Protección de datos personales: ¿Cómo debe de adecuarse a la ley el área de recursos humanos?

8564
José Quiroga
Director General
Autoridad Nacional de Protección de Datos Personales
Oscar Montezuma
Socio
Estudio Montezuma&Porto
Alexis Gargurevich
Gerente General
Sixth Gale

Comencemos señalando que el objetivo de la Ley de Protección de Datos Personales y su reglamento, es establecer ciertos lineamientos para asegurar que el flujo de información privada (datos personales) no perjudique a los ciudadanos.

«Lo que la ley y el reglamento buscan es, simplemente, proteger al ciudadano de los malos usos que se puedan dar de su información privada. Información que está en manos de muchas entidades públicas y privadas, por lo que es importante velar que no sea utilizada contra el propio ciudadano o que su uso no vulnere sus derechos», afirma José Quiroga, Director General de la Autoridad Nacional de Protección de Datos Personales.

Es  una ley que está vigente. Por lo tanto, las empresas están obligadas a respetar los principios que ella establece en lo que se refiere al tratamiento de los datos personales y a inscribir los bancos de datos que posean.

«Por ejemplo, entre las principales obligaciones de las empresas está obtener el consentimiento previo de la persona para el tratamiento de sus datos personales», expresa Oscar Montezuma, socio de la estudio Montezuma&Porto.

Otra obligación fundamental de la empresa es la de tramitar la inscripción de los bancos de datos que tiene ante el Registro Nacional de Protección de Datos Personales. Pero, hay más.

«A partir del 8 de mayo de este año, las empresas además están obligadas a implementar medidas de seguridad en los bancos de datos. Con ello, la totalidad de la ley está vigente. La autoridad ya está realizando supervisiones y sancionando las infracciones», afirma Quiroga.

Datos personales

Pero, ¿qué información comprenden los datos personales? Los datos personales están conformados por toda información que identifica a una persona o que la hace identificable. Cuando la persona está identificada, abarca además toda información acerca de ella.

Cuando una persona concede esa información a una empresa para una determinada finalidad, la norma establece que la empresa solo puede utilizarla para ese propósito específico.

«Si bien, la información personal puede ser concedida, la persona nunca se desliga de sus datos personales, siempre seguirá siendo titular de ella», destaca José Quiroga.

Por lo tanto, los que poseen bases de datos personales tienen que reconocer que cada individuo registrado en dicha base es titular de su información y que tiene derecho a decidir sobre ella.

Datos sensibles

La ley hace una distinción importante respecto de los datos personales, y que tiene que ver con el riesgo de mayor daño o perjuicio. El marco legal divide los datos entre generales y sensibles. Entre los primeros podemos señalar, por ejemplo, dirección domiciliaria, email, etcétera.

Mientras que los datos sensible, explica Alexis Gargurevich, Gerente General de Sixth Gale, pertenecen a la esfera más íntima de la persona, como los datos relacionados a su conducta sexual, salud, orientación religiosa, política, ingresos económicos, entre otros, varios de los cuales pueden ser utilizados para discriminar al individuo. Los datos de identificación plena, como son los biométricos, son también considerados sensibles.

«En estos casos, la autorización para su tratamiento tiene que ser necesariamente por escrito. Implica también que las medidas de seguridad de los bancos de datos que contienen este tipo de información sean más elevadas», aclara Oscar Montezuma.

Recursos humanos

Ahora, considerando todos esos elementos, en lo que concierne específicamente a las áreas de recursos humanos, existen varios aspectos a tener en cuenta.

En primer lugar, como se ha señalado, los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular. «El consentimiento debe ser previo, informado, expreso e inequívoco», resalta la ley.

Sin embargo, para el caso de los trabajadores de una empresa, el principio de consentimiento de uso de los datos personales es reemplazado por el contexto de la relación contractual. Es decir, explica Oscar Montezuma, una empresa no necesita el consentimiento de su trabajador para realizar los tratamientos de su información en la ejecución de la relación contractual. Esta es una de las excepciones al principio de consentimiento.

José Quiroga añade por su parte que, en materia de tratamiento de datos personales, hay que tener en cuenta además el concepto de proporcionalidad, es decir no contar con más información que la necesaria. Entonces, la planilla debe contener únicamente información que sea necesaria e indispensable para el desarrollo de la relación laboral. No debe tener información que no sea necesaria para la ejecución de la relación laboral que existe entre la persona y la empresa.

Al ser la planilla un banco de datos personales, las obligaciones que tiene la empresa son esencialmente los mismos que se aplican para cualquier base de datos: el registro y las medidas de seguridad.

«La base de datos del personal tiene que inscribirse en la autoridad, pero sin trasladar el contenido. Solo se tiene que llenar un formato en que se describe el contenido o los campos del banco de datos. Luego se procede a inscribirlo», precisa Alexis Gargurevich.

Respecto de las medidas de seguridad, la planilla tiene que gozar de medidas de protección, porque está conformado por información que ha sido proporcionado por los colaboradores para entablar una relación con la empresa, no para otro uso (como, por ejemplo, transmitirla a otras entidades).

Reclutamiento y selección

En los procesos de reclutamiento y selección también las áreas de recursos humanos manejan datos personales como, por ejemplo, las que se consignan en las hojas de vida de los postulantes.

Acá tampoco se precisa del consentimiento de los postulantes para el tratamiento de sus datos. «Es evidente que si un postulante entrega sus datos a una empresa en la etapa de reclutamiento, esta tiene derecho a llamarlo y convocarlo para una entrevista, pues para eso han sido proporcionados», anota José Quiroga.

En la etapa de selección, Alexis Gargurevich refiere que los datos que se comparte al comenzar el proceso no necesariamente contienen información sensible (salud de la persona, remuneraciones, etcétera), por lo que no requiere de un consentimiento escrito.

En las entrevistas, en cambio, hay que tener en cuenta algunas consideraciones, como el principio de proporcionalidad. «Hay empresas que no cuentan con una guía para que el entrevistador sepa qué preguntar y qué no preguntar. Por ley, solamente se pueden solicitar datos que sean necesarios e imprescindibles», refiere Alexis Gargurevich.

Conforme se avanza en el proceso de selección se empiezan a establecer filtros o pruebas, como, por ejemplo, los exámenes psicotécnicos. Acá, Alexis Gargurevich advierte que sí pueden surgir datos sensibles. «Son pocos los que pasan por estos filtros. No todos pasan por el examen médico pre ocupacional, solo el elegido. En cualquier caso, tiene que haber un consentimiento escrito», sugiere Gargurevich.

Si los exámenes médicos y psicotécnicos son tercerizados, es importante que en el contrato que se suscribe con un tercero se delimiten las responsabilidades.

Cuando se terceriza la planilla, advierte Oscar Montezuma,  también se está transfiriendo información personal sensible del trabajador, pues la ley considera así a los ingresos de las personas. «Este es, por ejemplo, un tema discutible. El contrato podría no ser suficiente para la excepción,  por lo que se tendría que tener consentimiento escrito del trabajador para transferir su información para que un tercero lo administre», plantea Oscar Montezuma.

Es posible también que en los programas de fidelización que ejecuta el área de recursos humanos se requiera compartir información con terceros. «Todas esas transferencias de información tienen que estar resguardadas. Se tiene que detallar en el contrato que la información transferida a un tercero solo puede ser utilizado para el propósito establecido», propone Oscar Montezuma.

Hay que tener cuidado cuando la empresa –una vez terminado el proceso de selección– decide acumular información de los postulantes que no han sido seleccionados.

Si la compañía quiere conservar esa información, explica José Quiroga, lo único que tiene que hacer es, al momento de solicitarle la hoja de vida al postulante, informarle que en caso de no ser seleccionado su información será guardada para futuros procesos. «De lo que se trata es de darle la posibilidad a la persona para que manifieste su acuerdo o desacuerdo con lo que se le propone», agrega Quiroga.

En este caso, el banco de datos así conformado, también tiene que ser inscrito y protegido.

Seguridad

Los lineamientos para protección de datos se consignan en la Directiva de Seguridad de la Información, que busca facilitar  a los responsables el cumplimiento de la ley. «Acá lo importante es tomar medidas necesarias para evitar accesos no autorizados, pérdidas, transferencias no consentidas o destrucción de la información», señala José Quiroga.

Las medidas adecuadas para proteger la información dependerán del tamaño y tipo de empresa y de las características de la información (si es física o electrónica, si es información sensible o no, por ejemplo).

Si la empresa es pequeña y el archivo es físico, probablemente sea suficiente con colocar un candado en la puerta del ambiente o el armario donde está la información. Si la información es digital, va a ser imprescindible limitar el acceso a la computadora que la contiene, estableciendo, por ejemplo, una clave.

«Una empresa que maneja un volumen pequeño de datos y tiene procesos simples, puede hacer un auto diagnóstico y determinar dónde están esas bases de datos y luego proceder a registrarlos», refiere Alexis Gargurevich.

Las medidas para garantizar la seguridad de la información deben adaptarse al tamaño y complejidad de la empresa. Queda claro, entonces, que no es lo mismo para una pequeña empresa que para una gran empresa.

En realidad, las empresas más grandes ya tienen una cultura de resguardo de información, y la protección de datos personales es una parte de ella. Entonces, tampoco es un tema nuevo para estas empresas.

Recomendaciones

La recomendación más obvia para adecuarse al marco legal es, en primer lugar, conocer la ley. José Quiroga advierte que hay que tener cuidado con la información distorsionada que está circulando. Por eso recomienda leer directamente la ley o escuchar solo a personas que ofrezcan garantías de que están transmitiendo lo que realmente dice la ley.

Por su parte, Oscar Montezuma considera que, para cumplir cabalmente con lo que plantea la ley, la empresa tiene que comprender cómo fluyen los datos personales en su interior: cómo ingresa, para qué se utiliza, con quiénes se comparte. «Todo eso tiene que estar mapeado para identificar cuáles son los bancos de datos y cumplir con todas la regulaciones de la norma. », añade Montezuma.

Otro tema, complementa Alexis Gargurevich, es entender toda la plataforma tecnológica que soporta el flujo de información, qué sistemas están involucrados y cómo es que se intercambia esta información. Eso es importante porque muchas de las medidas de seguridad se van a implementar precisamente en esa plataforma tecnológica.

¿Fácil de cumplir?

Según José Quiroga, las empresas que realizan actividades legales y legítimas no deberían tener mayor problema en cumplir la ley, porque es, en realidad, sencillo de hacerlo. Pero, Quiroga advierte que algunos mensajes equívocos están ocasionando cierta confusión.

«Se ha generado mucho temor por desconocimiento, sobretodo porque algunos están refiriéndose a obligaciones complicadas que en realidad no existen. Puedo asegurar que la ley es muy fácil de cumplir», enfatiza Quiroga.

Señala, por ejemplo, que muchas entidades públicas y privadas que acuden a la Autoridad Nacional de Protección de Datos Personales se retiran sorprendidas de la simplicidad de las formas que hay que cuidar para acatar la ley. «Pensaban que era muy difícil y costoso. Eso no es cierto», reitera José Quiroga.

Supervisiones y sanciones

Para asegurar que efectivamente se está cumpliendo con la norma, la autoridad ya está realizando, desde setiembre del año pasado, supervisiones en Lima y en provincias. Estas supervisiones dan lugar a un informe, en la que se determina si existen o no elementos constitutivos de una infracción. Luego, este informe pasa al área de Sanciones, en la que se abre un procedimiento administrativo sancionador, con todas las garantías de defensa y rectificaciones. Al final se resuelve si existe o no  motivo para imponer una multa.

Las multas, para infracciones leves, están en un rango de 0,5 UIT a 5 UIT. En el caso de las infracciones graves están entre más de 5 UIT hasta 50 UIT. Y para las transgresiones muy graves las multas van desde más de 50 UIT hasta 100 UIT.

A decir de José Quiroga, no existe ningún empeño en imponer multas. De hecho, desde hace tiempo la autoridad tiene capacidad para imponer sanciones, pero eso no es lo que han venido sucediendo.

«El norte de la autoridad no es sancionar y poner multas, sino difundir y facilitar el cumplimiento de la ley. El objetivo es construir una cultura de protección de datos personales a favor del ciudadano», finaliza José Quiroga.

Comentarios