protección de datos
España, un paso adelante en la supervisión de la Inteligencia Artificial
¿Qué es la inteligencia artificial?
¿Qué es la inteligencia artificial generativa?
¿Por qué necesitamos regular la IA?
¿Qué paso ha dado España?
El Gobierno ha explicado que esta estrategia incluye diferentes planes estratégicos, entre ellos la Estrategia Nacional de Inteligencia Artificial (ENIA) , que tiene como objetivo dar un marco de referencia para el desarrollo de una inteligencia artificial «inclusiva, sostenible y centrada en la ciudadanía».
La Estrategia forma parte del Plan de Recuperación, Transformación y Resiliencia (PRTR) , que pretende situar a España como país puntero en inteligencia artificial (IA). La AESIA se adscribe al Ministerio de Asuntos Económicos y Transformación Digital mediante la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Con la creación de esta agencia, España se convierte en el primer país europeo que tiene un órgano de estas características y se anticipa a la entrada en vigor del Reglamento europeo de inteligencia artificial.
La figura del DPD en la aplicación de la IA
Conclusiones
¿Privacidad sin límites?
La pregunta es, ¿Qué distingue a las violaciones de la privacidad de otros daños? Eso es lo que plantea un papel americano, «Distinguishing privacy law: a critique of privacy as social taxonomy«.
La tesis que sostienen los autores es que durante el siglo XX los estudiosos de la privacidad intentaron definir el concepto ilusorio de la privacidad. No tuvieron éxito. Con el cambio de milenio, llegó un nuevo enfoque: una taxonomía de problemas de privacidad basada en el reconocimiento social. Hemos convertido el concepto con un catálogo de casos abandonando la definición de su objeto central. Y ya es hora de repensar el concepto de privacidad en un entorno de información complejo y por qué, dado un problema social –de la discriminación a la desinformación–, vale la pena estudiarlo en un marco de privacidad.
Privacidad
¿Y qué entendemos por Privacidad? Pues no tenemos una definición pacífica. Pero podemos definirla como el derecho que tenemos a preservar nuestra vida íntima (derecho al honor, la intimidad y a la propia imagen como recoge nuestra Constitución) y que no sea accesible a otros sin nuestro consentimiento. Y esta definición incluye el concepto Privacidad Digital que es el bien jurídico que la normativa de protección de datos quiere salvaguardar.
Y la Privacidad Digital es el derecho de los usuarios a proteger sus datos en Internet y decidir qué información personal pueden ver los demás. Y qué información pueden utilizar y por qué. Es una expectativa legítima que tenemos como personas de poder administrar nuestra «huella digital». Ser, en definitiva, soberanos de nuestros datos. Nos jugamos nuestra reputación digital, nuestro patrimonio intangible más importante.
¿Privacidad sin límites?
La tecnología evoluciona cada día y plantea importantes problemas de privacidad. Necesitamos experiencia para comprender estos problemas y encontrar soluciones imaginativas. Pero la privacidad no debería prevalecer sobre cualquier otra cuestión, del mismo modo que las otras cuestiones no deberían prevalecer automáticamente sobre la privacidad. Ambos intereses deben hacer concesiones y encontrar un resultado equilibrado.
Nuevos retos, nuevas soluciones
Muchas tecnologías existentes y casi todas las nuevas plantean importantes problemas de privacidad. Sólo hay que ver, en este sentido, el impacto que ha supuesto ChatGPT y aplicaciones similares. Ya hemos visto respuestas de todo tipo, desde prohibir su utilización (por ejemplo, en Italia que ya han dado marcha atrás) hasta investigar a fondo como, por ejemplo, la AEPD que ya inició de oficio actuaciones de investigación de OpenAI, propietaria de ChatGPT.
Ante los nuevos retos, hay que articular nuevas soluciones. El RGPD promueve la «privacidad por diseño«, es decir, ante cualquier iniciativa considerar las implicaciones de privacidad desde el principio. Esto debe ser así sin convertirse en guardianes que impidan o menoscaben el desarrollo empresarial.
Por qué esto no ha hecho más que empezar. Hay que trabajar juntos para encontrar un equilibrio entre el derecho a la privacidad y la libertad necesaria para que el mundo que conocemos no se detenga con una censura desbordada.
¡Cuidaos, como siempre!
¡Y ahora llega el (maldito) currículum!
Una vez más, una empresa, concretamente un despacho de abogados, ha sido sancionada por incumplir al RGPD en el tratamiento del currículum de un candidato. ¿El resultado? una sanción de 10.000€. No es la primera, no será la última.
Ya hemos hablado en otras ocasiones del tema currículum. Tanto empresas como candidatos parten de premisas equivocadas, obsoletas o directamente falsas. Los candidatos, enviando currículos a diestro y siniestro, sin reparar que están exponiendo sus datos sin control; las empresas, en más casos de los deseables, tratando los currículos sin el cuidado necesario por falta de conocimientos, protocolos y, a menudo, de empatía hacia el candidato.
Si hay un momento en la vida en el que exponemos numerosos datos personales, éste es cuando entregamos el currículum a una empresa con el fin de que nos contraten. Como candidatos debemos exigir que nuestros datos se traten debidamente (por lo que ayudaría conocer mínimamente la normativa). Y como empresa, faltaría más, debemos cumplir escrupulosamente con el RGPD porque es ley y porque es el trato correcto con las personas.
Dos partes que deberían estar en equilibrio. El candidato quiere, obviamente, que lo contraten y conseguir un puesto de trabajo acorde a sus méritos y la empresa quiere contratar talento que le aporte valor.
Hagamos, por tanto, que, independientemente del resultado, la experiencia resulte satisfactoria para todos.
Los hechos
El reclamante envió el currículum en respuesta a una oferta de trabajo y fue convocada a una entrevista, sin informarla en ningún momento del nombre de la empresa ni ningún dato identificativo.
Al llegar a la sala de la entrevista, el entrevistador entró con el currículum de la candidata impreso. No se le advirtió del tratamiento se pensaba dar a los datos personales, ni del tratamiento que ya se había hecho. No se ofreció ningún tipo de información en cumplimiento de RGPD.
La única manera de saber quién la entrevistó fue gracias a unas pegatinas que había en la oficina. Además, en la web corporativa tampoco consta ninguna información relativa al RGPD.
Las consideraciones de la AEPD
Pues según la AEPD, el despacho obtuvo datos personales de los usuarios de la página web sin previo consentimiento, en un formulario donde introducir nombre, correo y asunto y pulsando la opción “Enviar” para enviarlo, sin más requisitos.
En cuanto a la Política de Privacidad, nos encontramos con que se proporciona una información totalmente insuficiente, faltando, por ejemplo, la identidad y datos de contacto del responsable; los datos de contacto del delegado de protección de datos, en su caso; los destinatarios de los datos personales y de la información necesaria para ejercer los derechos que asisten a los usuarios y cómo y dónde ejercerlos.
¿Qué debemos hacer?
La lista de incumplimientos del despacho da para escribir un libro, sin contar con que la conducta es la de un despacho de abogados que, por su naturaleza, debería poner más cuidado en el tratamiento de los datos personales.
Nuestra recomendación es que la empresa disponga, al menos, de un Protocolo de tratamiento del CV (desde la publicación de la oferta hasta la desestimación del candidato) y un conjunto de documentos básicos que permitan recoger el consentimiento para el tratamiento y para la entrevista de trabajo y circulares informativas del tratamiento (y del no tratamiento). Y recordar que si la selección se realiza a través de un portal de empleo o una agencia de colocación será necesario tener firmado el preceptivo contrato de encargado de tratamiento.
Todo ello, entendiendo que la empresa está debidamente adecuada a la normativa de Protección de Datos. Si no, estaremos incumpliendo y no servirá de nada nuestro esfuerzo.
Como siempre, ¡cuidad los currículos y cuídaos!
Candidatos, curriculums y empresas
Pasado el verano empieza un nuevo curso académico, político, judicial, deportivo y, en general, en todas aquellas áreas sociales que aprovechan las vacaciones para descansar. Y, en el entorno laboral, a las empresas y personas candidatas se los gira bastante trabajo. Unas, porque quieren contratar talento y las otras porque quieren fichar por la mejor empresa posible. En cualquier caso, es una época de prisas y nervios pero también de ilusión, que, a menudo, nos hace cometer errores. A unos y a otros.
Todo esto viene por un par de noticias que afectan a las empresas y a los candidatos.
La primera, muy reciente, hace referencia a la sanción impuesta por la AEPD a una empresa por no responder a los candidatos que se inscriben a una oferta de trabajo ni informarlo del tratamiento que tendrán sus datos personales. Lo hablamos días atrás.
El otro, de hace más tiempo, recogía el caso de una candidata que mintió en su currículum para conseguir un trabajo en Australia. Tuvo que pagar una indemnización y, después, entró en prisión. Otro día nos ocuparemos de este tema.
Las dos noticias juntas ponen de manifiesto que empresas y candidatos tienen que observar unas reglas del juego básicas para no infringir la normativa y entender que no hacerlo puede tener consecuencias graves. Por eso hoy recogemos, a modo de recordatorio, algunas otras conductas a observar en el proceso de selección y contratación de personas en las empresas.
Consentimiento. En la fase de selección no es necesario el consentimiento de la persona candidata. La empresa está legitimada porque el tratamiento es necesario por la ejecución de un contrato en el que el candidato es parte o por la aplicación, a petición de este, de medidas precontractuales (arte. 6.1.b) RGPD).
Información. La empresa, en cambio, tiene el deber de informar del tratamiento, el que constituye una garantía para la persona candidata. Y lo tiene que hacer de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Vida laboral. La empresa, acreditando un interés legítimo, puede solicitar un informe de vida laboral para comprobar la veracidad y experiencia del currículum.
Oferta de trabajo. Las ofertas de trabajo se tienen que redactar en términos neutros (no pedir sexo, edad, raza, creencias políticas o religiosas, etc.) y recordar que las funciones especificadas son vinculantes. Y si se incluye la alternativa de teletrabajo, el candidato lo puede reclamar posteriormente sino se le proporciona.
Entrevista de trabajo. En la entrevista de trabajo, las respuestas no equivalen a un consentimiento y si hacemos preguntas sobre datos de categoría especial (salud, orientación sexual, opiniones políticas, afiliación sindical, datos genéticos, etc.) se tendrán que tomar medidas adicionales. Evitamos anotar juicios de valor y vigilamos si los datos recogidos pueden dar lugar a discriminaciones contrarías al principio constitucional de igualdad. Supondría una infracción administrativa grave.
Redes sociales. Los candidatos no están obligados a permitir la investigación del empleador en los perfiles de las redes sociales, exceptuando supuestos específicos y siempre que el candidato sea informado.
Conservación y eliminación. Acabado el proceso de selección, si la persona no es contratada será necesario su consentimiento para un futuro tratamiento, salvo que el empleador pueda demostrar interés legítimo (base de legitimación). Si no, eliminará el currículum con toda la documentación asociada.
Medidas de seguridad. La empresa tiene que garantizar la confidencialidad y el secreto profesional, incluso, cuando haya acabado la relación. Por eso tiene que tener implementadas las medidas de seguridad que garantizan, además, la disponibilidad y la integridad de los datos.
Naturalmente, hemos recogido aquí algunas de las situaciones más comunes que se pueden dar en el tratamiento de datos durante el proceso de selección de candidatos. Como siempre, es importando un buen asesoramiento profesional que impida cometer errores que nos pueden dar sorpresas desagradables.
Cuidaos!
Nota: el contenido del post no puede sustituir en ningún caso el asesoramiento profesional que podéis pedir aquí.