Caso práctico: ¿Puede una empresa consultar un fichero de morosos, en el marco de un proceso de selección de personal, sin consentimiento del candidato?

PLANTEAMIENTO

¿Es posible consultar si una persona está incluida en un fichero de morosos con base en un proceso de selección de personal sin consentimiento del candidato?

RESPUESTA

La respuesta es no. Los ficheros de morosos existen con unas finalidades muy concretas relacionadas con la solvencia todas ellas y, desde luego, un proceso de selección de personal no es una de esas. El tratamiento de datos personales con esa finalidad —la selección para una oferta de trabajo— conllevaría un uso irregular del fichero y un tratamiento ilícito, es decir, una infracción en materia de protección de datos y la consiguiente sanción.

Efectivamente, el art. 6.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) establece:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones».

A la vista de lo anterior, sin el consentimiento del afectado no existe base legitimadora para el tratamiento de datos de solvencia de un candidato a un proceso selectivo.

Por su parte, el art. 83 del mismo RGPD recoge la infracción en la que se incurre si el tratamiento es ilícito, bajo la rúbrica «Condiciones generales para la imposición de multas administrativas», que señala:

«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 Eur como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9 (...)».

Por último, el art. 72.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, califica como infracción muy grave «b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE)2016/679».

En este sentido, puede consultarse, a efectos ilustrativos, la resolución de la AEPD expediente n.º PS-00036-2022 de 22 de mayo de 2022.