domingo, 7 de enero de 2018

Ich bin Iuris y esto es El Reglamento Europeo de Protección de Datos en Alemania


Guten Tag, amig@s:

Tenía ya ganas de sentarme a escribir un poquito para contaros cómo va mi experiencia alemana; nunca sabes quién te va a leer y puede que tus vivencias puedan ayudarle a alguien. Tras llevar aquí unos 3 meses largos (vine en Octubre) y coger un poquito de aire en Madrid, en este primer domingo de enero, he encontrado el ratito perfecto para ponerme un café y sentarme delante de la pantalla. Este post no se va a centrar en protección de datos, pretendo que sea algo mix, entre mi experiencia personal como expatriada y mi experiencia profesional aquí. Vamos a ver qué sale.


Situación Inicial

Estaba yo tan tranquila en Madrid y recibo una oferta un poco curiosa: "Oye Iuris, vente para Alemania que te damos de comer y nos ayudas con esto del RGPD aquí. La ciudad es Mainz y es muy cuqui, cerquita de Frankfurt, para cuando te dé la morriña de gran ciudad y eches de menos Madrid y puedas viajar a ver a La Cibeles bien fácil. Y el idioma de trabajo es el inglés, así que no tienes excusa". A grosso modo, tras llantos, dudas, temblores, todos los "qué cojones hago yo allí?" y los "MAMAAAAAAAA/AMIG@SSSSSSSS/FAMILIAAAAAA", pues decido que sí, que cojo el avión y que ya veremos lo que pasa. Total, me quedé con la espinita de hacer un Erasmus y siempre he querido vivir una experiencia internacional, aunque SIN TENER NI PAPA DEL IDIOMA, pues era un poco locura. Y aquí me planté. 


Llegada

Con mi maleta, con mis inseguridades sobre el inglés que compartimos todos los españoles, llegué a la oficina. Me explicaron el proyecto y me dieron mi equipamiento: Tarjetas de visita, Móvil, Pc... Y a currar. Mi oficina es multicultural, parece la ONU, por lo que la integración creo que ha sido más fácil. Y es realmente divertido trabajar todos los días con gente tan diferente, creedme.




 Lo Más Complicado:

- Encontrar casa=> Empadronarte=> Número Fiscal=> Cuenta del Banco. Sí, ese es el orden, no hay más.
- Redactar, comunicarte y escuchar todo el día en una lengua que no es la tuya (afortunadamente tengo mi cachito de "spanish" con mi compi y ya amigo colombiano, que me da la vida!) 
- Echar de menos Madrid. Esto es inevitable; tu casa, tu gente, las calles de Madrid, el ambiente, el ir por la calle y entender lo que pasa, esos tintos con los amigos, esa alegría en la calle... Esto es especialmente duro. :-(

Lo Mejor:

- La gente. Es verdad que mi experiencia es en relación a un centro de trabajo multinacional, pero trabajo con alemanes también y la experiencia es muy positiva con ellos: son amables (no intensos), valoran lo que haces (ya sea jefe o compi, el reconocimiento de lo que aportas lo agradecen y reconocen) y la ayuda que te prestan para todo. Siempre hay un alemán preguntándome qué tal estoy y si necesito algo, cosa que se agradece cuando estás fuera de casa. El ambiente laboral es estupendo, lo ponen muy fácil.
- La experiencia en sí. Es maravilloso romper los límites de uno mismo y ver que se sobrevive, y que incluso no lo haces mal. ;-)
- Mainz. En castellano la llamamos "Maguncia". Es la ciudad de Gutenberg, queridos, por lo que era una señal que viniera aquí. :-) 


Y ahora, hablemos de lo que se cuece aquí con el RGPD:

- Están en ello. 
Os reconozco que están un poquito más enterados que nosotros; en mi primera reunión con cliente, se notaba que, al menos, se había leído el RGPD. Aquí ya tienen lista su Ley "adaptada" y ya saben lo que hay, por lo que en eso, nos llevan delantera. De hecho, cuando les explico que nuestra Ley hasta mayo no estará, alucinan un poco. Y eso que su Ley es absolutamente infumable, en serio. Me quejo yo del BOE, pues algo similar. Si os atrevéis, os la dejo aquí enganchada en Inglés y en Germano. Suerte.

- Guidelines, guidelines y más guidelines para cualquier cosa.
Son muy fans, no pueden evitarlo. Lo bueno es que elaborarlas te obliga a tener una mente muy creativa y a reciclarte, y a estar al día de lo que se cuece. Para ellos, no se concibe trabajar sin un porroncio de Guidelines que te ayuden en el camino (y no solo en Protección de Datos, eh?).

- Grescas con los Tech.
Para ser honesta, en general aquí veo a los Tech bastante más proclives a confiar y pedir ayuda a las togas que en España (al menos es mi experiencia personal, no se me ofendan los tech ahora). Te preguntan conceptos, te piden tu punto de vista y son bastante curiosos; es como si no le tuvieran miedo a la Ley, como me pasaba en España, sino que parece que entienden al 100% que su trabajo y el mío tiene que ir en pack y lo viven sin drama. De hecho, a la hora de elaborar un documento, si pisan, aunque sea mínimamente, algo legal, les falta tiempo para buscar al Lawyer para que lo revise y le dé el toque jurídico. En esto es verdad que les envidio, y no deja de sorprenderles que alucine con que no me protesten; ellos alucinan con que yo alucine con que ellos no protesten y así me paso el día. Un día, hablando con un GermanoTech le comenté un poco mi sorpresa y él me respondió: "No tengo miedo a la Ley, tengo miedo a incumplirla, y para evitar eso, estás tú". No os voy a mentir: mola no tener la sensación de ser el jodefiestas. XDDDD

Como no quiero que el post se me quede demasiado largo, lo termino con unos recursetes que pueden ser interesantes para las frikitogas:

- Serie de Documentos y Cositas Prácticas para el RGPD desde la perspectiva alemana:En este link, tenéis de todo, querid@s: desde modelo de contrato Responsable- Encargado hasta indicaciones previas para Evaluaciones de Impacto de Privacidad, pasando por documentos para el tema de la confidencialidad... Purito Oro Alemanen para trastear!! (Y sí, digo para trastear porque todo requiere ser trasteado según la finalidad y las características de lo que vaya a hacerse; en esto no vale eso de descargar la plantilla, poner los datos del cliente, y a otra cosa: NO, NO Y NORLLL!).

- Link multifuncional:En este os dejo desde la relación de links de las Agencias de Protección de Datos Alemanas, hasta otras plantillas para transferencias de datos y sites sobre normativa internacional. Como os digo arriba: a trastearllll!

 Aunque la mayoría de las cosas están en alemanchus, también hay cositas en inglés. :-) 


Hala, y con esto y un bizcocho: FELIZ AÑO 2018!!!!

Saluten!!!  


Pdt: Os dejo unas fotos de MainzDrid para que veais lo bonito que es... :-)









 

sábado, 15 de julio de 2017

La empresa y las RRSS del candidato: Opinión 2/2017


Buenas noches/madrugadas, Lopder@s.

No me considero una persona excesivamente mística (un poco supersticiosa sí, en algunas cosas puntuales que otros llamarán manías), pero hoy debo confesaros que el tema del post me ha venido rodado, y todo ha empezado a raíz de una breve conversación que tuve esta tarde con una toguita muy maja del norte: @therearW. El caso es que tras hablar con ella un poco sobre la incidencia de las RRSS en el contexto laboral, al llegar a casa me he encontrado, en lo que hacía aquello que he bautizado como iurisfrikear (no tengo una definición "entendible"), con este documento: Opinion 2/2017 on data processing at work - wp249 . Como me pierde la curiosidad, no he podido evitar abrirlo y ponerme a leerlo, e, inevitablemente, mi conversación de esta tarde con Irati me ha venido a la mente al llegar a este punto: "Processing operations during the recruitment process". Pero es que hay más, resulta que el documento también tiene este otro punto: "Processing operations resulting from in-employment screening" que quiero dejar aquí sutilmente con la intención de hacer un segundo post sobre él. ;-)



Para esta entrada, como decía, me voy a centrar en el tratamiento de datos relacionados con las RRSS sobre los candidatos a un empleo. Esto que queda tan "formal" en el papel se resume en lo siguiente: Mandas tu CV a una empresa para optar a uno de los puestos que ofrece y, el empresario/equipo de selección, pone tu nombre en Google o accede al perfil que tú mism@ pones en el CV y... pues ya sabes: ve más información de la que quizás desearías. Y esa información quizás puede jugar en tu contra en función de muchas variables. 





Cuando pienso en esto, me vienen a la mente los eternos debates que tengo con una de mis mejores amigas, que es, digamos, una crack en esto de la selección de personal. No son pocas las veces que hemos charlado sobre la importancia de poner o no la foto en el CV o si es interesante/legítimo para la empresa conocer cosas del candidato que no están relacionadas directamente con el puesto que desea conseguir. Es un tema complicado en el que caben mil aristas o posturas. Si tengo que "mojarme", taxativamente diré que todo depende en la vida,y que honestamente, nunca me han gustado los argumentos que culpabilizan a la víctima (desde el "no haber firmado" hasta el "se lo buscó"). No olvidemos que el candidato muchas veces está en una posición de inferioridad,y más en un contexto económico y social como el que vivimos. Más adelante,con un ejemplo un poco "especial", lo explicaré más gráficamente. No obstante, hay que tener en cuenta muchas cosas: desde el puesto en sí hasta el cuidado que tenga el candidato a la hora de cuidar su reputación online o la "curiosidad" que tenga el seleccionador en el perfil que le interesa para su empresa (en el que también entra otra reputación: la corporativa, porque la contratación puede tener cierta incidencia - positiva o negativa- para ella). El tema es que es un tema un poco espinoso por las aristas que tiene: una especie de macedonia en el que el límite entre la vida personal y la profesional cada vez es más difuso, ya que acaban interactuando muy estrechamente gracias a la red de redes (y el popurrí entre derechos e intereses, legítimos o no, es de aúpa).



El documento pone de inicio el punto en el hecho de que el acceso o no a ellos depende de las configuraciones de privacidad que haya establecido el candidato sobre sus perfiles en RRSS. Esto es un poco simple en inicio (aunque realmente la cosa se complica si pensamos en lo fácil que es hacer un pantallazo de un perfil "cerrado" y hacerlo "público" a la fuerza, por ejemplo, pero no quiero emparanoiar a nadie; solo lo dejo por aquí y cada uno que, simplemente, reflexione 😉): si tus perfiles están "abiertos" a todo kiski, será más sencillo su consulta. Otra cosa es que nos planteemos la legitimidad o no de "auto-invitarse" a una casa que te has encontrado con la puerta abierta: de sentarte en su mullido sofá, ver qué libros o películas tiene o interesarte por su álbum familiar. Si haces todo eso, ya tendrás una idea muy "completa" sobre el propietario de la casa: desde sus intereses o gustos (¿la Historia, quizás?) hasta que le gusta ir de caza, en caso de que en el álbum familiar te encuentres una foto en la que el propietario aparezca, sonriente, posando con un rifle y un elefante muerto. El problema es que igual al que tiene que decantarse por ti no le gusta demasiado eso de la caza, y no creo que vayas a tener la oportunidad ni de decirle: un "lo siento mucho, no volverá a pasar", ya que probablemente no vas a enterarte de que estuvo allí. Al igual que el infiltrado en tu casa, el infiltrado en tus RRSS no parece que vaya a dejar huella: entrará, oteará y saldrá sin hacer ruido ni descolocar el jarrón chino que tienes en la estantería, pero se irá con una idea sobre ti que es posible que no tenga nada que ver con la imagen que tú le quisieras dar en la entrevista: en función de lo que vea y de cómo perciba eso que ve, serás descartado o invitado a entrevista. Cruza los dedos. 😒. En este caso, el documento indica también que el hecho de que los perfiles estén abiertos, no implica un acceso libre para ellos; lo de siempre: que esté en internet, no implica "gratis" ni "sin dueño" ni "regalo" ni "objeto perdido", recordando algo lógico: los datos que tratemos (y recuerden en este punto la amplitud del concepto "tratamiento") deben ser los exactos y necesarios para la finalidad concreta. Por ejemplo: ¿es relevante que, para un puesto meramente administrativo, el candidato haya estado en Italia? ¿lo es para un puesto de presentador de TV que el candidato es un friki de Harry Potter? Lo que decía: muchas aristas y matices.





El documento pone el foco también en que el empleador debe: 

1) Borrar todo tipo de datos recopilados sobre un candidato que no le convenza o que le rechace la oferta de empleo.
Esto que parece un poco obvio, no se cumple en general, porque muchas empresas guardan y guardan y guardan "por si acaso" toneladas de CV´s en sus sistemas. Es como cuando tu madre te pone la chaqueta encima antes de que salgas de casa y te dice: "por si acaso luego refresca", y ves que hay un olorro de calor como el que estamos pasando estos días. Madres del mundo: no va a venir una Glaciación en lo que sale el niño a la calle; Empresas del mundo: si no os interesa, no les tengas ahí "por si acaso" hasta que venga la Glaciación.

2) Informar al candidato (sobre todo en la oferta de empleo), de los tratamientos de datos que va a realizar sobre su información personal (a los efectos de que éste pueda decidir libremente si presentar su candidatura o no teniendo en cuenta no sólo el puesto en sí, sino lo que va a hacer el empleado con sus datos y sobre qué datos lo va a hacer). Conozco un caso de un despacho de cracks que hace algo parecido; si alguno de los integrantes lee estepost, sabrá que me refiero a ellos (y espero que me salude, ya que tenemos alguna que otra interacción por twitter, por cierto). 😏

3) Por último, recuerda el documento que no hay base legal a la que el seleccionador o la empresa se pueda agarrar para que el candidato se vea obligado a "permitir" el acceso de cualquiera de ellos a sus perfiles personales. Es decir: que, legalmente, tienes todo el derecho del mundo a rechazar esa invitación a ser amigos. Otra cosa son las repercusiones que pueda tener, pero, legalmente, no hay a qué agarrarse para sentirte obligado a abrir la veda.


Para finalizar, quiero hacer un llamamiento a la cordura tanto de candidatos como de empresas; los primeros, en la elección sobre accesibilidad general de su perfil (trastead los botoncitos sobre las configuraciones de privacidad, que os creéis que son como los intermitentes del coche: INTOCABLES) e, incluso, sobre la decisión o no de tener perfiles con sus datos completos y exactos; y a las empresas: "abierto" no es una invitación y valoren, a poder ser, los CV´S, que para algo la gente se los trabaja. Recordemos que, a día de hoy (y más con el estado en general del trabajo en España), el candidato está en una posición de clara inferioridad debido al desconocimiento o a la necesidad pura de trabajar. Seamos un poco lógicos y no invasivos.




Y hasta aquí llega el post; espero que os haya parecido interesante.


Un saludo y muchas gracias por pasar por aquí!