Candidaturas espontáneas y protección de datos: ¿Qué deben saber las empresas?

Introducción

Es habitual que los departamentos de RRHH reciban candidaturas espontáneas, es decir, CV enviados de manera voluntaria por profesionales que quieren formar parte de la organización aunque no exista una oferta abierta. Lo que muchas empresas desconocen es que almacenar y gestionar esos CV implica responsabilidades legales en materia de protección de datos.

En este artículo explicamos qué exige la normativa y qué papel tienen tanto las empresas como los propios candidatos.

1. ¿Qué es una candidatura espontánea?

Una candidatura espontánea se diferencia de la inscripción en una oferta: el candidato envía su CV directamente (por correo electrónico, formulario web o incluso en mano) sin que exista un proceso abierto.

Esto plantea un reto para la empresa: debe garantizar que el tratamiento de esa información cumple con el RGPD y la LOPDGDD.

2. Marco normativo aplicable

  • RGPD (Reglamento General de Protección de Datos, UE 2016/679).
  • LOPDGDD (Ley Orgánica 3/2018 en España).

Principios clave que afectan a la gestión de CV:

  • Licitud y transparencia: informar siempre al candidato.
  • Limitación de la finalidad: usar los datos solo para procesos de selección.
  • Conservación limitada: mantener los datos el tiempo justo (normalmente 1–2 años).
  • Seguridad: proteger los CV frente a accesos no autorizados.

3. Obligaciones de la empresa

Toda organización que recibe candidaturas espontáneas debe:

  • Informar al candidato: quién es el responsable del tratamiento, para qué se usan sus datos, plazo de conservación y cómo puede ejercer sus derechos (acceso, rectificación, supresión, etc.).
  • Definir una base legal: normalmente el interés legítimo o el consentimiento del candidato.
  • Establecer un plazo de conservación: lo más habitual es entre 12 y 24 meses. Pasado ese tiempo, el CV debe eliminarse salvo que el candidato renueve su consentimiento.
  • Aplicar medidas de seguridad: proteger los datos almacenados en sistemas o soportes físicos.
  • Registrar la actividad: incluir el tratamiento en el registro de actividades de la empresa.

4. ¿Qué pueden hacer los candidatos?

Aunque la responsabilidad es siempre de la empresa, muchos candidatos optan por incluir una cláusula de autorización en su CV o en el cuerpo del correo electrónico.

Este gesto facilita que la organización pueda justificar la base legal para conservar y gestionar la información, aunque no sustituye la obligación de la empresa de informar de manera completa.

En cualquier caso, el candidato siempre mantiene el derecho a solicitar la supresión de sus datos o a limitar su tratamiento.

5. Buenas prácticas para empresas

  • Incluir un apartado de política de privacidad para candidatos en la web.
  • Habilitar un formulario de envío de CV con casilla de aceptación.
  • Evitar conservar CV más allá del plazo definido.
  • Contar con un procedimiento interno para eliminar candidaturas caducadas.

Conclusión

La gestión de candidaturas espontáneas no es un mero trámite administrativo: es una cuestión de cumplimiento normativo y de confianza.

Aunque algunos candidatos incluyan autorizaciones en sus CV o correos, la empresa sigue siendo la responsable de garantizar que cada candidatura se gestiona conforme al RGPD y la LOPDGDD.

Un protocolo claro y transparente no solo asegura el cumplimiento legal, sino que también refuerza la imagen profesional de la organización ante los candidatos.

Johans Hernandez Sojo
Johans Hernandez Sojo
Artículos: 8