La LOPD ¿Cómo afecta en los Procesos de Selección?

Analizamos su aplicación

En la “LOPD: procesos de selección de personal para empresas”, vamos a exponer aspectos que vienen recogidos en la web de la propia Agencia Española de Protección de Datos (AEPD).

1.- Límites al Tratamiento según la LOPD en los procesos de selección

El artículo 6.1.b. del RGPD

A) El tratamiento de datos personales en los procesos de selección no exige el consentimiento de la persona candidata. (art 6.1.b del RGPD):

“El tratamiento de datos es lícito cuando resulta necesario para la aplicación a petición de la persona trabajadora de medidas precontractuales o la intención de concluir un contrato”.

Recomendación

Es conveniente, cuando los recursos lo permitan,

disponer de unos impresos tipo para la formalización del currículo y de un procedimiento para su entrega por las personas candidatas,

ya que ello va a permitir no sólo informar, sino también definir con precisión el tipo de datos a tratar, establecer las medidas de seguridad…

B) Si para la selección del personal se realizase algún tipo de anuncio o convocatoria pública, deberá incluirse lo que solicita el artículo 13 del RGPD, es decir:

  • Identidad y datos de contacto del responsable de ficheros.
  • Los fines del tratamiento a los que se destinarán los datos personales y la base jurídica del tratamiento.
  • Datos de contacto del Delegado de Protección de Datos, en su caso.
  • Los destinatarios o categorías de destinatarios de los datos personales, en su caso.
  • El plazo durante el cual se conservarán los datos personales o los criterios para determinar este plazo.
  • La la posibilidad de poder solicitar al responsable de tratamiento…
  • … los derechos a el acceso, rectificación, supresión, limitación, oposición al tratamiento, así como la portabilidad de los datos personales.
  • Informar del derecho a presentar una reclamación ante una autoridad de control.

LOPD y los procesos de selección

C) Si el currículo se presenta directamente, por la persona candidata sin haberse solicitado,

deben fijarse procedimientos de información que supongan algún acuse o confirmación de que se han conocido las condiciones en las que se desarrollará el tratamiento.

Ese deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento.

La empresa será la responsable de la custodia de la documentación entregada por parte de la persona candidata.

En caso de pérdida de esa documentación, que contiene datos personales, la empresa incurrirá en infracción del RGPD (Principios de integridad y confidencialidad).

Únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada.

Deben de respetarse los principios de minimización de datos y limitación de la finalidad

(p.ej. la solicitud de antecedentes penales, salvo que una norma contemple dicha petición, ya que en otro caso vulneraría la ley de protección de datos).

El tratamiento de datos con otros fines (p.ej. publicidad o fines comerciales), exigiría otra base jurídica como el consentimiento o el interés legítimo.

D) Se considerarán datos personales las impresiones o valoraciones subjetivas de quienes llevan a cabo el proceso de selección,

por lo que debe de garantizarse la trasparencia en el tratamiento de esos datos.

Es habitual que los empleadores soliciten el informe de la “vida laboral” a las personas candidatas durante el proceso de selección. Aquí se tiene que tener presente lo siguiente:

  • La empresa no está legitimada para obtener ese informe directamente a la Seguridad Social.
  • Se puede entregar un informe de vida laboral incompleto y solamente con los datos que se necesitan saber
  • (p.ej. destacando la experiencia laboral en un puesto de trabajo concreto, pero no la experiencia en todas las empresas donde ha trabajado el candidato).
  • Principio de minimización de datos.

LOPD y los procesos de selección

2.- Selección de personal y redes sociales en los procesos de selección

¿Pueden ver mis redes sociales?

La personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección, ni durante la ejecución del contrato.

Aunque el perfil en redes sociales de una persona candidata a un empleo sea de acceso público,

el empleador no puede efectuar un tratamiento delos datos por esa vía, si no cuenta para ello con una base jurídica válida.

El tratamiento de los datos obtenidos por esta vía únicamente será posible,

cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo.

Además, la persona trabajadora tendrá derecho a ser informada sobre ese tratamiento.

La empresa no está legitimada para solicitar “amistad” a personas candidatas para que éstas, por otros medios, proporcionen acceso a los contenidos de sus perfiles.

3.- Entrevistas de Trabajo

¿Y las preguntas de la entrevista?

En una entrevista de trabajo, la persona candidata a un empleo responde a numerosas preguntas,

pero esas contestaciones no equivalen a un consentimiento para el tratamiento de datos. Por tanto, los datos obtenidos por esa vía, directamente o mediante deducciones (p. ej. creencias religiosas o afiliación sindical o política…), no puede ser objeto de tratamiento, si no se dispone de una base jurídica (p. ej. que sean datos necesarios para la ejecución de un contrato, que haya un consentimiento previo o que exista un interés legítimo).

El empleador que solicite datos de carácter personal a los procesos de selección, dando lugar a discriminaciones contrarias al principio constitucional de igualdad, podría incurrir en una infracción administrativa muy grave.

4.- Colaboración entre empresas en los procesos de selección

Agencias de Colocación

En los casos de las agencias de colocación y empresas de selección,

éstas actuarán como encargadas de tratamiento cuando hayan celebrado previamente un contrato con la empresa que busca personas trabajadoras.

La agencia de colocación localizará a las personas candidatas para el puesto y la base jurídica del tratamiento será…

… el artículo 6.1.b del RGPD (que hemos visto al principio),

al ser necesario para la celebración del contrato de trabajo, y no el consentimiento.

Una vez desaparecido esa base jurídica que legitima el tratamiento de datos, estos deben ser destruidos o devueltos al responsable, debiendo proceder al bloqueo.

No obstante deben ser conservados cuando exista una previsión legal que así lo exija o, en su caso, consentimiento del afectado.

Así mismo, las empresas de trabajo temporal (ETT), serán responsables del tratamiento, pues son empleadoras directas de las personas trabajadoras.

Por último,

será necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos

(p. ej. ceder el currículo de una empresa a otra del mismo grupo.

En el caso que no haya sido seleccionada por una empresa pero haya vacante en la otra).

LOPD y los procesos de selección

5.- Decisiones automatizadas

Es admisible la decisión automatizada en procesos de selección con numerosos candidatos cuando se realiza una primera criba excluyendo a quienes incumplan alguna condición o requisito esencial,

como por ejemplo, la ausencia de titulación.

6.- Categorías especiales de datos según la LOPD en los procesos de selección

Datos especialmente sensibles

Se pueden recabar datos considerados especialmente sensibles. Por ejemplo:

Reconocimientos médicos

Una persona solicitante de empleo sólo puede ser interrogada sobre su estado de salud y/o ser examinado medicamente para:

1.- Indicar su idoneidad para el empleo futuro.

2.- Cumplir con los requisitos de la medicina preventiva.

Pruebas Psicotécnicas o Psicológicas

Son pruebas muy habituales que se utilizan en estos procesos de selección. Aquí sí que se exige el consentimiento de la persona afectada. Constituyen datos de salud (por lo tanto, especialmente sensibles) y por ello, se exigen medidas para garantizar la privacidad y confidencialidad.

Además la persona candidata debe ser informada que tiene derecho a:

-Acceder a los resultados de esas pruebas

-Conocer los criterios de selección utilizados

Los Test Genéticos a una persona trabajadora o candidata a un empleo no son admisibles por:

-No concurre una base jurídica (el consentimiento no se considera lícito)

-No es una medida proporcional

-Permite conocer datos personales irrelevantes o superfluos, no siendo compatibles con el principio de minimización de datos

7.- Conservación de datos en caso de no contratación según la LOPD en los procesos de selección

¿Cuándo se destruyen los datos?

Una vez concluido el proceso de selección, si la persona candidata no es contratada, desaparece la base jurídica para el tratamiento de datos,

por lo que será necesario su consentimiento para un futuro tratamiento (p.ej. bolsa de trabajo), salvo que el empleador pueda demostrar un interés legítimo.

En caso contrario debe destruir el curriculum y proceder a la supresión y bloqueo de los datos personales.

LOPD y los procesos de selección

De Legalis Consultores (Ignacio Puig carles), sobre texto de la guía de la AEPD (Agencia Española de Protección de Datos)

NOTA:   Si te ha gustado el artículo, compártelo en sus Redes Sociales o Suscríbete en la Newsletter en  www.legalisconsultores.es
https://www.legalisconsultores.es

La Ciberseguridad en los Despachos de Abogados. Parte 5

La Ciberseguridad en los Despachos de Abogados. Parte 5.

“Gestión de la Fuga de Información”.

Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4

Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.

1.- Fase Inicial.

Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.

Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.

Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.

Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.

Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.

2.- Fase de Lanzamiento.

Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.

Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.

3.- Fase de Auditoría.

En esta Fase se trata de obtener la máxima información posible sobre el incidente.

Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:

A.- Cantidad de Información que ha podido ser sustraída.

B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.

C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.

D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.

Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.

E.- Determinar el alcance de la información sustraída.

F.- Establecer que información se ha hecho pública.

G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.

En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).

Imagen quienes somos

4.- Fase de Evaluación.

Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.

Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.

Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:

Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.

  • Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
  • Actuación con los afectados, ya sean internos o externos.
  • Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
  • Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
  • Examinar los activos de la organización que hayan podido ser afectados y su alcance.
  • Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.

5.- Fase de Mitigación

Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.

También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.

Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.

También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.

6.- Fase de Seguimiento

Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 2

La seguridad en los Despachos de Abogados. Parte 2

Artículo anterior:  Ciberseguridad en Despachos de Abogados (I)

Amenazas. Origen Interno y Externo

Seguimos con los artículos dedicados a la seguridad en los despachos de abogados. Hoy vamos a tratar el segundo artículo de un total de 8, dedicado a la Fuga de Información.
La protección de la Información, se debe articular en base a tres principios básicos:
1.- CONFIDENCIALIDAD. La Información del Despacho solo será accesible por el personal autorizado.
2.- INTEGRIDAD de la INFORMACIÓN. Es decir, que dicha información sea correcta, y esté libre de modificaciones y errores.
Que no haya sido objeto de alteraciones o modificaciones malintencionadas, ya que supondría un riesgo si estamos basando nuestras decisiones en ellas.
3.- DISPONIBILIDAD. La información estará accesible para las personas o sistemas autorizados, cuando sea necesario.

Fuga de Información en los Despachos de Abogados

También llamamos Fuga de Información a la pérdida de la confidencialidad, de manera que personal del despacho que no esté autorizado, accede a dicha información privilegiada.
Las consecuencias de una Fuga de Información de nuestro despacho van a ser siempre negativas: Por un lado, en lo que se refiere a la Reputación del Despacho, dañará la imagen pública del mismo, generando desconfianza e inseguridad en los clientes y, por otro lado, la publicación de la información puede generar consecuencias a terceras personas, cuyos datos se hayan hecho públicos.

Por otra parte hay un conjunto de normas y leyes, que ponen especial atención al uso y tratamiento de datos de carácter personal:

  • Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal. Más conocida como LOPD.
  • Su Reglamento de desarrollo: Real Decreto 1720/2007, de 21 de diciembre.
  • El recientemente publicado Reglamento Europeo 2016/679 de 27 de abril, de Protección de Datos y que será de obligado cumplimiento a partir del 25 de mayo de 2018. (RGPD).

En esta última norma destaca la Obligación de Seguridad en el tratamiento de los datos y que está recogido en el artículo 32 (apartado 1 y 2):

Artículo 32. (RGPD):

1.-Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Despachos de Abogados. Seguridad en la Información.
Despachos de Abogados. Seguridad en la Información.

Competencias

Por lo tanto en relación a la competencia para conocer este tipo de situaciones, La Agencia Española de Protección de Datos (AEPD), es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre Protección de Datos.

Sus competencias son garantizar y tutelar el Derecho Fundamental a la Protección de Datos de carácter personal de los ciudadanos.

Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el Responsable de Tratamiento y que vienen recogidos en los Considerandos 85 al 87 y en los artículos del Reglamento 33 y 34, donde se establece la obligación por parte del Responsable de Tratamiento de que, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que tenga constancia, de comunicarlo a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (p.ej. Porque tales datos iban cifrados…).
También deberá comunicar al afectado, en caso de que pueda entrañar un grave riesgo para sus derechos y libertades, manteniendo le en todo momento informado sobre las acciones y gestiones que se vayan produciendo. (Artículo 34 del RGPD).

Por lo tanto, este deber de información se producirá a fin de que el afectado pueda cambiar las contraseñas, números secretos de las tarjetas de crédito o cuentas bancarias y correos electrónicos.

En el próximo post trataremos entre otros asuntos EL ORIGEN DE LAS AMENAZAS

De Legalis Consultores, sobre textos de la propia Agencia Española de Protección de Datos (AEPD) sobre la materia y publicados en su página web.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOKwww.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER@LegalisConsult

Gracias y…Te esperamos

Cloud Computing en Despachos de Abogados y el Derecho a la Protección de Datos (II).

Cloud Computing (II).

Despachos de Abogados.

…Por tanto, como decía en mi anterior post (I), “el Consejo General de la Abogacía” y “la Agencia Española de Protección de Datos” (AEPD):

Han decidido elaborar un documento para señalar cuáles son los aspectos fundamentales y esenciales que deben tomarse en consideración por parte de los “Despacho de Abogados”
a la hora de contratar estos servicios de Cloud Computing para su actividad diaria y su relación con los clientes.

Antes de contratarlo se deben de tener en cuenta:

1.- La Responsabilidad del Despacho sobre el tratamiento de los datos, normativa y jurisdicción aplicada.

2.- Seguridad y Confidencialidad de los Datos.

3.- El Contrato de servicio del “Cloud Computing” tiene que firmarse tanto desde el punto de vista técnico como jurídico.

Se tendrá en cuenta lo establecido en la Ley 15/1999 de 13 de diciembre :

Ley Orgánica de Protección de Datos y de su Reglamento que lo desarrolla.

Serán Responsables del Tratamiento aquellos despachos que lo contraten ya que van a decidir sobre su finalidad, contenido y uso del tratamiento de los datos.

El Prestador del Servicio del Cloud Computing será el Encargado del Tratamiento.

El Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

Secreto Profesional y Responsabilidad Ética y Jurídica.

Uno de los principios fundamentales de la protección de datos es el de la seguridad y un deber irrenunciable de la profesión de abogado es el “Secreto Profesional” y la “Responsabilidad Ética y Jurídica” de salvaguardar la información de los clientes y de los que disponga de la otra parte.

Se impone pues a los despachos de abogados una diligencia cualificada a la observancia por el proveedor de los servicios de todas las garantías legales relativas  a los requerimientos de seguridad exigidos en relación a los datos, documentos y actuaciones amparadas por ese Secreto Profesional.

El cifrado de los datos almacenados y las medidas de índole técnico y organizativos, los procedimientos de copias de seguridad, de migración de datos, de acceso a los mismos por personas autorizadas, auditorías, estructura de los ficheros, medidas de seguridad, copias de respaldo y de recuperación de los datos en los ficheros…

Es por todo ello  por lo que debe estar muy bien estipulado  todos estos elementos en el contrato entre el despacho y el proveedor de servicios.

 

Logotipo Legalis Consultores

Para más información  podrán encontrarla en www.aepd.es y en cloudcomputing@redabogacia.org

Si te ha gustado el artículo, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.