«Problemas LOPD» (III): Plásticos Cremallera

(Primero, la solución del anterior)

Hace ya demasiado tiempo, recordarán que planteamos el problema de Piruletas de Motilla del Palancar. Resumiendo, Piruletas es una empresa que utiliza los servicios de la empresa Bolsa de Trabajo, (BdT) cuya actividad es un portal web de selección de personal. Cuando un candidato ve una oferta de Piruletas, se apunta a ella y Piruletas es informada de ello. El problema es que BdT no permite que Piruletas informe al candidato de sus derechos respecto de dicha cesión cuando se le informa de que se ha apuntado a la oferta, por lo que el candidato sabe que sus datos son cedidos pero no cómo y frente a quién exactamente ejercer sus derechos.

A lo largo de los comentarios que hemos mantenido Javier Cao, Edgard (inspirador del caso) y un servidor, han quedado evidenciadas algunas lagunas en el procedimiento de actuación de BdT. Al parecer, aunque el candidato conoce el nombre de la empresa ofertante, BdT no permite que tras la inscripción, Piruletas le conteste con los datos de contacto para el ejercicio de derechos ARCO (asumo que Piruletas no conoce los datos de contacto «externos» del candidato, ya que esto facilitaría mucho las cosas); esto no tiene como finalidad (creo) que BdT siga actuando de intermediaria durante todo el proceso. Continuando las suposiciones, se me ocurre que pueden existir empresas que se quieren mantener anónimas hasta el final del proceso, en el cual ellas mismas se ponen en contacto con los «finalistas», o que como sugería Javier, el negocio de BdT se centre en la gestión, filtrado y envío inicial del lote de candidatos, tras lo cual la empresa (en este caso Piruletas), puede ponerse en contacto con ellos.

Dejando ya el campo de las suposiciones, y pasando a la solución, existe por supuesto una solución inmediata que es el cese de la colaboración con la empresa, aunque quiero considerar esa opción como el último recurso a efectos del presente caso. Por supuesto, en el mundo real ™, cuando se valoran ofertas de diferentes proveedores, uno de los criterios para escoger no es otro que el cumplimiento legal. Otra solución aportada por Javier es la de que BdT anonimice los datos de los candidatos, ya que en un proceso de selección, y excepto cuando la presencia personal tiene un papel importante, los datos identificativos carecen de sentido. Esta solución, aunque es buena, obligaria a BdT a cambiar su forma de trabajar, algo a lo que no creemos que BdT sea especialmente receptiva.

En nuestra opinión el problema reside en su mayoría en la actuación de BdT, que realiza una cesión cuyo destinatario no está definido. Por parte de Piruletas, es cierto que accede a datos identificativos de personas a quienes no puede informar de sus derechos durante el tiempo que dura el proceso de selección (entiendo que no hay manera de contactar con ellos), pero no vemos mayor problema. Respecto a aquellos que rechaza, no está obligado a comunicarles sus derechos ya que no va a tratar sus datos (de forma similar a un curriculum que se destruye nada más ser recibido. Aún así, si considerasemos que existe tratamiento, éste puede verse como extremadamente marginal para ser significativo). Respecto a los que acepta para una fase posterior del proceso de selección, es obvio que tarde o temprano tendrá que conocer sus datos de contacto, que es cuando deberá informarles de sus derechos. Quizá hilando muy fino podríamos ver una no conformidad «temporal», pero en cualquier caso, creo que no supone un gran problema.

¿Qué os parece?

* * *

Andrés Cremallera fundó Plásticos Cremallera la primavera de 1987. Gracias a varios contratos con la administración pública y a una impecable gestión, pasó de tres empleados a trescientos cincuenta diez años después, momento en el que el crecimiento de la compañía se estabilizó. A partir de 1991, y por requerimientos legales y del negocio, se decidió contratar una empresa de atención médica (Atmedsa) que prestase servicios de asistencia médica en las oficinas de la planta. Dicha atención médica se facilita actualmente por parte de un médico «residente», en una sala anexa al despacho de Antonio Botón, Responsable del Departamento de Prevención de Riesgos Laborales. Aunque en un principio para el almacenamiento de información había sólo un único archivador, en la actualidad dispone de cinco archivadores con llave (copias de las cuales están en posesión de Antonio Botón), y un ordenador personal propiedad de Cremallera, ubicado lógicamente en el segmento de usuarios, y cuya copia de seguridad diaria (incremental) y semanal (total) están incluidas en las políticas de backup de la compañía. El médico utiliza dicho equipo para almacenar la información habitual (minusvalías, alergias, analíticas) en ficheros ofimáticos de rápido acceso, y para conectar, por medio de la salida a Internet de Plásticos Cremallera, a la aplicación de Atmedsa para la gestión de historiales clínicos.

Ayer, primer día de la primera auditoría del reglamento a la que la empresa se somete, Antonio Botón se dió cuenta de cómo la cara del auditor cambiaba a medida que le describía el funcionamiento del servicio médico, así que por miedo a haber metido «la pata hasta el fondo», llamó a un amigo suyo que se dedica a «eso» de la LOPD. ¿Qué le dijo éste?

Actualización 19/12, 12h: Dani, de Eddasec, plantea una solución en esta entrada de su blog.

Comments

  1. Algunas matizaciones relativas al caso planteado por mi parte:
    – Contractualmente hay un compromiso por el cual Piruletas no puede «quedarse» con los datos que BdT le cede. BdT se ampara mucho en ese concepto por lo que no le encaja lo de informar. Desde el punto de vista de Piruletas, temporalmente es obvio que nos quedamos y tratamos esos datos, el candidato debe ser informado COMO RESPONSABLES de esos datos que somos.
    – La web de BdT envía un correo automático a los candidatos informándole de su inscripción a la oferta X. La solución creemos más óptima es aprovechar ese correo, por cierto personalizable por el cliente (Piruletas), para informarle debidamente. Hay alternativas pero bajo nuestro criterio son demasiado costosas y poco eficientes. Por ejemplo, Piruletas informará por sus propios medios (email, carta, etc.) a todos los candidatos que se inscriben a la oferta. Dado que en ocasiones se inscriben más de 100 candidatos no se considera viable. Además el traspaso de datos entre BdT y Piruletas es manual (visualización por pantalla) por lo que no existe un fichero o similar para ser descargado. Informar a los que son entrevistados es viable, pero y el resto ? que curiosamente son la gran mayoría…….
    – En cuanto a la no necesidad de informar a los candidatos no lo tengo tan claro. Partiendo de la base que la simple impresión de la candidatura y su archivo en la carpeta del proceso de selección de turno puede considerarse un tratamiento (temporal) debe ser informado a todos los efectos. Entrar al detalle de si el candidato x o y es rechazado de forma inmediata o no lo veo demasiado rebuscado. Piruletas es partidaria de todos o ninguno. Además hay que considerar que durante todo el proceso de selección esos datos (rechazados) siguen siendo accesibles por parte de Piruletas a través de la web.
    – Anonimizar los datos no lo vemos viable puesto que Piruletas contacta directamente con los candidatos que le interesan, es decir, el proceso de selección como tal lo hace Piruletas. BdT tiene la función pura y dura de suministrar candidatos que se inscriben a la oferta.
    – En el caso de que las empresas quieran mantenerse anónimas lo habitual es que el proceso de selección sea realizado por una empresa externa. En cualquier caso, este «problema» también se le presentaría a la empresa de selección que actúa en nombre de la empresa final. No concibo una selección de personal en la que no se sepa nada de nada acerca del ofertante (ya sea final o intermediario). En resumen siempre habrá alguien perfectamente identificado como receptor de los datos de BdT.

    Para finalizar únicamente indicar que el problema de fondo creo que es más simple de lo que parece y se limita simplemente a la negativa de BdT a facilitar datos de contacto de Piruletas (tiempo atrás como «modelo de negocio» en los orígenes de la www podría tener cierto sentido). Personalmente me resulta una postura bastante alejada de la realidad puesto que los datos de contacto de cualquier entidad son fácilmente localizables en la red, por tanto, es pretender poner puertas al campo… Además, estoy convencido de que si a través de BdT veo una oferta de la empresa X es bastante probable que pueda optar a dicho proceso poniéndome en contacto directamente con X y prescindir por completo de BdT. Además, como sabéis, los datos de contacto para el ejercicio de derechos acostumbran a ser bastante generalistas y normalmente de dominio público. En fin, me temo que el problema de verdad lo tiene BdT…….

    En cuanto al nuevo caso ya responderá Dani.

  2. Edgard, no tengo ninguna duda respecto a quien tiene el problema de verdad. De hecho, ante una potencial inspección de la Agencia, y contando con que les diese por hilar tan fino, creo que el intercambio de correos con BdT podría servir como argumento o al menos como atenuante de una posible sanción a Piruletas.

    Respecto al tratamiento temporal, entiendo que efectivamente existe un tratamiento de aquellos candidatos no seleccionados, pero lo equiparo a un curriculum que se recibe y a los pocos minutos es eliminado con una destructora de papel. Obviamente, hay un tratamiento temporal de esos datos (aunque sólo sea para su aceptación o rechazo), pero creo que podemos de alguna forma obviarlo por su temporalidad. No cabe informar al usuario de que sus datos están siendo tratados cuando dicho tratamiento dura unos minutos y luego cesa, ya que además cualquier ejercicio posterior de derechos carece de sentido (y es un potencial foco de riesgo).

    En cualquier caso, entiendo que los datos de aquellos candidatos que son descartados directamente en el portal web no pasan a los sistemas de Piruletas, por lo que si lo consideramos de todas formas un tratamiento de datos, se crea una situación extraña en la que a) Piruletas es responsable de un tratamiento que contiene datos cedidos por BdT, y b) BdT presta servicios de alojamiento y gestión de datos de candidatos en calidad de Encargado del Tratamiento, pero con la que no hay contrato suscrito. En definitiva, algo un poco raro.

    Pienso que la solución simple y más funcional pasa por informar únicamente a aquellos usuarios con los que se contacta y cuyos datos pasan a los sistemas de Piruletas, e ignorar el resto.

  3. Buenas.

    Está muy bien el caso que planteais, me habeis hecho feliz ;-)

    Para no llenaros los comentarios con una disertación muy larga, he colgado mi respuesta en el blog que mantengo junto con Edgard.

    http://www.eddasec.com

    Espero no os importe.

    Saludos.

  4. Me parece perfecto, faltaba más :^)

    Me reservo de momento el comentario sobre la solución de este caso, al menos hasta la semana que viene.

  5. Antonio Pérez Navas says

    Básicamente y con toda probabilidad las recomendaciones que le daría al Sr. Botón serían las siguientes:

    1. Que se desprenda de las llaves que abren los archivadores en los que se encuentran almacenados los historiales clínicos y que se las entregue personalmente al médico, ya que el acceso y custodia de dicha información sólo puede ser llevado a cabo por personal sanitario, y nunca por parte del empresario o de otras personas de la plantilla, salvo que se haya obtenido el consentimiento expreso del empleado para que sus informes clínicos puedan ser accedidos por personal autorizado de la empresa.

    2. Que sea la empresa externa que presta el servicio de vigilancia de la salud (Atmedsa) la encargada de proporcionarle al medico residente el equipamiento informático necesario para el tratamiento de dichos datos (ordenadores, equipamiento ofimático, programas informáticos, soportes de almacenamiento, etc…), así como las directrices necesarias para el tratamiento de dicha información (copias de seguridad y restauración, control de acceso, registro de incidencias, gestión de los soportes y documentos, desecho de soportes, cifrado de soportes, copia de seguridad fuera de los locales de tratamiento, transmisión cifrada de la información a través de Internet, etc…), ya que ésta en atribución de sus responsabilidades deberá velar por el correcto cumplimiento de la normativa vigente sobre protección de datos.

    3. Le aconsejaría al Sr. Botón que realizase una segmentación de la red corporativa, a fin de evitar que la trasmisión de información a través de Internet desde el ordenador local del médico hasta la aplicación informática de Atmedsa fuera accedida o manipulada por otros empleados de la compañía.

    4. Atmedsa, como responsable del tratamiento, debería informar a los trabajadores sobre el tratamiento al que se fueran a someter dichos datos, de la finalidad de éstos, de los destinatarios de dicha información, en caso de que fuese necesario realizar una cesión de dichos datos a terceras empresas, de la identidad y dirección de su responsable, así como de la posibilidad de que éstos pudieran ejercitar los derechos ARCO, obteniendo para ello el consentimiento del afectado a través de su firma manuscrita.

    5. Atmedsa, como empresa que presta el servicio de prevención, sería la responsable del tratamiento de todos aquellos datos que el trabajador le proporcionase al médico en el desarrollo de sus funciones, y como consecuencia de ello, Plásticos Cremallera sólo debiera ser informada de la aptitud del trabajador para el desempeño de su puesto de trabajo, es decir, sobre su condición de “Apto@@@ o “No Apto@@@.

    Un saludo.

Trackbacks

  1. […] podíamos acabar el año sin dar respuesta al tercer problema LOPD, aunque lo cierto es que todos los participantes habéis acertado de pleno y no creo que pueda […]