De hecho, el consentimiento podría ser una base jurídica válida para almacenar los currículums de los solicitantes de empleo. Otro posible fundamento jurídico podría ser el interés legítimo. En ese caso, tendrías que sopesar la situación para demostrar que los intereses legítimos de tu organización superan los derechos de los solicitantes.

En cualquier caso, deberás informar a los candidatos que tienes previsto almacenar sus datos y para qué fines.

Más información:

• Procesar datos personales legalmente

No, el tratamiento de datos sensibles está generalmente prohibido, excepto en circunstancias muy específicas:

• La persona ha dado su consentimiento explícito para que sus datos sensibles sean tratados.
• El tratamiento de datos sensibles es necesario para que el responsable del tratamiento cumpla sus obligaciones, en particular en el contexto del empleo, la seguridad social y la protección social. Por ejemplo, el responsable del tratamiento puede necesitar tratar datos sensibles de una persona para poder determinar si tiene derecho a ciertas prestaciones de seguridad social o a estipendios laborales.
• El tratamiento de datos sensibles es necesario para proteger los intereses vitales de una persona cuando la persona es física o legalmente incapaz de dar su consentimiento. Por ejemplo, si una persona queda inconsciente como resultado de un accidente y requiere atención médica inmediata, es posible que sus datos de salud deban tratarse para que se brinde la atención médica adecuada.
• El tratamiento de datos sensibles se lleva a cabo en el contexto de las actividades legítimas de una fundación, asociación u otra organización sin ánimo de lucro con fines políticos, filosóficos, religiosos o sindicales, y solo para el tratamiento de los datos personales de sus miembros, antiguos miembros o personas que tengan contacto regular con ellos.
• Los datos sensibles fueron hechos públicos manifiestamente por individuos.
• El tratamiento de datos sensibles es necesario en el contexto de procedimientos judiciales.
• El tratamiento de datos sensibles es necesario para cuestiones de interés público sustancial.
• El tratamiento de datos sensibles es necesario en el contexto de la medicina preventiva o laboral. Por ejemplo, la evaluación de los datos sensibles de una persona, como sus datos médicos, puede ser necesaria para determinar su capacidad de trabajo como empleado.
• El tratamiento de datos sensibles es necesario para cuestiones de salud pública sobre la base de la legislación de la UE o nacional. Por ejemplo, el tratamiento de datos sensibles de las personas puede ser necesario para garantizar una alta calidad de la atención médica y una alta calidad de los productos médicos, o para combatir las amenazas graves para la salud, como los virus.
• El tratamiento de datos sensibles es necesario para fines de archivo de interés público, o para fines de investigación científica o histórica, o fines estadísticos. Por ejemplo, el tratamiento de datos sensibles puede ser necesario para proporcionar estadísticas precisas sobre la situación de un país en un campo particular.

Más información:

• Procesar datos personales legalmente

El DPD no puede ser considerado responsable por el incumplimiento del RGPD. El cumplimiento del RGPD es responsabilidad de la organización que designó al DPD.

Más información:

• Delegado de Protección de Datos

El nombramiento de un DPD es obligatorio en los tres casos siguientes:

• la organización es una autoridad pública;
• las actividades principales de la organización consisten en un seguimiento regular y sistemático de las personas a gran escala, por ejemplo, la geolocalización a través de una aplicación móvil, o la vigilancia de centros comerciales y espacios públicos a través de CCTV;
• las actividades principales de la organización consisten en el tratamiento a gran escala de datos sensibles o datos personales relacionados con condenas y delitos penales.

Siempre puede designar un DPD de forma voluntaria, incluso si esto no es legalmente requerido. Tenga en cuenta que, en ese caso, debe cumplir con todas las disposiciones del RGPD relativas a las tareas y el cargo del delegado de protección de datos.

Más información:

• Delegado de Protección de Datos

Las cookies son pequeños archivos almacenados en un dispositivo, como un ordenador, un dispositivo móvil o cualquier otro dispositivo que pueda almacenar información. Las cookies cumplen una serie de funciones importantes, como recordar a los usuarios y sus interacciones anteriores con un sitio web. Se pueden utilizar para realizar un seguimiento de los artículos en un carrito de compras en línea o para realizar un seguimiento de la información cuando los detalles se insertan en un formulario de solicitud en línea.

Las cookies de autenticación también son importantes para identificar a los usuarios cuando inician sesión en servicios bancarios y otros servicios en línea. La información almacenada en las cookies puede incluir datos personales, como una dirección IP, un nombre de usuario, un identificador único o una dirección de correo electrónico.

El RGPD impone obligaciones a todas las organizaciones que tratan datos personales, independientemente de si son responsables o encargados del tratamiento de datos.

En particular, debes:

• Preguntarte si el propósito para el que se pueden recopilar datos personales está justificado, y solo recopilar los datos personales que sean necesarios para los fines específicos previstos;
• Mantener los datos personales de los individuos precisos y actualizados, y eliminarlos cuando ya no sean necesarios;
• Respetar los derechos de las personas, informándoles sobre cómo y por qué se tratan sus datos, y permitiéndoles ejercer sus derechos;
• Comprobar  si tienes una base legal adecuada para el tratamiento de datos personales. En caso de que vayas a utilizar el consentimiento, debes solicitarlo antes de tratar sus datos personales;
• Asegurarse de que los datos personalesse traten de manera segura;
• Mantener un registro de las operaciones de procesamiento.

Los encargados del tratamiento tendrán que cumplir con las responsabilidades establecidas en el contrato responsable-encargado del tratamiento, y no deben tratar los datos de otro modo que no sea conforme a las instrucciones del responsable del tratamiento.

Más información:

• Cumplir la normativa
• Responsable o encargado del tratamiento
• Aspectos básicos de la protección de datos

• Todo tratamiento de datos personales debe ser lícito, justo y transparente.
• Solo recopilar datos personales para fines específicos, explícitos y legítimos. El tratamiento de los datos de una persona debe limitarse estrictamente a los fines inicialmente establecidos y, por lo tanto, no tratarlos para fines posteriores o de otro tipo que sean incompatibles con los fines iniciales.
• Solo tratar datos personales que sean necesarios y proporcionados a la luz de la finalidad prevista.
• Todos los datos personales que usted trate deben ser exactos y mantenerse actualizados. Los datos personales inexactos deben ser rectificados o borrados.
• El almacenamiento de los datos personales de las personas físicas debe estar limitado en el tiempo, a la luz de la finalidad para la que se recopilaron y procesaron estos datos. Como tal, los datos personales deben eliminarse o anonimizarse una vez que estos datos ya no sean necesarios.
• El tratamiento de los datos personales debe realizarse de manera segura. En este sentido, deben establecerse controles sólidos de ciberseguridad para garantizar que los datos personales estén adecuadamente protegidos.

Finalmente, el responsable del tratamiento tiene que rendir cuentas. Esto significa que es responsabledel cumplimiento de los principios anteriores y debe poder demostrarlo.

Más información:

• Protección de datos básica

Los responsables del tratamiento solo pueden tratar datos personales en una de las siguientes circunstancias:

• con el consentimiento de las personas afectadas;
• cuando el tratamiento sea necesario para la ejecución de un contrato (un contrato entre su organización y una persona);
• cumplir una obligación legal en virtud de la legislación de la UE o nacional;
• cuando el tratamiento sea necesario para la realización de una tarea realizada en interés público con arreglo a la legislación de la UE o nacional;
• proteger los intereses vitales de una persona;
• para los intereses legítimos de su organización, excepto cuando estén anulados por los derechos y libertades de las personas.

Además, el RGPD establece condiciones adicionales para el tratamiento de datos sensibles.

Más información:

• Procesar datos personales legalmente

El cumplimiento del RGPD es supervisado por las autoridades nacionales de protección de datos (APD). Las APD pueden llevar a cabo investigaciones e imponer sanciones en caso necesario. Las APD tienen a su disposición una serie de herramientas, incluidas multas de hasta 20 millones de euroso el 4 % del volumen de negocios anual mundial, la que sea mayor, amonestaciones y prohibiciones temporales o permanentes de tratamiento.

Puedes encontrar los datos de contacto de todas las APD del EEE en el sitio web del CEPD: Miembros

Más información:

• La Autoridad de protección de datos y tú

La tarea del DPD incluye, entre otras:

• informar y asesorar a la organización y a sus empleados sobre el cumplimiento de la protección de datos;
• supervisar el cumplimiento de la protección de datos;
• prestar asesoramiento sobre las solicitudes relativas a la evaluación de impacto en materia de protección de datos (EIPD);
• actuar como punto de contacto de la autoridad de protección de datos y cooperar con dicha autoridad de protección de datos;
• actuar como punto de contacto para las personas.

Además, generalmente se recomienda la presencia del DPD cuando se toman decisiones con implicaciones en la protección de datos. El DPD también debe ser consultado rápidamente una vez que se haya producido una violación de datos u otro incidente.

Más información:

• Delegado de Protección de Datos