LEER NUESTRO DIARIO EN LA RED: CIBERYETTING

>MDP. Diana Rivas Mayett

En textos anteriores hemos tratado sobre la huella que dejamos durante nuestra navegación por la red, acerca de  conductas como el ciberterrorismo, ciberbullying, cibercasing, etc. En este caso nos referiremos a una conducta llevada a cabo por las empresas con la finalidad de investigar información personal y antecedentes de posibles candidatos a trabajar en estas últimas. Es cada vez más utilizado por los empleadores para realizar reclutamiento en línea y para conocer la reputación en Internet de los candidatos.

Se trata del ciberyetting, el cual es la investigación de antecedentes en línea.  Ésta acción puede ser un arma de dos filos, ya que por una parte sirve para “excavar” dentro de la historia sobre alguien, pero por otra también se utiliza para evitar hacer malas contrataciones, mejorar sueldos y aumentan las posibilidades de un buen ajuste.

Alrededor del 80% de los empleadores dan búsqueda y seguimiento de las actividades en línea de candidatos en una práctica conocida como ciberyetting o ciber-investigación de antecedentes. ¿Cómo y por qué se hace esto? ¿Cómo lo haría? ¿Adónde va?

Aquí hay un par de ejemplos en que los empleadores utilizan el ciberyetting para evaluar a los candidatos:

En primer lugar citaremos el caso para una posición de escritura: el empleador comprobará el blog de un candidato o cualquier escrito que él o ella ha hecho en línea, y si tiene faltas de ortografía y errores gramaticales, no quieren contratar a esa persona. Pero aún más en general, los empleadores ven buena escritura como una medida de la atención al detalle, profesionalismo y diligencia para cualquier trabajo, igual que evaluarían los errores en un currículum. Del mismo modo, si un empleador está buscando un gestor de redes sociales, pero no puede encontrar una cuenta en Google + o Twitter para el candidato, preguntará si él o ella está en la cima de su juego.

Para las profesiones en las que una red es importante, como ventas o reclutamiento, las conexiones pueden ser vistas como un activo para el potencial empleador y fue mencionado por lo menos una vez en la investigación de Brenda L. Berkelaar, profesor asistente en la Universidad de Texas-Austin, quien ha publicado investigaciones sobre ciberyetting de antecedentes y está a punto de liberar más sobre el tema.

Otro ejemplo de cómo esta figura puede ayudar  tanto al candidato como al empresario, puede encontrarse en la participación de un candidato en los foros en línea. Esto es particularmente beneficioso para aquellos que buscan trabajos técnicos, pero es más frecuente para una variedad de industrias en las que la gente hace preguntas en línea, como las respuestas son a menudo vistas como un signo de conocimientos técnicos. Debido a esto, tales plataformas en línea se utilizan a veces como una herramienta de abastecimiento para los empleadores.

Por otra parte, sin embargo, para los individuos en el otro extremo del espectro (aquellos que se encuentran jugando en línea todo el día en lugar de hacer su trabajo) el ciberyetting puede ser contraproducente en gran manera, ya que como también lo hemos mencionado en otras ocasiones… absolutamente todas las actividades que realizamos en la red tanto positivas, como negativas, quedan ahí, dejan huella. En consecuencia, al buscar trabajo el sujeto y siendo investigado por los empleadores en cuestión y al ser encontradas únicamente actividades en los juegos de la red, su seriedad, profesionalismo, quedan fuertemente en duda.

Mucho ojo…

Esta acción se hace a menudo sin el conocimiento del candidato, y tiene el potencial para que los empleadores tengan acceso a datos que pueden conducir a la discriminación (por ejemplo, edad, sexo, raza, religión, etc.), pudiendo ser ésta una práctica cuestionable.

De la misma forma en que esta práctica es debatible, resulta factible considerarla algo contradictoria a la Ley Federal de Protección de Datos Personales, toda vez que al ser efectuada bajo desconocimiento de su titular, iría en oposición a lo dispuesto por esta norma e incluso en contra de la Constitución Política misma, violentando los derechos fundamentales del sujeto titular de estos datos.

Lo que no dice uno lo pueden decir los buscadores

El futuro del ciberyetting va en dos direcciones.

La primera de ellas es la extensión de la simple búsqueda de Google. Gracias a los sitios que han consolidado resultados de la búsqueda de múltiples fuentes y utilizar el modelo de metabuscadores como Metacrawler o Dogpile, se han creado perfiles más amplios.

La segunda dirección es tomar un enfoque mixto, el cual consiste en meter a los candidatos en los buscadores para obtener una información detallada utilizando el modelo de inteligencia colectiva de Yelp o del Amazonas sobre la clasificación del producto.

En ambos casos, los resultados son a menudo sorprendentes en términos de lo que se revela. El sitio Spokeo, un ejemplo de la primera dirección, muestra los datos que los empleadores probablemente nunca querrá que ver candidatos: género, edad, raza, religión, afiliación política y detalles sobre ocio, educación y ocupación. Por otro lado en Checkster toma un enfoque diferente, solicitando a los candidatos para invitar a colegas predefinidos para calificarlos confidencialmente en línea a lo largo de un conjunto de atributos que son relevantes para el empleador y les puede proporcionar una buena forma de evaluar al partido, aprovechando la precisión de la inteligencia colectiva.

El ciberyeting es utilizado cada vez más por las empresas, primero para evitar sorpresas y como una herramienta de verificación de los datos y antecedentes digitales. En segundo lugar, será utilizado como una forma de evaluar la experiencia, motivación y en algunos aspectos el carácter de los candidatos. Finalmente, se expandirá en aprovechar la inteligencia colectiva contiene esa red social.

La Ley Federal para la Protección de Datos Personales y el Ciberyetting

La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa.

Esta Ley fue publicada el 5 de julio del 2010 en el Diario Oficial de la Federación y entró en vigor el día 6 de julio del 2010. Sus disposiciones son aplicables a todas las personas físicas o morales que lleven a cabo el tratamiento de datos personales en el ejercicio de sus actividades, por lo tanto empresas como bancos, aseguradoras, hospitales, escuelas, compañías de telecomunicaciones, asociaciones religiosas, y profesionistas como abogados, médicos, entre otros, se encuentran obligados a cumplir con lo que establece esta ley.

Antes de la expedición de la LFPDPPP, en México este derecho sólo era reconocido expresamente por la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental[1] (en cuanto al sector público) y dentro de la Ley de Protección de Datos Personales del Estado de Colima (sectores público y privado)[]

Debido al panorama normativo descrito y a que el país requería cumplir con sus compromisos internacionales, se consideró necesario expedir una ley en la materia.

Ahora bien, un dato personal, de acuerdo a la fracción V del artículo 3° de este cuerpo normativo, es toda aquella información que permita identificar a una persona.

Contenido de la Ley Federal de Protección de Datos

Capítulo I

Disposiciones generales

Artículos 1° a 5°. Los artículos 1 y 2 de la LFPDPPP señalan que los objetivos de la misma son garantizar la privacidad de las personas (físicas) y su derecho a la autodeterminación informativa, y que sus disposiciones se aplicarán a los tratamientos automatizados o no automatizados de información personal que realicen personas físicas o morales (los “Responsables”), con determinadas excepciones (fines personales y los que realicen las Sociedades de información crediticia).

En este mismo capítulo se definen los términos centrales de esta normatividad, de entre los cuales resultan fundamentales los conceptos de dato personal sensible, titular, responsable, encargado, tercero y tratamiento.

Capítulo II

De los Principios de Protección de Datos Personales

Artículos 6 a 21. La ley retoma del modelo general los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.

Resultan de suma importancia los principios de consentimiento, información y finalidad, en virtud de que los responsables sólo pueden realizar el tratamiento de datos personales si los titulares de los mismos otorgan su consentimiento para las finalidades señaladas en el aviso de privacidad.

Capítulo III

 De los Derechos de los Titulares de los Datos Personales

Artículos 22 a 27. La Ley retoma el contenido del párrafo segundo del artículo 16 constitucional y otorga a los titulares los denominados “Derechos ARCO”, cuyo acrónimo corresponde a:

  • Acceso: los titulares      pueden conocer si sus datos están siendo objeto de tratamiento.
  • Rectificación: el derecho a solicitar que sus datos sean modificados.
  • Cancelación: los titulares      pueden solicitar que sus datos se cancelen de la base de datos por causas      justificadas.
  • Oposición: el derecho de      los individuos para impedir el tratamiento de su información.

Capítulo IV

Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición

Artículos 28 a 35. Los responsables están obligados a dar trámite a las solicitudes de acceso, rectificación, cancelación y oposición que realicen los titulares, para efectos de lo cual deberán nombrar a una persona o crear un departamento de datos personales, que se encargará de dar respuesta a las peticiones en los plazos que señala la ley. Dentro de este capítulo también se señalan las formas en que puede darse cumplimiento con estos derechos, así como las causas por las cuales puede negarse alguno de ellos.

Capítulo V

De la Transferencia de Datos

Artículos 36 y 37. Cuando el responsable pretenda transferir los datos del titular deberá informar esta circunstancia en su aviso de privacidad, requiriendo el consentimiento del titular, a menos que aplique alguno de los supuestos de excepción que contempla este capítulo.

Capítulo VI

De las Autoridades

Artículos 38 y 39. La Ley señala que el IFAI (Instituto Federal de Acceso a la Información y Protección de Datos a partir de la reforma del 5 de julio de 2010) será la autoridad encargada de vigilar y verificar el cumplimiento de la Ley de datos personales, así como dar trámite a los procedimientos de protección de derechos, verificación y sanción (Capítulos VII, VIII y IX). Adicionalmente, la ley señala que las Secretarías podrán emitir disposiciones en la materia, otorgando facultades especiales a la Secretaría de Economía.

Capítulo VII

Del Procedimiento de Protección de Derechos

Artículos 40 a 44. Este procedimiento inicia con una solicitud presentada por el titular de los datos ante el IFAI, cuando estime que el responsable negó injustificadamente el acceso, rectificación, cancelación u oposición de sus datos. El capítulo en cuestión señala la forma y los plazos en los cuales se sustanciará este procedimiento, las causales de improcedencia y sobreseimiento, así como el recurso que procede en contra de la resolución que emita el Instituto.

Capítulo VIII

Del Procedimiento de Verificación

Artículos 59 y 60. Este procedimiento comenzará cuando los responsables incumplan con las resoluciones emitidas por el IFAI, o cuando la autoridad presuma la existencia de algún tipo de incumplimiento. La forma y plazos para sustanciar este procedimiento se regula en la vía reglamentaria.

Capítulo IX

Del Procedimiento de Imposición de Sanciones

Artículos 61 y 62. El IFAI se encuentra facultado para dar inicio a un procedimiento sancionador en caso de que, derivado del trámite de los procedimientos de protección de derechos y de verificación, haya detectado algún incumplimiento de los principios o disposiciones de la Ley. La forma y plazos para sustanciar este procedimiento se regula en la vía reglamentaria.

Capítulo X

De las Infracciones y Sanciones

Artículos 63 a 66. Dentro de este capítulo se enlista el catálogo de infracciones a la Ley y sus correlativas sanciones. La ley contempla como sanciones, multas que van de los 100 a los 320,000 días de salario mínimo vigente en el Distrito Federal, las cuales podrán aumentarse por reincidencia, y se duplicarán cuando las infracciones tengan relación con el tratamiento de datos personales sensibles. De conformidad con el salario mínimo del Distrito Federal para el 2013, estas multas oscilan entre los $6,476.00 (mínimo) y $20’723,200.00 (máximo).[7]

Capítulo XI

De los Delitos en Materia del Tratamiento Indebido de Datos Personales

Artículos 67 a 69. La ley contempla penas privativas de libertad, que van desde los tres meses hasta los 5 años de prisión, mismas que también podrán duplicarse cuando las conductas guarden relación con datos personales sensibles.

Aviso de Privacidad

El aviso de privacidad es un texto en el cual se explica el uso que se le dará los datos al titular de los mismos, y se genera en forma impresa o electrónica (aparece como una liga en una página Web).

Art. 3° f. I LFPDPPP

La ley y su reglamento mencionan en varios de sus artículos la forma que tendrá este aviso de privacidad. En forma adicional, el día 17 de enero de 2013 la Secretaría de Economía publicó en el Diario Oficial de la Federación los lineamientos para la generación del Aviso de Privacidad, a efectos de minimizar la necesidad de que se deba recurrir a empresas privadas para obtener asesoramiento en su creación. En dicha publicación se diferencian tres formas del Aviso de Privacidad: Integral, Simplificado y Corto, según su aplicación.

Reformas constitucionales en materia de datos personales

La reforma al artículo 6° constitucional

El primer antecedente se encuentra en la modificación realizada en el año 2007 al artículo 6 de la Constitución Política, en la que se adicionaba un párrafo segundo a este numeral, sentando las bases respecto al derecho a la información (transparencia), incluyendo la protección de datos personales por parte de las entidades públicas, reconociendo los derechos de acceso y rectificación.[]

La reforma al artículo 16 constitucional

En esta variación se adiciona un párrafo segundo al artículo 16, y se establece que toda persona tiene derecho a la protección de sus datos personales y a ejercer los derechos denominados “ARCO” (acceso, rectificación, cancelación y oposición).

El texto constitucional también señala este derecho sólo podrá limitarse por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. La LFPDPPP por su parte, recoge estos supuestos dentro de su artículo 4.

La reforma al artículo 73 constitucional

En ésta se facultó al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares, a través de la adición de la fracción XXIX-O.

La justificación para otorgar dicha facultad al Legislativo Federal fue que los datos personales se utilizan en diversas transacciones comerciales, y el comercio se encuentra regulado en el ámbito federal.

Legislación en materia de protección de datos personales

A nivel mundial se reconoce la existencia de dos modelos en materia de protección de datos personales: general y sectorial.

El modelo general es adoptado por la mayoría de los países, especialmente por la Unión Europea y entre sus características se encuentran:

  • Sólo existe un cuerpo normativo en la materia      y una autoridad encargada de su cumplimiento.
  • Siempre se requiere el consentimiento de los      titulares para el tratamiento de información.
  • Se prohíben las transferencias a países que no      tengan un nivel adecuado de protección.

Nuestro país adoptó este modelo para la protección de los datos personales. Es el Instituto Federal de Acceso a la Información el órgano encargado de velar por la integridad, tratamiento y transferencia de éstos y se expide la Ley Federal para la Protección de Datos Personales en Propiedad de Particulares realizando las reformas necesarias a nuestra Carta Magna.

Por su parte, el modelo sectorial es aplicado por los Estados Unidos y tiene las siguientes características:

  • No existe un instrumento legal único que
         regule la materia, las diversas dependencias pueden emitir las normas que      estimen convenientes para su sector.
  • Diversas autoridades, en el ámbito de su      competencia. se encargan de velar por la protección de este derecho.
  • Se presume el consentimiento de los titulares      para el tratamiento de los datos a menos que los mismos manifiesten su      negativa.
  • Este esquema funciona bajo mecanismos de      autorregulación.

 

La Ley de Datos Personales aprobada por el Congreso Federal recoge elementos de los modelos general y sectorial, y se erige como un instrumento normativo necesario para proteger la privacidad de las personas respecto al tratamiento que puedan dar otros particulares respecto a su información personal. De la lectura de sus disposiciones se desprende que los datos de los individuos se protegen desde todos los ángulos, en virtud de que la información proporcionada por las personas en su carácter de clientes en la contratación de todo tipo de servicios o como trabajadores en sus centros de labores, entre otros tantos aspectos, se encuentra protegida por la LFPDPPP.

Precauciones a considerar

Hay tres sencillas normas a seguir para asegurarse de que no ser inducidos a error por falsas identidades en línea, así como para no cruzar esta última y llegar a ser un motivo de discriminación:

1. Asegurarse de informar al candidato que se va a realizar ciberyetting. Se puede incluso pedir al candidato proporcionar información (por ejemplo, correos electrónicos, sitios web, alias, etc.) en cuanto a dónde encontrarlos en línea.

2. En caso de encontrar datos comprometedores, asegurarse de validarlo en primer lugar, ya que puede no pertenecer verdaderamente al candidato. Si el tiempo no permite dicha verificación, sé está en riesgo de tener la información falsa de un impacto negativo en su empresa.

3. Asegurarse de que cualquier solución de inteligencia colectiva utilizado tiene un algoritmo de protección contra fraude.

 

 

OBSERVACIONES FINALES

El ciberyetting es una práctica habitual en su forma básica y seguirán evolucionando en el futuro. Porque la tecnología avanza rápidamente.

El derecho a la privacidad contenido en el artículo 16 de la Constitución Política de los Estados Mexicanos,  las  demás disposiciones tanto del mismo ordenamiento como de la LFPDPPP permiten darle una protección y garantía legal a éstos en contra de todo mal uso o abuso que se le pueden dar a aquéllos. Aunque como ya se ha mencionado en párrafos anteriores, el ciberyetting se llega a emplear sin el consentimiento de la persona titular de esos datos personales, para lo cual se puede acudir a las sanciones establecidas tanto por la LFPDPPP como por el Código Penal Federal e incluso por el Código Punitivo de cada uno de los Estados o el Distrito Federal (competencia concurrente) – la reciente aprobación de un Código Penal Único respecto al procedimiento sólo cambiaría la forma, más no el fondo -.

Efectivamente resulta muy útil para las empresas el poder verificar a los candidatos que quieran ingresar en su personal, sin embargo nos enfrentamos con un derecho fundamental consagrado en nuestra Carta Magna que fácilmente puede verse vulnerado con la práctica de esta acción, nuestro derecho a la privacidad. Si bien es cierto, las empresas pueden ejercer su derecho a la información por ejemplo, también lo es que uno puede exigir nuestro derecho a la privacidad. En otras palabras y en todas las hipótesis que nos queramos plantear: nuestros derechos terminan dónde empiezan los de otro… ¿Hasta dónde pueden meterse con nuestros datos personales las empresas que están reclutando personal?

Para la protección de los datos personales México sigue el modelo general mencionado anteriormente. En nuestra opinión es el esquema más adecuado al permitir una mayor amplitud en su amparo, sin embargo consideramos que no debería ser un solo órgano el encargado de velar por ellos, sino que todas y cada una de las autoridades y de los órganos que conforman el Estado, deberían velar por ellos y brindar una tutela integral y uniforme (claro que uniformando criterios para evitar que pase lo del Código Penal y la posterior necesidad de unificar éstos). Concordamos con la creación del IFAI y la expedición de la LFPDPPP, así como con  el que SIEMPRE se debe contar con la autorización del titular para su tratamiento y transferencia.

Robo de identidad, fraudes, extorsiones, homicidios y discriminación, son tan sólo algunos de los delitos que pueden ser cometidos al ser mal utilizados los datos personales de un individuo y a lo que estamos expuestos si no se resguardan correctamente y se dispersan indiscriminadamente nuestros datos personales.

 

 

FUENTES:

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s