Recientemente la Agencia Española de Protección de Datos (en adelante AEPD) ha publicado una nueva y esperada Guía sobre las Relaciones Laborales y su impacto en la protección de datos. Esta nueva Guía hace un análisis exhaustivo de cada uno de los tratamientos de datos que podrían darse en las relaciones laborales y como abordar cada uno de los mismos: base de legitimación, deber de información, plazos de conservación etc.
Entre uno de los aspectos destacados de la Guía, la AEPD se ha pronunciado sobre cómo actuar en los procesos de selección respecto al acceso y uso de las redes sociales de los posibles candidatos a un puesto de trabajo. El objetivo de este artículo será conocer este apartado de la Guía para conocer los criterios de la autoridad de control y, de esta forma, dar pautas concretas de cómo deben actuar los responsables del tratamiento en este tema.
¿Puede acceder el empleador a las redes sociales de una persona candidata a un empleo?
“Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía sino cuenta para ello con una base de legitimación”
La posición de la AEPD sobre este punto es que la indagación en los perfiles de redes sociales de las personas candidatas a un empleo, sólo se justifica si está relacionada con fines profesionales, es decir, el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que es necesario y pertinente, y por lo tanto, existe un interés legítimo suficiente para tratar estos datos. Por lo tanto, la empresa podría utilizar información de redes sociales como pudiera ser LinkedIn para evaluar la idoneidad del puesto de trabajo, pero, sin embargo, no estaría legitimado en revisar redes sociales como Facebook o Instagram destinadas a un uso más personal e íntimo.
¿Se debe informar a los interesados sobre estos extremos?
“La persona trabajadora tiene derecho a ser informada sobre ese tratamiento”
Por lo tanto, el responsable del tratamiento deberá encontrar un mecanismo adecuado para informar a los interesados sobre este tratamiento. Por ejemplo, podría incorporar el deber de información recogido en los arts. 13 y 14 del RGPD en el contenido de la publicación de la convocatoria, de modo transparente puede explicar que se comprobarán los perfiles en redes sociales profesionales para ver si cumple con los requisitos que se piden en la convocatoria, y siempre con fines profesionales.
¿Se puede solicitar amistad a un candidato de un puesto de trabajo?
“La empresa no está legitimada para solicitar <<amistad>> a personas candidatas para que estas, por otros medios, proporcionen acceso a los contenidos de sus perfiles”
Por lo tanto, en los casos en los que el interesado no tenga su perfil público, la empresa no estará legitimada para solicitar amistad a personas candidatas para que se pueda acceder al contenido de sus perfiles. Asimismo, la empresa tampoco está legitimada para solicitar a una persona trabajadora o candidata, a un empleo la información que éste comparta con otras personas a través de redes sociales.
¿Qué hacer con estos datos una vez finalizado el proceso de selección?
“Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de los datos”.
Por lo tanto, si la persona candidata no es contratada, una vez finalizado el proceso de selección, desaparece la base jurídica para el tratamiento de los datos, por lo que será necesario su consentimiento para un tratamiento futuro, salvo que el empleador pueda demostrar un interés legítimo. En caso contrario deberá destruir el curriculum y proceder a la supresión y bloqueo de los datos personales.
Marcos Rubiales.
Equipo Govertis
KEEP READINGA lo largo de las presentes líneas abordaremos los principales aspectos que deben ser tomados en consideración a la hora de iniciar un tratamiento de Big Data.
Anonimización. Debe tenerse en cuenta que si el tratamiento de datos de Big Data se realiza sobre información completamente anonimizada no se considerará dato de carácter personal y no aplicará la normativa de protección de datos y que, si el tratamiento de datos de Big Data se realiza sobre datos personales, sí que aplicará la normativa de protección de datos personales.
Pero debe advertirse que anonimizar es eliminar cualquier variable de identificación. El avance de la técnica ha determinado que lo que en un determinado momento es irreversible, puede no serlo en el futuro. Además, el riesgo cero no existe en ningún aspecto relacionado con la seguridad y la privacidad y en este caso no iba a ser una excepción.
Transparencia. Tanto si los datos provienen directamente del interesado como si provienen de otra fuente, se deberá facilitar información conforme al artículo 13 o 14 del RGPD. Es más, cuando se informa sobre los usos y finalidades previstos, se deberá incluir información clara y sencilla sobre el tratamiento realizado por los algoritmos que intervienen en el tratamiento, con las dificultades que ello conlleva.
Base jurídica del tratamiento. Partiendo de los supuestos en los que la información no está anonimizada, por lo que aplica el RGPD, se debe determinar la base jurídica del tratamiento. Como indica el Código de buenas prácticas en protección de datos para proyectos de Big Data, no existe una única legitimación al tratamiento. Se debe determinar antes de iniciar el tratamiento si encaja en alguno de los supuestos de legitimación y en caso contrario, solicitar el consentimiento expreso.
Minimización de los tratamientos. Este principio debe ser estudiado concienzudamente ya que al realizarse tratamientos masivos de datos pueden recolectarse datos excesivos con las finalidades del tratamiento. En base a este principio tampoco se pueden recoger mas datos de los necesarios para futuras necesidades no previstas en el momento inicial.
Origen de los datos. El Big Data de nutre de fuentes endógenas y exógenas. en relación con las segundas deberemos cerciorarnos que el dato ha sido obtenido legítimamente por la entidad que lo facilita. También se debe tener presente que los metadatos asociados a una información primaria también están sometidos al RGPD.
Derechos de los interesados. En relación con el ejercicio de derechos se plantea la problemática de posibilitar permanentemente un sistema para que los interesados puedan ejercitar sus derechos debido a que estos tratamientos se suelen prologar en el tiempo. De esta manera la utilización de las denominadas PETs (Privacy Enhanced Technologies) respetuosas con el usuario y en las que tenga permanentemente el control sobre sus datos, pueden ser una buena opción.
De entre todos los derechos cabe destacar la especialidad para tratamientos de Big Data en relación con el derecho de portabilidad. En este sentido, el Grupo de Trabajo del Artículo 29 en sus Directrices sobre la aplicación del derecho a la portabilidad considera que el concepto de datos facilitados por el interesado incluye los datos proporcionados de manera activa por el interesado y los datos observados a partir de esos datos facilitados (datos de ubicación, búsqueda, ritmo cardiaco, etc) pero no incluye dentro de los datos sujetos al derecho a la portabilidad a los datos inferidos o deducidos que hayan sido creados por el responsable de tratamiento a partir de los datos proporcionados por el interesado (como pueden ser los resultados algorítmicos).
Evaluación de impacto en protección de datos. En la mayoría de los tratamientos de Big Data será necesario realizar una EIPD. Incluso si los datos se van a anonimizar, sería conveniente realizar una evaluación de impacto limitada al proceso de anonimización y riesgo residual de reidentificación.
Seguridad. En materia de seguridad de los tratamientos hay diferentes aspectos a tener en cuenta dependiendo de la fase de tratamiento. Debe tenerse en cuenta que el valor de la información puede ser muy preciado por cibercriminales o simplemente por la competencia. Inclusive el propio algoritmo que realiza el tratamiento puede ser codiciado. El Código de buenas prácticas en proyectos de Big Data establece las principales medidas de seguridad que se deben tener en cuenta en estos tratamientos:
El equipo de profesionales de Govertis
KEEP READING