Desafíos para la protección de datos en materia de Compliance: Parte I – Selección y reclutamiento de personas

Por Rebeca Zamora Picciani y Renzo Gandolfi Díaz*

Desde que se aprobó el Reglamento Europeo para la Protección de Datos y en el ámbito nacional se presentaron los Proyectos de Ley relativos a la Ciberseguridad y Delitos Informáticos, existe especial preocupación por parte de los Oficiales de Cumplimiento y Seguridad de la Información en orden a robustecer sus programas y políticas de cara a los cambios que vienen. Por una parte, las relaciones comerciales con países de Europa suponen adecuar las políticas de tratamiento de datos e información a las exigencias de esa regulación; y por la otra, los proyectos de leyes nacionales suponen preparar los programas de cumplimiento y prevención de responsabilidad penal corporativa, atendido que los delitos informáticos importan tipos penales que se incorporarán al catálogo de la Ley 20.393, pudiendo hacer surgir la Responsabilidad Penal de la Persona Jurídica. 

Ahora bien, nuestro país cuenta con la Ley 19.628 sobre Protección de la Vida Privada que, pese a adolecer de una serie de omisiones y deficiencias, permite junto a otros cuerpos normativos inferir algunas líneas en la materia. 

Esta columna pretende abordar someramente algunas dudas y desafíos en relación con el proceso de reclutamiento y selección de personal que normalmente involucran las áreas de recursos humanos, en algunos casos con apoyo de las áreas de Cumplimiento.

1) Contratación mediante empresas de reclutamiento: Es común que las personas entreguen sus antecedentes a empresas reclutadoras para gestionar entrevistas y postulaciones a trabajos. Así, muchas empresas logran formar verdaderas bases de datos, ricas en una serie de antecedentes personales de los postulantes, sin que en muchos casos se conozca el uso final de esa información. Las empresas reclutadoras debieran comenzar ya a implementar controles para garantizar la confidencialidad de la información y que esta será utilizada solo para el fin que ha sido solicitada, junto con la posibilidad de actualizar rectificar o eliminar esos antecedentes (todo esto dentro de los derechos ARCO).

En muchos casos, las mismas empresas reclutadoras ofrecen corroborar los datos de postulación y realizar perfiles. Para ello, deberían acceder únicamente a fuentes de información de libre acceso público, evitando recolectar datos sensibles. Los datos sensibles son aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual (art. 2 letra g, Ley 19.628). Lo anterior, aun cuando emanen de fuentes de acceso público, por expresa prohibición de la Ley (art. 10, Ley 19.628), salvo consentimiento expreso del titular o que sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. 

Los reclutadores deberán tener especial cuidado con el consentimiento de los postulantes, dado que dirigirán sus antecedentes a un número de empresas que generalmente es desconocido por el postulante, debiendo resguardar el trazado y confidencialidad de dicha información durante todo el proceso. Así, cuando se utiliza esta modalidad para reclutar, la empresa que requiere este servicio debiera verificar el origen de los antecedentes de los postulantes que le presentan.

2) Contratación directa por las áreas de personas: Algunas compañías optan por gestionar sus propios procesos de reclutamiento. En estos casos, los postulantes a un cargo entregan voluntariamente sus antecedentes para ser evaluados y acceder a entrevistas o exámenes de salud (si el cargo requiere una salud compatible), psicológicos (bastante frecuentes, sin que se conozcan -y reconozcan- verdaderamente sus alcances o fundamentos) o de idoneidad (en directa relación con la comprobación de las habilidades requeridas para el cargo).

En armonía con los programas de prevención de delito y cumplimiento (o, ampliamente, Modelos de Integridad Corporativa) que buscan gestionar y evidenciar la debida supervisión y dirección para prevenir la comisión de conductas ilícitas en favor de las compañías, los Oficiales de Cumplimiento tienen algo que decir en la materia. En efecto, los modelos de cumplimiento han ido evolucionando para integrar el concepto de Debida Diligencia en todos los procesos con que se relacionan, dado que el deber de dirección y supervisión cuyo cumplimiento exige la Ley 20.393 para eximir de responsabilidad penal a la persona jurídica implica, en último término, una obligación de medios. Así, es habitual que, especialmente cuando se trata de cargos de confianza o que manejarán recursos o información sensible, se revisen especialmente los antecedentes del postulante, teniendo presente las características de esos cargos. Es un secreto a voces que esas revisiones pueden incluir foros, redes sociales y cualquier antecedente que el ciberespacio pueda proporcionar. Pues bien, esas revisiones solo deberían considerar fuentes de libre acceso público, y aun así, evitar la búsqueda de datos sensibles, menos su tratamiento y almacenamiento. 

Asimismo, muchas empresas han identificado sus riesgos en materia de lavados de activos, financiamiento al terrorismo o cohecho, entre otros delitos, incorporando medidas de debida diligencia que buscan prevenir o mitigar factores de riesgo de comisión en el ámbito corporativo. Así, es habitual que, a modo de ejemplo, las personas sean consultadas en las Listas Públicas de la ONU que incluyen a todas las personas y entidades sujetas a medidas impuestas por el Consejo de Seguridad o que se chequeen sus antecedentes para revisar si han estado vinculadas alguna noticia de interés, o si están en la lista de Personas Expuestas Políticamente (PEP´s) con el objeto de identificar riesgos en el caso particular. 

¿Esa revisión de antecedentes a partir de la información contenida vulnera las normas de privacidad o protección de datos?

En principio no, en la medida de que se trate de datos imprescindibles e idóneos para la finalidad para la contratación, esto es, para el proceso de selección y evaluación de las aptitudes profesionales de los postulantes en armonía con el Modelo de Prevención de Delitos implementado por la empresa. Así, nada de arbitrario o ilegal podría tener esa consulta. En otras palabras, el dato recabado deberá estar justificado y ser idóneo para el proceso de selección, en función del cargo concreto en cada caso y además expresamente consentido por el postulante mediante la acción positiva de entregar sus datos (es una entrega dirigida y específica, a diferencia de lo que ocurre con una empresa reclutadora que intermedia y reenvía los antecedentes).

Entonces, ¿Cuál es el tratamiento adecuado de estos datos en un proceso de debida diligencia en reclutamiento?

No se deben recabar datos que vayan más allá de la finalidad de la contratación concreta como los antecedentes penales (salvo que por el cargo, se justifique, como ocurre con quienes trabajan con menores de edad, de acuerdo a los criterios de la Dirección del Trabajo), test psicotécnicos, revisiones médicas, grabación de entrevistas de selección (las que siempre deberán ser expresamente consentidas), antecedentes comerciales (salvo que se trate de trabajadores que tengan poder para representar al empleador, tales como gerentes, subgerentes, agentes o apoderados, siempre que, en todos estos casos, estén dotados, a lo menos, de facultades generales de https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistración; y los trabajadores que tengan a su cargo la recaudación, https://estadodiario.com/wp-content/uploads/2018/02/im4-1.jpgistración o custodia de fondos o valores de cualquier naturaleza, art. 2 del Código del Trabajo) o antecedentes enfocados en la prevención criminal si no son idóneos, necesarios y proporcionales (como sí ocurre con las consultas en los listados públicos de la ONU o PEP´s). 

En cualquier proceso, los datos caducos debieran ser siempre eliminados, aun sin necesidad de requerimiento del titular, quien siempre tendrá derecho a la rectificación, copia y eliminación o cancelación de sus antecedentes (art. 6 y 12, ley 19.628). Como se mencionó, ninguna revisión de antecedentes o búsqueda de datos para el mayor perfilamiento de un candidato y su posterior selección debería incluir la recolección de datos personales sensibles, so pena de incurrir en algún acto de discriminación sancionable conforme al Código del Trabajo (artículo 2°, inciso 4°) y/o a la Ley Antidiscriminación N°20.609, las que hacen referencia a las “categorías sospechosas” de discriminación y que complementan el carácter sensible de los datos.

Hoy en día han surgido una serie de aplicaciones tecnológicas que arman verdaderas fichas de perfil de una persona (web-crawler) a partir de la información disponible en internet almacenada básicamente en sitios de libre acceso público. Otras aplicaciones permitirían hacer lecturas faciales de los entrevistados buscando indicio de alguna limitación o idoneidad particular (¿?, aunque ciertamente abren la puerta a la discriminación en la contratación) y es de esperar que se comience con la utilización masiva de algoritmos para la contratación de rubros especialmente operativos. Todo lo anterior supone un incremento de riesgos y potenciales contingencias en la medida que se implementen controles no idóneos o desproporcionados como parte de una errada diligencia en materia de reclutamiento, alejándose de los principios que inspiran la prevención criminal y que necesariamente deben armonizarse con el respeto a la dignidad de las personas, más si se trata de eventuales o futuros colaboradores. 

Una Política de Protección de Datos y Seguridad de la información, al igual que el Modelo de Prevención, es un traje a la medida que debe ser elaborado de acuerdo con los riesgos de cada compañía. Sin embargo, cualquier programa debe partir por respetar lo más básico: la dignidad de quienes quieren formar parte de una entidad, en armonía con los valores y delineamientos de ésta. Por ello, es necesario comprender que la seguridad de la información y protección de datos de una compañía va mucho más allá de las áreas de TI. Se trata de asuntos que forman parte de un modelo de cumplimiento y su tratamiento debería involucrar un compromiso serio de parte de las máximas autoridades de la persona jurídica, dado que afectan variadas áreas y procesos internos (sino todos).

* Rebeca Zamora Picciani es abogada (U. de Chile) y Diplomada en Compliance y Buenas Prácticas (PUC). Actualmente es profesora de Derecho Penal en la Universidad Central y Directora de Cumplimiento Normativo & Derecho Penal en Honorato | Delaveu.
Renzo Gandolfi Díaz es abogado (U. del Desarrollo), Magíster en Derecho de la Empresa (U. del Desarrollo), Magíster en Derecho Informático y Telecomunicaciones (U. de Chile) y Máster(c) en Seguridad de la Información y Continuidad del Negocio (UCAM). Actualmente es Director del Magister de Derecho Corporativo de la Universidad Central.