Límite a las empresas en el uso de las redes sociales de sus candidatos
La Agencia Española de Protección de Datos publica una Guía de ayuda para el tratamiento de los datos personales en las relaciones laborales
En los últimos tiempos, la utilización de las redes sociales se ha convertido en una forma de tener visibilidad en el mercado laboral, tanto para los candidatos como para las empresas que los quieren reclutar.
No obstante, esta creciente exposición virtual puede conllevar situaciones conflictivas en materia de protección de datos, motivo por el que la Agencia Española de Protección de Datos (AEPD) ha recalcado, a través de una nueva Guía, los límites que tienen las empresas en el acceso y tratamiento de los datos de carácter personal de los candidatos y trabajadores.
Esta guía, elaborada por la Agencia, no tiene carácter vinculante en sí, pero si práctico, con el fin de promover y ayudar a organizaciones públicas y privadas a cumplir la normativa de protección de datos en las relaciones laborales, haciendo especial hincapié en determinados aspectos de esencial cumplimiento o que plantean problemas de interpretación o de aplicación práctica.
Autorización
El aumento en el uso de las redes sociales no siempre va acompañado de un manejo adecuado y responsable. Esto puede deberse a la existencia de una gran desinformación de la población en general en materia de protección de datos, como apunta Alberto Novoa, socio del área de laboral del despacho Ceca Magán Abogados, quien considera que “mucha gente ignora que no está obligada a autorizar la indagación de la empresa en sus perfiles de RRSS”.
Aunque la ley exige autorización previa, “el problema surge si esa información es pública y cualquiera que accede puede verla sin filtro alguno de consentimiento” puntualiza el abogado. Algo que ocurre cuando las personas publican en redes sociales con carácter público, sin ningún tipo de aceptación expresa o solicitud de amistad. En este caso, Novoa matiza que el que la publica asume que la empresa puede conocerla.
Fines profesionales
Otra cuestión es el tratamiento de los datos obtenido por esa vía de acceso público. La Guía recuerda que, en virtud del Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del artículo 29, sólo será posible dicho tratamiento cuando se demuestre que es necesario para desempeñar el trabajo y siempre que se haya informado a la persona sobre el mismo.
Si bien, dichos fines profesionales pueden resultar un cajón de sastre. Diego Ramos, socio de Protección de Datos del bufete DLA Pipper explica “que primero habría que preguntarse si, realmente, teniendo en cuenta el perfil de un puesto concreto, es imprescindible acceder a esa información y, después, si esos contenidos son de forma clara, pública y evidente solo de naturaleza profesional”, como, por ejemplo, para poder evaluar los riesgos específicos de los candidatos respecto de una función concreta.
Por otro lado, en el caso de que el perfil no fuera público, el organismo niega que la empresa esté legitimada para solicitar amistad a las personas candidatas para que estas proporcionen acceso a sus perfiles.
Sanciones
Obviamente, vulnerar dichas prohibiciones, puede acarrear fuertes multas, explica Diego Ramos. En teoría “las sanciones podrían llegar hasta los 20 millones de euros o un 4% de la facturación global anual, aunque luego se moderan en función de las circunstancias del caso”, matiza.
En este aspecto, comenta Novoa, no parece que haya un sector más proclive a cometer este tipo de infracciones, “lo más frecuente, y eso sí se deduce claramente de las actuaciones de la AEPD, es que aquellas empresas que tienen procesos de selección profesionalizados, procedimentados y debidamente asesorados no incurran en tales conductas”.
En cualquier caso, no siempre una sanción económica puede ser el peor de los castigos para una empresa infractora. En este sentido, Diego Ramos concluye que “las empresas pueden sufrir más por el impacto en su reputación que por la multa, por alta que sea.”
Claves para entender la protección de datos
Datos personales. Incluye toda aquella información sobre una persona física identificada o identificable. Pueden cubrir varios aspectos, como el nombre, la fecha de nacimiento, la dirección de correo electrónico, el número de teléfono, la dirección, las características físicas, el currículum, el puesto de trabajo, área de empleo o los datos de ubicación, entre otros.
Tratamiento. El tratamiento de datos personales se refiere, básicamente, a cualquier operación realizada con estos datos personales (ya sea que esas operaciones sean automatizadas o no). Los tipos comunes de tratamiento de datos personales incluyen (pero no se limitan): recopilar, registrar, organizar, estructurar, almacenar, modificar, consultar, usar, publicar, combinar, borrar y destruir datos.
Consentimiento. Para que el consentimiento sea válido la Ley de Protección de Datos exige que sea una manifestación de voluntad libre, específica, informada e inequívoca por la que la persona interesada acepta (mediante declaración o clara acción afirmativa) el tratamiento de datos personales que le conciernen.