protección de datos
25 Mar. 2020

RRHH y protección de datos: presente y futuro

 

Hoy en día la protección de datos es uno de los puntos más importantes del departamento de Recursos Humanos de una empresa, y es necesario tratar toda la documentación con rigurosidad y profesionalidad.

Unos años después del inicio del siglo XXI apareció una noticia en la prensa que escandalizó a la ciudadanía. Se habían encontrado en un contenedor los currículums de los candidatos a una conocida empresa de distribución.

Los documentos contenían notas del entrevistador con frases como: “es extranjero, gordo, morenete, parece un indio, gitana y fea, gordita, con granos, mayor, macarra, pinta de drogadicta”. El caso tuvo una gran repercusión, no solo por la gravedad de los comentarios, sino también por la falta de control y precaución a la hora de gestionar y proteger los datos.

Legislación sobre protección de datos

Durante el avance del siglo la tecnología y la propia gestión de los recursos humanos fueron evolucionando en paralelo. Poco a poco, se unificaron para crear herramientas y procedimientos más seguros en cuanto al tratamiento de datos. Además, se crearon normas y reglamentos con el fin de regular y proteger los derechos de los candidatos. Por ejemplo, la aparición del Reglamento general de protección de datos (RGPD), que tiene dos objetivos fundamentales:

  • Proteger los datos de las personas con el fin de que no sirvan como materia prima para ser publicados en ningún medio sin conocimiento ni consentimiento de sus dueños. 
  • Evitar daños más graves e incómodos para los afectados como la comercialización con ellos a través de grandes bases de datos para las empresas de marketing de cualquier tipo de producto, evitando llamadas molestas vendiendo desde telefonía, seguros o cualquier otro producto de gran consumo personalizado, pues los datos hoy en día son el nuevo petróleo.

En la actualidad, y siguiendo los objetivos de seguridad que plantea el propio RGPD, tenemos tres niveles de protección de datos en los que las empresas, y en concreto los departamentos de recursos humanos, tienen que estar actualizados para cumplir con sus requisitos.

New Call-to-action

Niveles de protección de los datos

El primero es el nivel básico de seguridad de los ficheros. Estos hacen referencia a los ficheros que solo contengan datos identificativos. Por ejemplo, son datos que entregan los propios empleados en la entrega de un currículum como candidato o al inicio de la relación laboral, tales como nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo o nacionalidad.

Normalmente, la entrega de estos datos viene autorizada de una manera explícita en el momento que un posible candidato entrega el CV a una empresa, si bien empresas de sectores como consultoría o ETT requieren de un tratamiento específico, pues el candidato tiene que conceder un consentimiento expreso de la entrega de los datos a una tercera empresa, el cliente final.

En cuanto al segundo nivel, este corresponde a los datos de nivel medio de seguridad, como datos de personalidad, hábitos de carácter, evaluación del desempeño, datos de seguridad social, salarios, pruebas psicotécnicas o currículos. En este nivel el problema se agrava, ya que, durante el proceso de selección, tanto las pruebas psicotécnicas como el CV han de ser guardados con mayor sigilo en lugares donde solo tengan acceso las personas adecuadas al mismo. Para ello existen softwares específicos, la mayoría ubicados en la nube, que garantizan la auditorias de protección de datos que solicita el RGPD.

El uso actual de SaaS (software as a service) auditados permite que la protección de la sensibilidad de esos datos esté a buen recaudo. Por otro lado, para los datos económicos de salarios y aquellos que tienen que ser compartidos con organismos oficiales como la Seguridad Social o la AEAT, se usan sistemas encriptados que garantizan su no difusión a destinos no deseados. Los empleados que tratan estos datos tienen que someterse a cursos de formación específica que garanticen la confidencialidad, ya que su incumplimiento puede suponer sanciones graves a la empresa e incumplimientos del principio de la buena fe contractual de los ocupantes del departamento de recursos humanos encargados de realizar las nóminas de los empleados.

Finalmente, el tercero corresponde al nivel alto de seguridad, que es el que se aplica a los ficheros que contienen datos especialmente protegidos como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y sexualidad. Aquí es donde nos encontramos un problema importante tanto de presente como de futuro, que nos recuerda al caso que nos introdujo a tratar este asunto.

New Call-to-action

Protección de datos y tecnología

Actualmente, existe una fuerte tendencia a usar herramientas como IA y robótica en entrevistas de selección. En este contexto, ¿cómo podemos aplicar la protección de datos si hay algunos tan evidentes, imposibles de ocultar como el reconocimiento facial si la entrevista la estamos haciendo a través de una pantalla por una IA que está analizando todos nuestros rasgos faciales, que está clasificando al candidato como caucásico, indo europeo, negro o latino? ¿Dónde y cómo quedan los datos de religión si la persona entrevistada usa Hiyab, exhibe una cruz cristiana o se declara ateo? ¿Y si la empresa exige unos hábitos de salud específicos y el candidato se declara abiertamente vegano u omnívoro?

Este presente y futuro incierto del uso de datos a través de IA nos lleva a un doble dilema ético: qué uso se pueden hacer de los datos y con qué sensibilidad deben ser tratados y guardados en esas entrevistas a través de IA, robótica y chatbots. El problema en estos casos es que los datos quedan grabados y analizados, pudiendo dar pie a una pérdida de control por parte de los sistemas, sin olvidar los posibles sesgos aparejados en la programación según los requisitos de la empresa.

Con esta información, es evidente que la sociedad y sus necesidades suelen ir por delante de los legisladores, por lo que habría que hacer una revisión del RGPD ante el uso de IA y robótica y la protección de los trabajadores para aquellos casos del tercer nivel en los que los datos visibles, inevitables a través de currículos ciegos, tengan una regulación especial con garantía de poder ser revisados a solicitud de los candidatos o empleados para su borrado o tratamiento especial.

New Call-to-action