“Necesitamos cubrir diferentes puestos de TIC y Administración (administrativos, etc.) para Barcelona. Los candidatos deben agregarme a Linkedin y, tras aceptarles, les enviaré la dirección de correo electrónico para enviar su CV”. Quien firmaba ésta y otras ofertas de trabajo similares era el perfil “Headhunter – Recursos Humanos” en la popular red social profesional de una conocidísima empresa de electrónica, fabricante de teléfonos móviles, cámaras de fotos y otros productos. Todo un gancho para candidatos a la búsqueda de un ansiado puesto de trabajo, que no tardaron en agregarle a su lista de contactos y enviarle sus curriculums.
¿El problema? Que ni existía tal persona en la empresa de electrónica, ni ésta tenía abiertos esos procesos de selección. Vamos, que tanto el headhunter como los puestos de trabajo que ofrecía eran absolutamente ficticios. Pero cuando la empresa detectó el embrollo el falso headhunter acumulaba centenares de contactos en su falso perfil de la red social y otros tantos CVs –repletos de datos personales- de candidatos.
La empresa inició entonces todo tipo de acciones en cuantos órdenes y jurisdicciones estaban a su alcance sobre violaciones de propiedad intelectual. Contactó también con la red social, que suprimió el perfil del sitio tras tener constancia de la suplantación de identidad. Y, finalmente, la empresa de electrónica se dirigió también a la AEPD para denunciar el tratamiento de datos ilegítimo que había hecho el impostor al acceder a los datos de los CV de los candidatos.
¿Por qué lo hizo? ¿Qué pretendía con ello? El denunciado había creado una empresa para desarrollar un portal de empleo online. En la fase de pruebas, y de cara a analizar la viabilidad del negocio, publicó un falso anuncio de empleo para analizar, “con fines estadísticos”, las visitas que los anuncios podían generar.
Instado por la empresa de electrónica, el falso headhunter escribió uno a uno a todos los candidatos explicándoles la situación y pidiéndoles disculpas. Ninguno emprendió ningún tipo de acción contra él.
La AEPD impone al infractor una multa de 1.000 euros por haber recogido y tratado datos personales sin el consentimiento de los afectados (art. 3.3 de la LOPD), puesto que las personas que remitieron sus CV lo hicieron en la creencia de que se dirigían al departamento de Recursos Humanos de la empresa de electrónica.
A esta infracción, de carácter grave, le correspondería una multa de entre 40.000 y 300.000 euros. Sin embargo, la AEPD tiene en cuenta circunstancias atenuantes de la culpabilidad a la hora de imponer la multa (resolución de la AEPD R/00212/2013).
La AEPD, muy crítica con el sistema de “ventanilla única” del nuevo Reglamento Europeo
|
El Reglamento Europeo de Protección de Datos sigue dando pasos adelante en su tramitación. Una de las grandes novedades que está en juego es el modelo de “ventanilla única”, que implica que cuando una empresa está sujeta a las leyes de varios países (por ejemplo, en el caso de las multinacionales), tendrá como interlocutora única a la autoridad nacional de protección de datos en el país de la Unión Europea del país principal donde tenga su sede o esté establecida la dirección efectiva del negocio.
El director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, se muestra crítico con este aspecto de la normativa. Así lo manifestó durante la celebración de la 5ª Sesión Anual Abierta de la AEPD, que se celebró el pasado 26 de abril en Madrid. Esta jornada es una cita imprescindible cada año en el sector, en la que representantes de la AEPD, encabezados por su director, hacen un balance de las principales resoluciones dictadas por la AEPD o por los tribunales en el último año y se analizan temas de interés. En esta ocasión, las cookies y el cloud computing acapararon buena parte de la jornada, pero fue en el repaso a la situación del texto europeo donde Rodríguez Álvarez mostró su mayor preocupación.
Al director de la AEPD le parece “preocupante” que la Comisión no parezca dispuesta a atender las voces que cuestionan el modelo de “ventanilla única”, que a Rodríguez Álvarez le parece que "va a suponer una indudable pérdida de garantías para los ciudadanos", puesto que "alivia la carga de las empresas pero no mantiene el nivel adecuado de garantías para los ciudadanos", quienes podrían verse obligados a tener que ejercer sus derechos frente a una empresa en otro país. La AEPD ha dejado clara su postura en contra de la “ventanilla única” ante Europa “con toda la intensidad posible”.
El próximo 29 de mayo el nuevo Reglamento Europeo tiene una nueva cita en su tramitación, y es que se someterá a votación en el Consejo Europeo, con el objetivo de alcanzar una posición común para iniciar la negociación del Reglamento a tres bandas entre el Parlamento, el Consejo y la Comisión Europea.
El nuevo Reglamento Europeo se encuentra en un momento crítico de su tramitación, puesto que se juega dar un paso adelante (armonizando la normativa europea a la vez que se defiende el derecho a la protección de datos) o bien darlo hacia atrás, incluso situando la exigencia de su contenido por debajo de la actual Directiva Europea. Rodríguez Álvarez rompió una lanza a favor del derecho a la privacidad y a la protección de datos también como motor económico, asegurando que “la protección de datos no sólo no es un obstáculo a la innovación y el desarrollo, sino que es una condición para generar confianza en los bienes y servicios de la economía digital”.
En el marco de la negociación europea, además del espinoso asunto de la “ventanilla única”, también se encuentran en debate aspectos como el posible carácter de dato personal de los pseudónimos, la regulación del derecho al olvido o el consentimiento explícito. |
|
No hay comentarios:
Publicar un comentario