El Reclutamiento 2.0 está agilizando la búsqueda de empleo, incrementando las posibilidades de encontrar a los mejores candidatos para nuestras vacantes y propiciando la aparición de nuevas formas de relacionarnos como empresa con los candidatos. No obstante, el reclutamiento en Internet y en portales de empleo online obliga a adoptar nuevas reglas asociadas a las leyes propias de estos entornos, que muchas veces desconocemos.
Así, no sólo debemos estar atentos a cuestiones como que la oferta laboral no induzca a interpretaciones que impliquen discriminación por razón de sexo o edad, que no publicite tareas de trabajo piramidal o que no requiera inversión por parte del trabajador (en otras palabras: que no esté en contra de los principios de la legislación laboral del país a donde esté dirigida la oferta) sino que también deberemos vigilar que cumpla la legislación propia de la tecnología.
Como toda legislación, estas leyes recogen una serie de requerimientos legales, técnicos y organizativos estrechamente relacionados entre sí.
Requerimientos legales
Los requerimientos legales condicionan directamente el alcance de lo que podemos hacer con la información de los candidatos y su tratamiento, obligándonos a tener en cuenta diversas cuestiones antes de publicar una oferta. Por ejemplo:
- ¿Los currículums de los candidatos se recogen para una única empresa o para varias? ¿Es un alta para una oferta concreta o la visibilidad del CV del candidato será mayor?. Además de la configuración técnica, si el responsable final de la base de datos varía, debe ser correctamente identificado ante el candidato y debe restringirse el envío de datos a terceros.
- ¿Únicamente se utilizarán los datos para la selección de personal o también para otras finalidades como remitir comunicaciones comerciales de los servicios de la bolsa de empleo? La finalidad delimita el uso de los datos.
- ¿Hemos informado correctamente al candidato del uso de sus datos y disponemos de un sistema que garantice que contamos con su autorización? ¿Tenemos previsto como dar respuesta a solicitudes de información del tratamiento de sus datos personales?
Requerimientos técnicos
En lo que a requerimientos técnicos se refiere, éstos están vinculados directamente con la información que tratamos y cómo la tratamos. Cabe destacar las siguientes medidas:
- Los trabajadores o terceros que accedan a los datos deben estar claramente identificados en todo momento. La política de contraseñas debe garantizar el acceso únicamente por parte de estos usuarios autorizados, siendo personales, confidenciales y cambiadas periódicamente.
- Los sistemas informáticos, propios o de terceros, que alojan ésta información deben estar inventariados y deben contar con las medidas de protección exigidas para limitar el acceso físico a sus instalaciones al personal autorizado.
- Hay que realizar copias periódicas de seguridad cómo mínimo semanalmente y disponer de un procedimiento de restauración de las mismas. Las incidencias técnicas sobre los datos deben ser gestionadas y documentadas.
Requerimientos organizativos
Por último existen requerimientos organizativos que exigen realizar una serie de acciones, como pueden ser:
- Documentar y formalizar las medidas técnicas aplicadas en un Documento de Seguridad, según exige la legislación.
- Establecer una organización de seguridad que garantice la aplicación y el cumplimiento de todos los requisitos y la legislación. Algunos software de reclutamiento como Talent Clue lo garantizan.
- Formar a nuestros empleados para delimitar su funciones y obligaciones con respecto a la información a la que tienen acceso.
Todo ello delimita las condiciones de servicio, los procedimientos internos de tratamiento de datos e impone una serie de medidas técnicas, jurídicas y organizativas según la legislación vigente.
Pese a las limitaciones que pueda parecer que impone la legislación, el tratamiento no tiene por qué verse restringido, siempre y cuando se tengan en cuenta estas consideraciones. Para ello es fundamental analizar cada situación y contar con el correcto asesoramiento.
Autor: Miguel Ángel Martínez Ayuso - Ingeniero de Telecomunicación. MBA, auditor certificado CISA, CISM, CGEIT y CDPP. Más de 15 años de experiencia en consultoría de seguridad de la información y protección de datos.
