sábado, 15 de julio de 2017

La empresa y las RRSS del candidato: Opinión 2/2017


Buenas noches/madrugadas, Lopder@s.

No me considero una persona excesivamente mística (un poco supersticiosa sí, en algunas cosas puntuales que otros llamarán manías), pero hoy debo confesaros que el tema del post me ha venido rodado, y todo ha empezado a raíz de una breve conversación que tuve esta tarde con una toguita muy maja del norte: @therearW. El caso es que tras hablar con ella un poco sobre la incidencia de las RRSS en el contexto laboral, al llegar a casa me he encontrado, en lo que hacía aquello que he bautizado como iurisfrikear (no tengo una definición "entendible"), con este documento: Opinion 2/2017 on data processing at work - wp249 . Como me pierde la curiosidad, no he podido evitar abrirlo y ponerme a leerlo, e, inevitablemente, mi conversación de esta tarde con Irati me ha venido a la mente al llegar a este punto: "Processing operations during the recruitment process". Pero es que hay más, resulta que el documento también tiene este otro punto: "Processing operations resulting from in-employment screening" que quiero dejar aquí sutilmente con la intención de hacer un segundo post sobre él. ;-)



Para esta entrada, como decía, me voy a centrar en el tratamiento de datos relacionados con las RRSS sobre los candidatos a un empleo. Esto que queda tan "formal" en el papel se resume en lo siguiente: Mandas tu CV a una empresa para optar a uno de los puestos que ofrece y, el empresario/equipo de selección, pone tu nombre en Google o accede al perfil que tú mism@ pones en el CV y... pues ya sabes: ve más información de la que quizás desearías. Y esa información quizás puede jugar en tu contra en función de muchas variables. 





Cuando pienso en esto, me vienen a la mente los eternos debates que tengo con una de mis mejores amigas, que es, digamos, una crack en esto de la selección de personal. No son pocas las veces que hemos charlado sobre la importancia de poner o no la foto en el CV o si es interesante/legítimo para la empresa conocer cosas del candidato que no están relacionadas directamente con el puesto que desea conseguir. Es un tema complicado en el que caben mil aristas o posturas. Si tengo que "mojarme", taxativamente diré que todo depende en la vida,y que honestamente, nunca me han gustado los argumentos que culpabilizan a la víctima (desde el "no haber firmado" hasta el "se lo buscó"). No olvidemos que el candidato muchas veces está en una posición de inferioridad,y más en un contexto económico y social como el que vivimos. Más adelante,con un ejemplo un poco "especial", lo explicaré más gráficamente. No obstante, hay que tener en cuenta muchas cosas: desde el puesto en sí hasta el cuidado que tenga el candidato a la hora de cuidar su reputación online o la "curiosidad" que tenga el seleccionador en el perfil que le interesa para su empresa (en el que también entra otra reputación: la corporativa, porque la contratación puede tener cierta incidencia - positiva o negativa- para ella). El tema es que es un tema un poco espinoso por las aristas que tiene: una especie de macedonia en el que el límite entre la vida personal y la profesional cada vez es más difuso, ya que acaban interactuando muy estrechamente gracias a la red de redes (y el popurrí entre derechos e intereses, legítimos o no, es de aúpa).



El documento pone de inicio el punto en el hecho de que el acceso o no a ellos depende de las configuraciones de privacidad que haya establecido el candidato sobre sus perfiles en RRSS. Esto es un poco simple en inicio (aunque realmente la cosa se complica si pensamos en lo fácil que es hacer un pantallazo de un perfil "cerrado" y hacerlo "público" a la fuerza, por ejemplo, pero no quiero emparanoiar a nadie; solo lo dejo por aquí y cada uno que, simplemente, reflexione 😉): si tus perfiles están "abiertos" a todo kiski, será más sencillo su consulta. Otra cosa es que nos planteemos la legitimidad o no de "auto-invitarse" a una casa que te has encontrado con la puerta abierta: de sentarte en su mullido sofá, ver qué libros o películas tiene o interesarte por su álbum familiar. Si haces todo eso, ya tendrás una idea muy "completa" sobre el propietario de la casa: desde sus intereses o gustos (¿la Historia, quizás?) hasta que le gusta ir de caza, en caso de que en el álbum familiar te encuentres una foto en la que el propietario aparezca, sonriente, posando con un rifle y un elefante muerto. El problema es que igual al que tiene que decantarse por ti no le gusta demasiado eso de la caza, y no creo que vayas a tener la oportunidad ni de decirle: un "lo siento mucho, no volverá a pasar", ya que probablemente no vas a enterarte de que estuvo allí. Al igual que el infiltrado en tu casa, el infiltrado en tus RRSS no parece que vaya a dejar huella: entrará, oteará y saldrá sin hacer ruido ni descolocar el jarrón chino que tienes en la estantería, pero se irá con una idea sobre ti que es posible que no tenga nada que ver con la imagen que tú le quisieras dar en la entrevista: en función de lo que vea y de cómo perciba eso que ve, serás descartado o invitado a entrevista. Cruza los dedos. 😒. En este caso, el documento indica también que el hecho de que los perfiles estén abiertos, no implica un acceso libre para ellos; lo de siempre: que esté en internet, no implica "gratis" ni "sin dueño" ni "regalo" ni "objeto perdido", recordando algo lógico: los datos que tratemos (y recuerden en este punto la amplitud del concepto "tratamiento") deben ser los exactos y necesarios para la finalidad concreta. Por ejemplo: ¿es relevante que, para un puesto meramente administrativo, el candidato haya estado en Italia? ¿lo es para un puesto de presentador de TV que el candidato es un friki de Harry Potter? Lo que decía: muchas aristas y matices.





El documento pone el foco también en que el empleador debe: 

1) Borrar todo tipo de datos recopilados sobre un candidato que no le convenza o que le rechace la oferta de empleo.
Esto que parece un poco obvio, no se cumple en general, porque muchas empresas guardan y guardan y guardan "por si acaso" toneladas de CV´s en sus sistemas. Es como cuando tu madre te pone la chaqueta encima antes de que salgas de casa y te dice: "por si acaso luego refresca", y ves que hay un olorro de calor como el que estamos pasando estos días. Madres del mundo: no va a venir una Glaciación en lo que sale el niño a la calle; Empresas del mundo: si no os interesa, no les tengas ahí "por si acaso" hasta que venga la Glaciación.

2) Informar al candidato (sobre todo en la oferta de empleo), de los tratamientos de datos que va a realizar sobre su información personal (a los efectos de que éste pueda decidir libremente si presentar su candidatura o no teniendo en cuenta no sólo el puesto en sí, sino lo que va a hacer el empleado con sus datos y sobre qué datos lo va a hacer). Conozco un caso de un despacho de cracks que hace algo parecido; si alguno de los integrantes lee estepost, sabrá que me refiero a ellos (y espero que me salude, ya que tenemos alguna que otra interacción por twitter, por cierto). 😏

3) Por último, recuerda el documento que no hay base legal a la que el seleccionador o la empresa se pueda agarrar para que el candidato se vea obligado a "permitir" el acceso de cualquiera de ellos a sus perfiles personales. Es decir: que, legalmente, tienes todo el derecho del mundo a rechazar esa invitación a ser amigos. Otra cosa son las repercusiones que pueda tener, pero, legalmente, no hay a qué agarrarse para sentirte obligado a abrir la veda.


Para finalizar, quiero hacer un llamamiento a la cordura tanto de candidatos como de empresas; los primeros, en la elección sobre accesibilidad general de su perfil (trastead los botoncitos sobre las configuraciones de privacidad, que os creéis que son como los intermitentes del coche: INTOCABLES) e, incluso, sobre la decisión o no de tener perfiles con sus datos completos y exactos; y a las empresas: "abierto" no es una invitación y valoren, a poder ser, los CV´S, que para algo la gente se los trabaja. Recordemos que, a día de hoy (y más con el estado en general del trabajo en España), el candidato está en una posición de clara inferioridad debido al desconocimiento o a la necesidad pura de trabajar. Seamos un poco lógicos y no invasivos.




Y hasta aquí llega el post; espero que os haya parecido interesante.


Un saludo y muchas gracias por pasar por aquí!

domingo, 9 de julio de 2017

Un nuevo invitado en la LOPD: El Whistleblower.


Hola de nuevo, lopder@s.

Llevaba un tiempo con el blog en modo de stand by debido a una alineación interplanetaria de asuntos que, objetivamente, me han impedido sentarme a escribir algo que realmente mereciera la pena. Soy de esas personas que creen en aquello de: "si lo haces, lo haces bien", y este blog nació con la idea de ser una herramienta útil basada en una "apetencia" de escribir, no una obligación tediosa que acabe siendo una carga. Así que, amig@s, si no he escrito antes es precisamente por eso, no hay por qué mentir. ;-)

Partiendo de esa base y añadiendo todas las novedades en temática lopdera que ha habido últimamente: que si el RGPD, que si el Proyecto de Reforma de la LOPD, que si a vueltas con el DPO y las medidas de seguridad... Este camino empieza a tener curvas cada dos pasos y, honestamente, yo soy de marearme en los viajes pero, a la vez, me encanta viajar, por lo que jamás dejaré de hacerlo, aunque tenga que llevar algo heavy para los mareos. Bueno, pues ayer desayunaba con este titular, que me hizo torcer el morro, que es muy característico en mí cuando algo no me gusta (y que por cierto: ha heredado el #iurisobri): "Quién es el delegado de datos, el 'delator' que llega a tu empresa en mayo." Tras ese primer impacto, el resto de la noticia no parece coincidir con ese titular, pero oye, la impresión fue cosita fina. Entiendo que es necesario un titular impactante para traer lectores, pero hagan el favor de pensar en el corazoncito de los que nos dedicamos a esto; la palabra "delator" es fea y, objetivamente, pensar en el DPO como un "delator" es no tener ni pajolera idea del tema. Si lees lo que se dice de esta figura en el RGPD , podría comprarte que el DPO es un poco el jode-rollos de la fiesta si lo llevas al extremo, pero si eres un tío/tía list@ , podrás ver que el DPO realmente puede ser un activo de tu empresa, un Pepito Grillo que te haga hacer las cosas bien y un "Mago Merlín" que haga magia contra las ideas de bombero que pueden dar al traste con un buen negocio. Hazme caso: El DPO no es ningún lobo que vaya a entrar en tu corral a darse un festín. Son muchos los cracks que han escrito sobre la figura del DPO y tan bien que, sinceramente, no creo que vaya a mejorar ninguno de esos textos. Baste leer al gran Ricard Martínez y su respuesta al artículo de titular con mala uvahttp://lopdyseguridad.es/delegado-de-proteccion-de-datos-delator-o-colaborador-imprescindible/ . Querido Maestro, suscribo cada palabra suya, cosa que no es novedad, por cierto.




Tras pensar en la palabra "delator", me he acordado de que hay una figura que asusta más que el DPO y que aparece como novedad en el proyecto de reforma de la LOPD que acabamos de conocer, recién salido del horno y bien calentito: El whistleblower. Llevamos un tiempo escuchando y leyendo sobre esta figura, sobre todo a raíz de que la heroína Ana Garrido decidiera levantar las alfombras y denunciar el pestilente olor a podrido que invadía cierto municipio madrileño. Si empecé este párrafo usando la palabra "delator", quiero terminarlo (e iniciar la cuestión lopdera que me ocupa en este post), haciendo un alegato en favor de gente tan valiente como Ana, a los cuales tenemos que agradecer que saquen la cara y pongan su nombre y apellidos y principios por delante de los beneficios sin escrúpulos ofrecidos por algunos. Qué feas suenan palabras como "delator" o "chivato"; honestamente, creo que la Sociedad debería ver a figuras como la de Ana Garrido como "valientes"; y con esa idea tan "flower", el Proyecto de Reforma de la LOPD los trae a su texto, afortunadamente. Y... ¿qué dice el nuevo texto sobre ellos? Pues vamos a verlo:

Artículo 17. Sistemas de información de denuncias internas en el sector privado.

1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales
pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el
seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas
que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los
empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de
información.
2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente al
personal que lleve a cabo las funciones de control interno y de cumplimiento de la entidad y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con
funciones de gestión y control de recursos humanos.
3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la
confidencialidad de los datos correspondientes a la persona que hubiera puesto los hechos en
conocimiento de la entidad si se hubiera identificado.
4. Los datos de quien formule la comunicación y de los empleados y terceros deberán
conservarse en el sistema únicamente durante el tiempo imprescindible para la averiguación de
los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos deberá procederse a
su supresión del sistema. Si fuera necesaria su conservación para continuar la investigación
podrán seguir siendo tratados en un entorno distinto.
No será de aplicación a estos sistemas la obligación de bloqueo prevista en el artículo 29.


Puntos clave del artículo:


1) Lo primero: que es lícito crear este tipo de mecanismos. Y yo voy más allá: no solo es lícito, sino que, personalmente, creo que es ultranecesario. Nos llenamos la boca con temas como la Responsabilidad Social Corporativa o con donaciones estratosféricas a fines sociales, o con lo modernos que somos por estar en RRSS y conectar con la gente joven, pero a veces las alcantarillas están un poco, digamos, congestionadas. No pongáis esa cara, seguro que se os ocurren ejemplos de malas prácticas a porrón, tanto en vuestras empresas como en vuestra comunidad de vecinos. 






2) Que para que esto funcione, es necesario que los empleados conozcan que hay esos mecanismos y sepan cómo usarlos. Esto es básico: cuando entra un nuevo empleado, hay codazos por enseñarle cómo funciona la máquina de café o las reglas que hay sobre protección de datos (chas!), pues habrá que explicarle también que, si ve algo feo feísimo, puede denunciarlo. 







3) Que los datos de estas denuncias solo tendrán que estar a disposición del personal encargado de velar porque la empresa sea güena (es decir, que si denuncias algo que hace tu jefe, en teoría, este no debe saber que has sido tú "garganta profunda"). Esto es de cajón: si sé que se va a enterar mi jefe de que le he denunciado por algo que hace mal, a ver quién es el rico que se atreve (y menos cuando está la cola del SEPE que hay cola hasta para hacer cola, aunque nos vendan lo contrario). La única excepción a esto es que puedan derivarse medidas disciplinarias contra el denunciado; entonces sí se da vía libre a que los de RRHH lo sepan y procedan contra el malo malísimo.



4) Que hay que tomar medidas para proteger la identidad del whistleblower; precisamente al hilo de lo que comentaba en el punto 3. Empezaba la introducción del post hablando de lo feo que suena la palabra "delator"; todos hemos crecido interiorizando que el chivato era el malo de la peli, incluso aunque se chivara de que se estaba haciendo algo horrible. La consecuencia de que se hiciera público en el cole el nombre del "chivato", era que se enfrentaba a una especie de castigo social por hacerlo, no sólo del "afectado" por el chivatazo, sino del resto. Esto hacía que pocos se atrevieran objetivamente a tomar la iniciativa y, cuando crecemos, no sólo no olvidamos esta memez (la Sociedad hace que lo interioricemos aun más), sino que es como una especie de aberrante "pacto de silencio" que, a mi juicio, nos convierte en cómplices. Y luego pasa lo que pasa, que todos conocemos de sobra. Bueno, la cosa es que el artículo, con muy buenas intenciones, establece la obligatoriedad de aplicar medidas que garanticen la confidencialidad y preserven la identidad del valiente. En un mundo ideal, me encantaría que no tuviesen que ser tomadas este tipo de medidas con la citada finalidad de protección, pero oigan, "piano, piano". Menos da una piedra.


5) Que tenemos un plazo de conservación de los datos de la denuncia: el tiempo imprescindible para estudiar los hechos objeto de la denuncia. Como aquí somos muy de conservar las cosas por tiempo indefinido (menos las relaciones laborales, por cierto), el propio artículo nos da un plazo: 3 meses desde que el whistleblower meta los datos en el sistema. Esto me lleva a plantearme algunas cosas: 




a) Entiendo que el método que prefiere el legislador es por vía TIC, porque lo de poner un buzón fisico de denuncias parece un poco complicado a la hora de cumplir y gestionar este plazo. Además, me imagino la imagen del buzón como una zona inhóspita y desangelada, pocas ganas de acercarse por temor a las miradas inquisitorias de las que hablaba antes, por lo que quizás el método TIC es el más "cómodo" (veremos si el más "eficiente").

b) El plazo de 3 meses es muy bonito en el papel, igual que lo es el de la Justicia Rápida de la que presume nuestro querido Ministro en las giras que hace vendiendo las maravillas de Lexnet y de los nuevos Juzgados que abre, en muchas ocasiones, sin equipar (aunque esto no lo ha inventado él, sinceramente, esto se inventó con hospitales y creo que la idea fue de una conocida de Ana Garrido, por cierto). Habrá que ver si ese plazo es el adecuado y cómo justifica la empresa que ha llevado las gestiones necesarias en ese tiempo para analizar y estudiar el caso. 

c) Pasados los 3 meses, hay que SUPRIMIR los datos, NO BLOQUEARLOS. Bien, esto tiene un doble filo: si eliminamos todo lo generado por la denuncia, a ver cómo hacemos si luego resulta que, a pesar de que la investigación interna se cerró con un beso y una flor, resulta que nos encontramos con un berenjenal como el descubierto por la denuncia de Ana Garrido. De esa denuncia interna que inicia el proceso pueden derivarse consecuencias "positivas" y "negativas" que igual es necesario revisar a posteriori, por lo que es posible que cargarse TODO no sea la mejor idea., sobre todo si se abre un meloncito como ese. Habrá que darle alguna vuelta a cómo gestionarlo. ¿Anonimización? ¿Pseudonimización? 




Para finalizar este post un poco incendiario, quiero hacer mención a dos cosas importantes:

1) Leo en la web de la AEPD esto: "El CGPJ y la AEPD colaborarán en las inspecciones de órganos judiciales en materia de protección de datos". Una gran noticia que se deriva, obviamente, de porrocientas denuncias de muchos compañeros sobre la falta de diligencia en esta temática de algunos organismos, entre ellos, los que componen la Brigada Tuitera. Como veis, e incidiendo en lo que decía anteriormente, la figura del "Whisteblower" es muy necesaria; muchas denuncias públicas las han hecho compañeros desde su cuenta de Twitter. Mi más sincera enhorabuena.

2) Me he encontrado en twitter muy bien acompañada de cracks en una mención que reconozco que me ha hecho especial ilusión: http://sinderiza.com/7-blogs-juridicos-me-encantan/ . Muchísimas gracias a los compis de Sinderiza por meter este pequeño blog junto a tanta gente enorme, de verdad que es todo un honor, compañer@s!!!

Y ahora sí: hasta aquí el post de hoy. Feliz semana y hasta la próxima!