su registro de actividades de tratamiento.

¿Hacer destruir los datos de candidatos de forma confidencial?

Indique lo que tiene y recibe un precio fijo. Lo recogemos sellado en un radio de 20 km alrededor de Ámsterdam, lo destruimos al nivel DIN adecuado y recibe un certificado como prueba para su expediente RGPD.

Solicitar presupuesto

Preguntas frecuentes

¿Cuánto tiempo puedo conservar los datos de candidatos?

Como orientación, cuatro semanas tras el fin del proceso de selección. Con el consentimiento del candidato puede conservarlos hasta un año.

¿Puedo guardar un CV más tiempo para futuras vacantes?

Solo con el consentimiento del candidato para una cantera de talento. Ese consentimiento se registra y se reconfirma periódicamente.

¿Los datos de candidatos equivalen a un expediente de personal?

No. Solo al contratar a un candidato los documentos relevantes pasan al expediente de personal con sus propios plazos. Los candidatos rechazados mantienen el plazo corto de la selección.

¿Cómo destruyo los datos de candidatos en papel?

Tritúrelos de forma confidencial como mínimo al nivel DIN P-4, P-5 para datos sensibles, con un certificado de destrucción como prueba para su expediente RGPD.

Conclusión

Los datos de candidatos piden un enfoque corto y estricto. Conserve los datos de un candidato rechazado, como orientación, cuatro semanas, o hasta un año si el candidato lo consiente. Mantenga una cantera de talento solo con consentimiento explícito y mantenimiento periódico. Ordene después, tanto en digital como en papel. Destruya de forma confidencial al nivel DIN adecuado. Registre la destrucción con un certificado y una anotación en su registro de actividades de tratamiento. Así cumple el RGPD y nunca se queda con las manos vacías en una inspección o ante una pregunta de un candidato.

Lea también: el pilar destruir el expediente de personal, cuánto tiempo conservar un expediente de personal, conservación y destrucción de nóminas y la checklist de baja del empleado.


¿Hacer destruir los datos de candidatos? Solicite un presupuesto en desnipperaar.nl o lea cómo funciona la destrucción demostrable para el RGPD. Recibe un certificado como prueba.