GDPR para hiring: qué datos de candidatas puedes guardar, por cuánto tiempo, y qué borrar

El principio que importa

El framework de lawful-basis del GDPR pregunta dos cosas de cada pieza de datos de candidata que tienes: por qué la tienes y por cuánto la necesitas. Si no puedes responder ambas crispamente, no deberías tenerla.

La mayoría de los issues de compliance no son edge cases exóticos. Son defaults. Un equipo con defaults sensatos rara vez tiene problema. Un equipo sin ellos colecta datos para siempre, para propósitos no establecidos, sin path de borrado.

Defaults defendibles

Lawful basis

Para una candidata activa (alguien aplicando a un rol específico): legitimate-interest o contract-preparatory. No necesitas consentimiento para evaluarla — ella aplicó.

Para una candidata pasiva en un pool de talent-pipeline, o para mantener sus datos tras cerrar el rol: consent, con opt-in claro y período de retención claro.

No mezcles. Si colectas bajo una basis y usas bajo otra, tienes problema.

Retención

• Candidatas activas: durante el proceso más una ventana razonable de defensa para discrimination claims (depende de jurisdicción — típicamente 6-12 meses tras rechazo en UE).
• Candidatas hired: transición a datos de empleada con políticas HR.
• Talent pipeline: solo con consentimiento explícito y cadencia de renovación definida (e.g., re-confirmar anualmente).

Cualquier cosa más vieja debería auto-borrarse, no estar "disponible bajo solicitud."

Minimización de datos

Colecta lo que la evaluación del rol requiere, no todo lo que puedas querer. ¿Foto en CV? No requerido. ¿Fecha de nacimiento? No requerido. ¿ID nacional? Definitivamente no. Si no lo necesitas para la decisión, no lo colectes.

Datos de categoría especial

Raza, etnicidad, salud, orientación sexual, religión, vistas políticas, datos biométricos — categoría especial bajo GDPR. Requisitos de lawful-basis más estrictos. Evita salvo que tengas uso de compliance específico.

Checklist práctico de compliance

• Aviso de privacidad en la página de aplicación
• Lawful basis documentada por categoría de datos
• Período de retención documentado y aplicado automáticamente
• Proceso DSAR (data subject access request) documentado y testeado
• Proceso de derecho al olvido documentado y testeado
• Sub-procesadores (ATS, plataforma de evaluación, vendor de background-check) listados con DPAs
• Mecanismo de transferencia transfronteriza documentado si los datos salen de la UE/EEE
• Proceso de notificación de breach con dueño nombrado y SLA de 72h

Modos de fallo comunes

• Retención forever. Datos de candidatas de 2019 todavía en el ATS sin propósito. Borra o justifica.
• Acceso sin restricciones. Cada reclutadora tiene acceso a todo. Aplica least-privilege.
• Grabaciones sin retención. Grabaciones de entrevista almacenadas indefinidamente. Elige período (90 días común) y aplícalo.
• Vendor sprawl. Cada nuevo vendor añade sub-procesador. Audita anualmente.

Qué hace ClarityHire

Retención configurable por categoría, borrado automático al final, exportación DSAR, acceso role-based scopeado, documentación de procesador para sub-procesadores de la plataforma. El compliance es proceso, no producto — pero el producto debe hacer el proceso tractable.

Este post es guía general, no asesoría legal. Para tu jurisdicción específica y perfil de riesgo, trabaja con counsel.