Protección de datos en la selección de personal: qué debe cumplir tu empresa antes de contratar

por | May 5, 2026 | Blog especializado en Protección de Datos

Protección de datos en la selección de personal

Cada proceso de selección genera un volumen significativo de datos personales: curriculums, cartas de presentación, resultados de pruebas psicotécnicas, grabaciones de videoentrevistas, notas de entrevistadores. Muchas empresas los acumulan durante años sin un criterio claro sobre qué pueden pedir, cuánto tiempo pueden guardarlos o qué deben informar al candidato.

El RGPD y la LOPD-GDD son plenamente aplicables desde el momento en que un candidato envía su curriculum. No hace falta que exista una relación laboral para que tu empresa esté obligada a cumplir. La AEPD ha sancionado este punto en varias ocasiones: recogida excesiva de datos, falta de información al candidato y conservación indefinida de datos de personas que nunca fueron contratadas son infracciones reales y documentadas.

Este artículo explica qué datos puedes recoger legítimamente, qué debes informar en cada fase del proceso, cuánto tiempo puedes conservar los curriculums y qué pasos son obligatorios cuando termina el proceso y la persona no resulta seleccionada.

¿Tu proceso de selección cumple con el RGPD?

  • Tienes una cláusula informativa en el formulario o proceso de recepción de CVs: obligatorio
  • Informas al candidato del plazo de conservación de sus datos: obligatorio
  • Tienes definido un plazo de eliminación para candidatos no seleccionados: obligatorio
  • Solicitas consentimiento específico si guardas CVs para futuras vacantes: obligatorio
  • Tienes contrato de encargado del tratamiento con el portal de empleo o ATS que usas: obligatorio

Si alguno de estos puntos no está cubierto, tu empresa tiene una exposición real ante la AEPD.

Qué datos puedes recoger de un candidato (y cuáles no)

El principio de minimización de datos del RGPD obliga a recoger únicamente la información necesaria para evaluar la idoneidad del candidato para el puesto concreto. El criterio no es qué información sería interesante tener, sino qué información es estrictamente necesaria para tomar la decisión de contratación.

Son datos habitualmente legítimos son nombre completo, datos de contacto, formación académica, experiencia profesional, idiomas, disponibilidad y cualificaciones específicas relacionadas con el puesto.

Son datos que no debes pedir salvo justificación muy concreta y documentada son estado civil, número de hijos, situación familiar, afiliación sindical o política, datos de salud o discapacidad, origen racial o étnico, religión o creencias.

Estos pertenecen a las categorías especiales de datos del artículo 9 del RGPD y su tratamiento requiere una base legitimadora reforzada que rara vez concurre en un proceso de selección estándar. Solicitarlos sin esa base es una infracción directa.

Sobre la fotografía: no está prohibida por ley, pero la AEPD recomienda no solicitarla cuando no sea relevante para las funciones del puesto, para evitar el tratamiento de datos que faciliten sesgos discriminatorios y que resultan innecesarios para la decisión de contratación.

Sobre las redes sociales: puedes consultar el perfil de LinkedIn u otras redes de carácter profesional si el candidato ha hecho pública esa información. Lo que no puedes hacer es buscar en redes personales (Instagram, Facebook, TikTok) sin conocimiento del candidato, ni guardar ni tratar esa información fuera del proceso activo.

Base legitimadora y obligación de transparencia

El tratamiento de datos en un proceso de selección activo se ampara en la ejecución de medidas precontractuales (art. 6.1.b RGPD): el candidato solicita el empleo y esa solicitud legitima el tratamiento para evaluar su candidatura. Esta base legitimadora funciona mientras el proceso está activo y para la finalidad concreta de ese proceso.

Cuando el proceso termina, la base desaparece. Si quieres conservar el curriculum para futuras vacantes, necesitas el consentimiento expreso del candidato (art. 6.1.a RGPD): libre, informado, específico y revocable en cualquier momento.

Concepto Detalle
Normativa aplicable RGPD (UE) 2016/679 + LOPD-GDD (Ley Orgánica 3/2018)
Base legitimadora — proceso activo Ejecución de medidas precontractuales — art. 6.1.b RGPD
Base legitimadora — bolsa de empleo futura Consentimiento explícito del candidato — art. 6.1.a RGPD
Obligación de transparencia Informar antes o en el momento de la recogida — art. 13 RGPD
Contenido mínimo de la información Responsable, finalidad, plazo de conservación, derechos del candidato
Sanción máxima por incumplimiento Hasta 20.000.000 € o el 4% de la facturación global anual
Acción requerida Cláusula informativa en el formulario, portal o proceso de envío

La obligación de transparencia es inmediata: el candidato debe conocer quién trata sus datos, con qué finalidad, cuánto tiempo se conservarán y cómo puede ejercer sus derechos de acceso, rectificación, supresión y oposición. Esta información debe facilitarse en el momento de la recogida, no cuando el candidato la solicite.

En Acoran revisamos tu proceso de selección y preparamos la documentación completa como parte de la auditoría de protección de datos.

Cuánto tiempo conservar los curriculums

Este es el punto donde más empresas incumplen de forma silenciosa. Conservar curriculums indefinidamente porque «puede surgir una vacante» no tiene amparo legal si no existe consentimiento o base legitimadora activa. La conservación indefinida es una infracción frecuente en los expedientes de la AEPD.

Situación Plazo máximo recomendado
Candidato no seleccionado, proceso finalizado 1 año desde la finalización del proceso
Candidato incluido en bolsa de empleo con consentimiento Hasta la retirada del consentimiento (revisión anual recomendada)
Documentación de pruebas, tests y notas de entrevista Mismo plazo que el curriculum principal
Grabaciones de videoentrevistas 3 meses máximo, salvo proceso judicial en curso
Datos de candidato seleccionado e incorporado Pasan al expediente laboral con sus propios plazos

La AEPD no fija en la ley un plazo exacto para cada supuesto, pero sus resoluciones y criterios interpretativos apuntan al año como referencia razonable para candidatos no seleccionados. Pasado ese plazo, mantener los datos sin base legitimadora es una infracción que puede derivar en sanción.

Si quieres entender cómo gestionar estos plazos dentro de un sistema de información más amplio, el artículo sobre transparencia en el tratamiento de datos explica los criterios de conservación y el deber de información.

Entrevistas, videoentrevistas y proveedores externos

La grabación de entrevistas en vídeo requiere consentimiento expreso e informado del candidato antes de iniciar la grabación. No basta con que el proceso sea por vídeo: debes informar explícitamente de que se grabará, con qué finalidad, quién tendrá acceso y cuánto tiempo se conservará. Sin ese consentimiento, grabar la entrevista es una infracción.

Las pruebas psicotécnicas, de personalidad o de aptitud son legítimas cuando están objetivamente justificadas por las exigencias del puesto. Los resultados son datos personales y deben tratarse con las mismas garantías que el resto del expediente. No pueden compartirse con terceros sin base legitimadora ni conservarse más tiempo del estrictamente necesario.

Si utilizas una plataforma externa para videoentrevistas, pruebas o gestión de candidatos —HireVue, Assessfirst, cualquier sistema ATS o portal de empleo como Infojobs o LinkedIn Talent— tienes la obligación de firmar un contrato de encargado del tratamiento con ese proveedor antes de que acceda a datos de candidatos. Este contrato debe incluir el objeto del tratamiento, las instrucciones de uso, las medidas de seguridad exigidas y las condiciones de devolución o destrucción de los datos al finalizar la relación.

Subcontratar la gestión de candidatos no traslada la responsabilidad al proveedor: tú sigues siendo el responsable del tratamiento ante la AEPD.

Qué hacer con los datos de los candidatos no seleccionados

Una vez finalizado el proceso y comunicada la decisión, debes actuar de forma ordenada sobre los datos de quienes no han sido contratados. Mantenerlos sin hacer nada es la situación más frecuente y la que más riesgo genera.

  • Comunica el resultado al candidato e informa de sus derechos de acceso, rectificación y supresión
  •  Elimina o bloquea los datos del candidato transcurrido el plazo de conservación establecido
  • Si quieres incorporarle a una bolsa de empleo futura, solicita su consentimiento explícito antes de que finalice el proceso, no después
  • Documenta el proceso de eliminación o bloqueo en tu registro de actividades de tratamiento
  • Asegúrate de que los datos no siguen accesibles en buzones de correo, carpetas compartidas o sistemas externos sin control de acceso

Lo que no debes hacer:

  1. No cedas los datos de candidatos a otras empresas del grupo ni a terceros sin consentimiento
  2. No reutilices los datos para finalidades distintas al proceso de selección en que fueron recogidos
  3. No guardes grabaciones de videoentrevistas más tiempo del necesario ni en sistemas sin las garantías de seguridad adecuadas

La auditoría LOPD en RRHH analiza si tu empresa tiene estos flujos documentados y si los plazos de conservación están correctamente definidos para cada tipo de dato.

Conclusión

La selección de personal es una de las áreas donde el incumplimiento del RGPD es más habitual y más fácil de detectar. Los tres errores más frecuentes en las inspecciones de la AEPD son la recogida de datos innecesarios, la falta de información al candidato y la conservación indefinida de curriculums sin base legitimadora.

Adaptar el proceso no requiere grandes cambios estructurales: una cláusula informativa en el formulario de recepción de CVs, un criterio documentado de conservación y eliminación, un protocolo de solicitud de consentimiento para la bolsa de empleo, y contratos de encargado del tratamiento con los proveedores tecnológicos que utilizas. Son medidas concretas, verificables y que evitan sanciones con un esfuerzo razonable.

👉 En Acoran te ayudamos a adaptar tu proceso de selección al RGPD sin complicaciones. Solicita tu consulta gratuita.

Preguntas frecuentes sobre protección de datos en la selección de personal

¿Puedo pedir el DNI a un candidato durante el proceso de selección?

No es obligatorio ni recomendable hasta que el contrato esté formalizado. El DNI no es necesario para evaluar la idoneidad del candidato para el puesto. Solicitarlo antes de la contratación supone una recogida excesiva salvo que exista una justificación específica, como la verificación obligatoria de titulaciones en sectores regulados.

¿Qué pasa si el candidato me envía datos que no he pedido?

Eres responsable del tratamiento desde el momento en que los recibes. Si un candidato incluye en su curriculum datos de salud, religión, afiliación política u otras categorías especiales que no son necesarias para el proceso, debes eliminarlos y no incorporarlos a tu base de datos. No puedes usarlos aunque los hayas recibido de forma espontánea y voluntaria.

¿Necesito el consentimiento del candidato para guardar su curriculum para futuras ofertas?

Sí. Cuando el proceso activo ha terminado, la base legitimadora de las medidas precontractuales desaparece. Para conservar el curriculum en una bolsa de empleo debes obtener consentimiento expreso, específico y revocable del candidato. Sin ese consentimiento, debes eliminar los datos una vez finalizado el proceso.

¿Puedo consultar el perfil de LinkedIn de un candidato sin decírselo?

Si el perfil es público y tiene carácter profesional, la consulta puntual para el proceso de selección está generalmente admitida. Lo que no puedes hacer es guardar capturas, descargar información o tratar esos datos fuera del proceso activo sin informar al candidato de que has utilizado esa fuente.

¿Está obligada mi empresa aunque solo contrate a una persona al año?

Sí. El RGPD no establece umbrales por tamaño de empresa ni por número de contrataciones. Desde el momento en que tratas datos de personas físicas con carácter profesional, las obligaciones aplican. La escala de la empresa puede afectar a la proporcionalidad de las medidas, no a si debes cumplir.

¿Qué debo hacer si utilizo una plataforma externa o un ATS para gestionar candidatos?

Si el proveedor accede a datos personales de los candidatos para prestar el servicio, debes firmar con él un contrato de encargado del tratamiento antes de comenzar a usarlo. Esto aplica a portales de empleo, sistemas ATS, plataformas de videoentrevistas y cualquier herramienta externa que procese datos de candidatos por tu cuenta. Sin ese contrato, el tratamiento no está amparado legalmente.

Otros artículos de interés

Auditoría LOPD en RRHH: qué se revisa y por qué es necesaria

Puedes escribirnos sin ningún tipo de compromiso:

📧 acoran@acoran.es
📱 915 30 21 31
📍 C. del Laurel, 10, Bajo A, 28005 Madrid

Empresa de Protección de Datos en Madrid | Acorán
Resumen de privacidad

Desde este panel podrá configurar las cookies que el sitio web puede instalar en su navegador, excepto las cookies técnicas o funcionales que son necesarias para la navegación y la utilización de las diferentes opciones o servicios que se ofrecen.

Las cookies seleccionadas indican que el usuario autoriza la instalación en su navegador y el tratamiento de datos bajo las condiciones reflejadas en la Política de cookies.

El usuario puede marcar o desmarcar el selector según se desee aceptar o rechazar la instalación de cookies.