La empresa y las RRSS del candidato: Opinión 2/2017

Buenas noches/madrugadas, Lopder@s.

No me considero una persona excesivamente mística (un poco supersticiosa sí, en algunas cosas puntuales que otros llamarán manías), pero hoy debo confesaros que el tema del post me ha venido rodado, y todo ha empezado a raíz de una breve conversación que tuve esta tarde con una toguita muy maja del norte: @therearW. El caso es que tras hablar con ella un poco sobre la incidencia de las RRSS en el contexto laboral, al llegar a casa me he encontrado, en lo que hacía aquello que he bautizado como iurisfrikear (no tengo una definición "entendible"), con este documento: Opinion 2/2017 on data processing at work - wp249 . Como me pierde la curiosidad, no he podido evitar abrirlo y ponerme a leerlo, e, inevitablemente, mi conversación de esta tarde con Irati me ha venido a la mente al llegar a este punto: "Processing operations during the recruitment process". Pero es que hay más, resulta que el documento también tiene este otro punto: "Processing operations resulting from in-employment screening" que quiero dejar aquí sutilmente con la intención de hacer un segundo post sobre él. ;-)

Para esta entrada, como decía, me voy a centrar en el tratamiento de datos relacionados con las RRSS sobre los candidatos a un empleo. Esto que queda tan "formal" en el papel se resume en lo siguiente: Mandas tu CV a una empresa para optar a uno de los puestos que ofrece y, el empresario/equipo de selección, pone tu nombre en Google o accede al perfil que tú mism@ pones en el CV y... pues ya sabes: ve más información de la que quizás desearías. Y esa información quizás puede jugar en tu contra en función de muchas variables. 

Cuando pienso en esto, me vienen a la mente los eternos debates que tengo con una de mis mejores amigas, que es, digamos, una crack en esto de la selección de personal. No son pocas las veces que hemos charlado sobre la importancia de poner o no la foto en el CV o si es interesante/legítimo para la empresa conocer cosas del candidato que no están relacionadas directamente con el puesto que desea conseguir. Es un tema complicado en el que caben mil aristas o posturas. Si tengo que "mojarme", taxativamente diré que todo depende en la vida,y que honestamente, nunca me han gustado los argumentos que culpabilizan a la víctima (desde el "no haber firmado" hasta el "se lo buscó"). No olvidemos que el candidato muchas veces está en una posición de inferioridad,y más en un contexto económico y social como el que vivimos. Más adelante,con un ejemplo un poco "especial", lo explicaré más gráficamente. No obstante, hay que tener en cuenta muchas cosas: desde el puesto en sí hasta el cuidado que tenga el candidato a la hora de cuidar su reputación online o la "curiosidad" que tenga el seleccionador en el perfil que le interesa para su empresa (en el que también entra otra reputación: la corporativa, porque la contratación puede tener cierta incidencia - positiva o negativa- para ella). El tema es que es un tema un poco espinoso por las aristas que tiene: una especie de macedonia en el que el límite entre la vida personal y la profesional cada vez es más difuso, ya que acaban interactuando muy estrechamente gracias a la red de redes (y el popurrí entre derechos e intereses, legítimos o no, es de aúpa).

El documento pone de inicio el punto en el hecho de que el acceso o no a ellos depende de las configuraciones de privacidad que haya establecido el candidato sobre sus perfiles en RRSS. Esto es un poco simple en inicio (aunque realmente la cosa se complica si pensamos en lo fácil que es hacer un pantallazo de un perfil "cerrado" y hacerlo "público" a la fuerza, por ejemplo, pero no quiero emparanoiar a nadie; solo lo dejo por aquí y cada uno que, simplemente, reflexione 😉): si tus perfiles están "abiertos" a todo kiski, será más sencillo su consulta. Otra cosa es que nos planteemos la legitimidad o no de "auto-invitarse" a una casa que te has encontrado con la puerta abierta: de sentarte en su mullido sofá, ver qué libros o películas tiene o interesarte por su álbum familiar. Si haces todo eso, ya tendrás una idea muy "completa" sobre el propietario de la casa: desde sus intereses o gustos (¿la Historia, quizás?) hasta que le gusta ir de caza, en caso de que en el álbum familiar te encuentres una foto en la que el propietario aparezca, sonriente, posando con un rifle y un elefante muerto. El problema es que igual al que tiene que decantarse por ti no le gusta demasiado eso de la caza, y no creo que vayas a tener la oportunidad ni de decirle: un "lo siento mucho, no volverá a pasar", ya que probablemente no vas a enterarte de que estuvo allí. Al igual que el infiltrado en tu casa, el infiltrado en tus RRSS no parece que vaya a dejar huella: entrará, oteará y saldrá sin hacer ruido ni descolocar el jarrón chino que tienes en la estantería, pero se irá con una idea sobre ti que es posible que no tenga nada que ver con la imagen que tú le quisieras dar en la entrevista: en función de lo que vea y de cómo perciba eso que ve, serás descartado o invitado a entrevista. Cruza los dedos. 😒. En este caso, el documento indica también que el hecho de que los perfiles estén abiertos, no implica un acceso libre para ellos; lo de siempre: que esté en internet, no implica "gratis" ni "sin dueño" ni "regalo" ni "objeto perdido", recordando algo lógico: los datos que tratemos (y recuerden en este punto la amplitud del concepto "tratamiento") deben ser los exactos y necesarios para la finalidad concreta. Por ejemplo: ¿es relevante que, para un puesto meramente administrativo, el candidato haya estado en Italia? ¿lo es para un puesto de presentador de TV que el candidato es un friki de Harry Potter? Lo que decía: muchas aristas y matices.

El documento pone el foco también en que el empleador debe: 

1) Borrar todo tipo de datos recopilados sobre un candidato que no le convenza o que le rechace la oferta de empleo.

Esto que parece un poco obvio, no se cumple en general, porque muchas empresas guardan y guardan y guardan "por si acaso" toneladas de CV´s en sus sistemas. Es como cuando tu madre te pone la chaqueta encima antes de que salgas de casa y te dice: "por si acaso luego refresca", y ves que hay un olorro de calor como el que estamos pasando estos días. Madres del mundo: no va a venir una Glaciación en lo que sale el niño a la calle; Empresas del mundo: si no os interesa, no les tengas ahí "por si acaso" hasta que venga la Glaciación.

2) Informar al candidato (sobre todo en la oferta de empleo), de los tratamientos de datos que va a realizar sobre su información personal (a los efectos de que éste pueda decidir libremente si presentar su candidatura o no teniendo en cuenta no sólo el puesto en sí, sino lo que va a hacer el empleado con sus datos y sobre qué datos lo va a hacer). Conozco un caso de un despacho de cracks que hace algo parecido; si alguno de los integrantes lee estepost, sabrá que me refiero a ellos (y espero que me salude, ya que tenemos alguna que otra interacción por twitter, por cierto). 😏

3) Por último, recuerda el documento que no hay base legal a la que el seleccionador o la empresa se pueda agarrar para que el candidato se vea obligado a "permitir" el acceso de cualquiera de ellos a sus perfiles personales. Es decir: que, legalmente, tienes todo el derecho del mundo a rechazar esa invitación a ser amigos. Otra cosa son las repercusiones que pueda tener, pero, legalmente, no hay a qué agarrarse para sentirte obligado a abrir la veda.

Para finalizar, quiero hacer un llamamiento a la cordura tanto de candidatos como de empresas; los primeros, en la elección sobre accesibilidad general de su perfil (trastead los botoncitos sobre las configuraciones de privacidad, que os creéis que son como los intermitentes del coche: INTOCABLES) e, incluso, sobre la decisión o no de tener perfiles con sus datos completos y exactos; y a las empresas: "abierto" no es una invitación y valoren, a poder ser, los CV´S, que para algo la gente se los trabaja. Recordemos que, a día de hoy (y más con el estado en general del trabajo en España), el candidato está en una posición de clara inferioridad debido al desconocimiento o a la necesidad pura de trabajar. Seamos un poco lógicos y no invasivos.

Y hasta aquí llega el post; espero que os haya parecido interesante.

Un saludo y muchas gracias por pasar por aquí!

#RETOBLOG: Harry Potter y sus hechizos para cumplir la LOPD.

Dicen las malas lenguas que para cumplir con la normativa de protección de datos necesitas ser más espabilado que Harry Potter en busca de los Horrocruxes. La diferencia es que Harry los encontró, se enfrentó al malo y ganó (así contado por encima) y en esto de la protección de datos, los Horrocrouxes son...cómo decirlo...INTERMINABLES. Por eso, para que puedas enfrentarte a cada peligro, te voy a dar un manual imprescindible: una lista de hechizos Harry-Potteros para que puedas entender un poco de qué va la LOPD y defenderte cuando EL QUE NO DEBE SER NOMBRADO venga a por nosotros. 

Vamos a ello...

Hechizo Calvorio - Deja calvo al recibidor del hechizo durante varios minutos.

Este es el que va a usar la AEPD como te coja desprevenido: vas a acabar desplumado. Y es seria la cosa; las multas por incumplir la LOPD van desde 900 euros a 600.000 euros. Eso sí, al igual que las multas, los efectos del hechizo también son graduables: dependiendo de cómo te pille el tema puedes quedarte tipo bola de billar o look Anasagasti, por lo que te aconsejo que vayas cuidando tu melena (y tu gestión de los datos personales) para que, en caso de que te lancen este hechizo, tengas recursos para defenderte. 

Priori Incantatem - Hace que puedas ver el último hechizo conjurado por la varita.

Mucho ojo con este también: como no tengas una contraseña lo suficientemente fuerte, este hechizo puede ser tu ruina. Con él, el Mortífago puede entrar en el corazón de tu empresa y acceder a todo lo que guardas en tus dispositivos/varitas, por lo que haz el favor de utilizar contraseñas robustas y aléjate del 1234 o el 0000 que no traen más que penurias.

Hechizo Fermaportus - Cierra o sella una puerta mágicamente.

Este es el que debes usar para cancelar los datos. Con él, los datos quedarán perfectamente bloqueados, a excepción de que Administraciones públicas, Jueces o Tribunales, te los pidan para la atención de las posibles responsabilidades nacidas del tratamiento que hayas realizado sobre ellos. Eso sí, este hechizo funciona sólo durante el plazo de prescripción de dichas responsabilidades, por lo que, pasado ese tiempo, deberás usar el siguiente que te pongo.

Reducto - Hace que el objeto, al que se apunta, se rompa o destruya.

Efectivamente, este hechizo es el que debes usar para suprimir los datos tras el período de bloqueo. Con él, no quedará ni rastro de los datos, por lo que sé muy cauteloso y cuidadoso de usarlo sólo cuando debas y asegúrate de que has ensayado muy bien el hechizo para que no haya forma humana (ni mágica) de que pueda accederse a los datos que has destruido.

Cistem Aperio - Crea fuertes sacudidas en un objeto hasta hacer que se abra o rompa.

Este hechizo es otro con bastante probabilidad de que lo usen contra ti los horribles Mortífagos, por lo que debes estar preparado. Protege tus datos personales y los sistemas que los contienen para que seas inmune a este hechizo; te voy a dar varios conjuros para que puedas protegerte bien:

Cave Inimicum - Hechizo de protección, avisa cuando llegan los enemigos.

Ferma -  Cierra objetos cerrables, como ventanas, libros o cajones.

Mago precavido vale por dos; tener mecanismos de prevención de ataques nos hará ser más fuertes y menos vulnerables a los ataques de los malos. Nuestros datos estarán más seguros y podremos responder a los ataques que nos lancen (incluso preverlos con antelación para minimizar sus efectos). 

Geminio - Duplica objetos, aunque los objetos duplicados no tienen las propiedades mágicas que los originales.

Este es la pera limonera de los hechizos, ya que es tu particular inversión en tranquilidad: tener una copia de seguridad de los datos personales es una garantía de seguridad adicional a los hechizos que acabamos de ver. Así que venga, a practicar con la varita (como poco, una vez a la semana).

Partis Temporus - Crea temporalmente una barrera mágica de protección

Ideal cuando sacas soportes con datos de la empresa, algo que es muy común: una carpeta con documentación, el portátil, la tablet... Antes de salir de las instalaciones, dale al Partis Temporus para proteger todo lo que quieras sacar, que nunca se sabe cuando van a aparecer los Mortífagos. 

Y hasta aquí llega la clase de iniciación del curso en Hogwarts; espero que a final del mismo os salgan los conjuros a la primera y paséis el examen de la asignaturas de Hechizos LOPD con toda facilidad. Eso sí, antes de irte... ¡tendrás que saber a qué escuela vas! Tira para el salón que Dumbledore está de los nervios. ;-)

Feliz inicio de cole y...¡BIENVENIDOS A HOGWARTS!