LeadGrid

¿Cuánto tiempo puedes guardar a un candidato en tu talent pool? Las reglas del RGPD explicadas

Candidatos rechazados, casi-coincidencias, perfiles para el futuro: ¿cuánto tiempo puedes conservar legalmente sus datos en un talent pool bajo el RGPD?

recruitmentguidesPor Ralf Klein · 4 min de lectura
Reclutador conduciendo una entrevista de trabajo profesional en una oficina moderna
Foto de Resume Genius en Pexels

Un candidato/a se postuló, llegó a la ronda final y no obtuvo el puesto. Quieres guardarlo para la próxima vacante. Ese instinto es correcto. La ejecución debe ser deliberada, porque bajo el RGPD, "mantener a alguien en el sistema" es una actividad de tratamiento con una base legal y un plazo de retención.

Esto es lo que dicen realmente las reglas.

El estándar: cuatro semanas tras el rechazo

Cuando un candidato/a se postula para una función específica y lo rechazas, puedes conservar sus datos durante cuatro semanas tras el rechazo. Esto cubre el período en el que el candidato podría presentar una objeción o solicitar acceso a su expediente.

Después de esas cuatro semanas, si no tienes otra base legal, los datos deben eliminarse.

Sin consentimiento, sin pipeline activo, sin vacante abierta: eliminar.

Ampliar a un talent pool: necesitas consentimiento explícito

Conservar a un candidato/a más tiempo, en un talent pool, requiere un consentimiento explícito e informado. No un consentimiento implícito. No una casilla pre-marcada. No una línea general enterrada en tu política de privacidad.

El candidato debe aceptar activamente:

  • ser incluido en un talent pool
  • durante un plazo de retención específico que indiques de antemano
  • para un propósito que describas claramente (vacantes futuras, no marketing general)

La práctica estándar en España y en toda la UE es un máximo de un año con un solo consentimiento. Tras un año, pides de nuevo el consentimiento o eliminas el expediente. Algunas organizaciones fijan la ventana en dos años, lo que es defendible para funciones con un ciclo de contratación lento, pero un año es el valor por defecto más seguro.

Qué debe incluir la solicitud de consentimiento

Una solicitud de opt-in para un talent pool conforme al RGPD tiene tres componentes:

  1. Qué estás almacenando. CV, datos de contacto, notas de entrevistas, puntuaciones de evaluación. Sé específico.
  2. Por qué. Vacantes futuras en tu organización que encajen con su perfil.
  3. Cuánto tiempo. Un año desde la fecha del consentimiento. No "por tiempo indefinido."

Añade un mecanismo de opt-out claro. El candidato puede retirar el consentimiento en cualquier momento, y retirarlo debe ser tan fácil como darlo.

Si usas una herramienta de reclutamiento o ATS, comprueba si registra las marcas de tiempo del consentimiento y envía recordatorios de eliminación automáticos cuando el plazo de retención vence. El seguimiento manual en una hoja de cálculo es un riesgo de cumplimiento a cualquier escala.

Casi-coincidencias y talent pools en la práctica

La regla del talent pool se aplica igualmente a:

  • Candidatos/as rechazados directamente
  • Candidatos/as que encajaban bien pero perdieron frente a un perfil más fuerte
  • Candidatos/as que retiraron su candidatura a mitad del proceso

La base legal no cambia según lo cerca que estuvieran. Si ya no están en un proceso activo, necesitas su consentimiento o eliminas.

Un matiz: si el candidato envió una candidatura espontánea sin una función específica, la expectativa implícita es que la conservas para consideración futura. Eso solo no constituye un consentimiento RGPD válido, pero facilita la conversación de opt-in.

La posición de las autoridades de protección de datos

La AEPD y otras autoridades europeas de protección de datos han publicado orientaciones que confirman que el almacenamiento en talent pool requiere consentimiento explícito y recomiendan un plazo de retención máximo de un año. Las organizaciones han sido sancionadas activamente por conservar datos de candidatos sin una base legal válida.

Si operas más allá de las fronteras de la UE, las reglas son coherentes. El RGPD se aplica de forma uniforme. Las autoridades nacionales pueden diferir ligeramente en el énfasis de la aplicación, pero los requisitos de consentimiento y retención son los mismos.

Qué incorporar a tu proceso

Tres pasos prácticos que eliminan la mayor parte del riesgo de cumplimiento:

En el rechazo: envía un correo único y claro preguntando si el candidato quiere unirse a tu talent pool. Incluye qué significa eso, cuánto tiempo se conservarán sus datos y un opt-in con un clic.

En el consentimiento: registra la fecha y lo que se consintió. Tu ATS o CRM debería hacer esto automáticamente. Si no lo hace, es un problema de herramientas que vale la pena resolver.

Al vencimiento: recordatorio automático cuando vence la ventana de consentimiento. O pides el consentimiento de nuevo, o activas un flujo de eliminación.

Esto no es complejo de implementar. Es fácil de saltarse. Saltárselo es lo que crea la exposición al cumplimiento.

La versión corta

Candidato rechazado, sin consentimiento: eliminar tras cuatro semanas. Talent pool con consentimiento: hasta un año, luego volver a preguntar o eliminar. Registra todo. El opt-out debe ser sencillo.

Esa es la regla completa. El resto es implementación.

Compartir:
Gratis para siempre. Sin tarjeta de crédito.
Ventas + reclutamiento en una sola grid
Empezar gratis