Datos personales de los empleados en una empresa global: 9 preguntas directas

11 junio
Tanya Andrianova
Datos personales de los empleados en una empresa global: 9 preguntas directas
Desde hace diez años soy responsable de los aspectos administrativos y legales del trabajo de DataArt en el Reino Unido. Además, junto con el equipo de cumplimiento, superviso los contratos con nuestros empleados en otros países y soy responsable de la protección de la propiedad intelectual y la seguridad jurídica de DataArt en su conjunto, independientemente de la ubicación.

La seguridad de la información personal se ha convertido en un motivo de preocupación para la mayoría de los usuarios de Internet. Para los profesionales de IT, la cuestión parece aún más aguda. Cualquiera que siga las noticias de la industria ha aprendido que los datos son la "nueva moneda". Los gobiernos están endureciendo constantemente las leyes con respecto a su almacenamiento y procesamiento, y la gente está cada vez más atenta a qué información y con quién comparte. En DataArt, confiamos en que la cultura del manejo de datos personales es importante tanto para trabajar en proyectos como para nuestra propia tranquilidad. Este año incluso decidimos realizar un evento interno extendido de las Semanas de Privacidad de DataArt, para lo cual escribí originalmente este artículo.

Pero todavía me parecía que la experiencia de DataArt en el manejo de información personal también podría ser interesante para las personas que no trabajan en la empresa. Empleamos a +4000 personas de una docena de países y hemos recopilado preguntas sobre protección de datos de los empleados que recibimos de nuestros colegas de vez en cuando. Creo que las respuestas a ellos son útiles tanto para quienes tienen acceso a la información personal de otras personas, como para todos los que trabajan en empresas internacionales.

¿Qué son los "datos personales"?

Los datos personales son cualquier información que te permita identificar a una persona específica. Los ejemplos más simples son el nombre y apellido, la fecha y el lugar de nacimiento, el número de teléfono y la dirección de casa o de correo electrónico. Los datos personales también incluyen toda la información sobre el estado civil, ingresos, educación y profesión, descripción de habilidades profesionales y evaluación del desempeño de los empleados.

Los datos personales tienen una categoría separada llamada "datos sensibles", que incluye toda la información biométrica, así como todos los datos sobre salud (incluidas las discapacidades), preferencias sexuales, religión, opiniones políticas y estado legal. Su almacenamiento y manipulación requieren un enfoque especial y, a menudo, están regulados por reglas independientes.

La gama de datos personales es realmente amplia, y la cuestión de su manejo ha pasado de la cuestión ética a la jurídica. Parece que, en teoría, todo el mundo entiende lo importante que es proteger la información personal. Pero las preguntas de por qué las empresas solicitan tal o cual información, o por qué los abogados constantemente nos advierten y prohíben muchas manipulaciones con los currículums de los candidatos o las cuentas de los colegas, a menudo se ven envueltas en la niebla.

¿Qué información sobre mí no puede prescindir la empresa?

El intercambio de datos personales es un requisito previo para la celebración de un contrato. Sin esto, además de fijar las condiciones laborales y el salario, la ley no permite entablar relaciones laborales. El empleador está obligado por ley a saber a quién contrata, es decir, su nombre y dirección, número de cuenta para enviar pagos, etc. El empleado, a su vez, debe estar informado sobre el nombre de la empresa, su ubicación y su negocio antes de firmar el contrato. Este intercambio de identificadores no se dicta por capricho, es requerido por los códigos laborales de cualquier país. Y el sentido común también sugiere que es bastante lógico confirmar su identidad al momento de contratar.

¿Por qué vale la pena explicarlo? Porque ya hemos tenido que lidiar con preguntas sobre por qué la empresa necesita la dirección del domicilio de un empleado. Recientemente, no pudimos hacer una oferta a un candidato que no quería enviarnos su nombre de la forma en que está registrado en su pasaporte porque consideraba que esta información era excesiva y nuestro interés en ella era sospechoso. Probablemente, la ansiedad causada por las historias de filtraciones de datos personales de varias bases de datos puede tomar tales formas. En principio, entendemos bien este problema y solo agradecemos una actitud cautelosa hacia la información. Pero cuando la recopilación de datos es requerida por ley, no podemos cambiar nada de todos modos.

La legislación laboral obliga a las empresas no solo a recopilar datos personales para verificar la identidad, y en ocasiones la competencia de los compañeros, sino también a almacenarlos durante toda la cooperación. En algunos países, como el Reino Unido, debe conservarse durante tres años después de la finalización de la relación laboral. Además, si el pasaporte del empleado expiró mientras trabajaba en la empresa y no nos proporcionó los datos del nuevo documento, esto se considera una violación.

¿Puede ser que la empresa pregunte demasiado sobre mi pasado?

La verificación de antecedentes es el proceso de recopilar datos personales de un futuro empleado antes de que comience a trabajar para la empresa. Esto es requerido en parte por las leyes laborales y en parte por cuestiones de seguridad. En primer lugar, debe asegurarse de que la persona que se unió a la empresa nos haya proporcionado su nombre real. En terminología de ingeniería, se requiere un pasaporte para el procedimiento de autenticación. Por ejemplo, en este caso, ya se necesita un diploma para la autorización: la legislación laboral puede requerir la confirmación oficial de las competencias de un empleado que solicita ciertos puestos. Además, es posible que se requiera información sobre educación al procesar documentos para la reubicación, p. Ej. A los E.U. Se necesita un conjunto básico de conocimientos y habilidades de un nuevo colega para crear un perfil que se requiere directamente para el trabajo.

Se puede realizar una verificación de antecedentes adicional a solicitud del cliente, es decir, esto puede ser requerido por las regulaciones de seguridad internas del lado del cliente. Por cierto, esto a menudo se asocia con el acceso a los datos personales de los usuarios finales del sistema, en los que se trabajará en el proyecto. Tal control puede referirse, por ejemplo, a condenas o al hecho de estar registrado en un dispensario narcológico. Para DataArt en sí, dicha información es innecesaria, no la recopilamos ni almacenamos. Si se recibe dicha solicitud de datos confidenciales, se la pasamos a un empleado que tiene derecho a proporcionar la información necesaria o se niega a participar en el proyecto. En este último caso, seleccionaremos otro para ellos, donde no sea necesario aportar documentos adicionales.

Nos complace aceptar personas por recomendación de colegas actuales y anteriores. En algunos casos, podemos contactar con aquellos con quienes el candidato trabajó antes. Sin embargo, la recopilación de reseñas de lugares de trabajo anteriores se lleva a cabo solo con el consentimiento de la persona a la que se refieren directamente. Las investigaciones independientes de este tipo son:

a) no es del todo legal (el antiguo empleador, de acuerdo con la ley, debe negarse a proporcionarnos información sobre una persona sin su consentimiento);

b) simplemente irracional.

¿Qué leyes sigue DataArt al recopilar y almacenar los datos personales de los empleados?

DataArt tiene oficinas en 11 países, cada uno con sus propias reglas. Sin embargo, tomamos el camino más simple y unificamos el proceso. Se eligió como guía el famoso RGPD (Reglamento general de protección de datos) adoptado por la UE y el Reino Unido. Las reglas que contiene son las más estrictas y claras. Para varios países, todavía parecen redundantes, pero ciertamente cubren todos los requisitos para las empresas en el campo del trabajo con datos personales en cualquier parte del mundo.

Por cierto, las leyes ucranianas y, por ejemplo, argentinas están cerca del GDPR y de muchas maneras se superponen con él. Aún no existe una ley federal especial en los Estados Unidos, pero en general, las reglas que rigen el manejo de la EP se están volviendo más estrictas en todo el mundo. Para nosotros es más fácil no esperar a su unificación total, sino actuar ahora de acuerdo con un único protocolo.

¿Quién tiene acceso a mis datos personales?

Un pequeño conjunto básico de información sobre colegas está disponible para todos los empleados de DataArt en el sistema interno de la empresa, como nombre y apellido, foto y contactos, cuánto tiempo ha estado trabajando la persona en la empresa, así como su puesto y calificaciones. De forma predeterminada, ni siquiera mostramos el año de nacimiento y siempre preguntamos directamente si la persona quiere que esta información sea accesible. Si una persona no quiere ser felicitada por su cumpleaños, esta información no podrá hacerse pública, aunque, por supuesto, quedará en el departamento de contabilidad y RRHH, como exige la ley.

Todos los demás datos, incluidos los números de pasaporte y de cuenta, están disponibles solo para un número estrictamente limitado de colegas:

  • Los especialistas en recursos humanos tienen acceso al número de pasaporte, identificación militar, libro de trabajo y registro de trabajos y proyectos anteriores de colegas dentro de DataArt.
  • Contabilidad tiene acceso a números de cuenta, detalles bancarios y otra información relacionada con los pagos.
  • Los gestores de viajes tienen acceso a los datos del pasaporte, ya que elaboran los documentos necesarios para los viajes de negocios.

Los colegas que a menudo viajan por negocios a veces piden a los administradores de viajes que conserven sus formularios de solicitud de visa completos. En teoría, esto les permite ingresar los mismos datos en un nuevo perfil sin que la persona esté presente. El deseo es comprensible: todos los que recibieron, por ejemplo, una visa británica, probablemente recuerden este paquete de páginas, donde debe indicar los nombres de todos los parientes cercanos y enumerar todos los bienes raíces. Pero para nosotros, esta información se considera redundante. No es necesario para el trabajo, lo que significa que los gerentes simplemente no tienen derecho a almacenarlo sin el permiso por escrito de la persona a quien pertenece.

Si un colega insiste en que el administrador de viajes conserve la capacidad de completar un formulario de solicitud de visa, contratar un seguro o, si es necesario, enviar documentos al hotel, permitimos almacenar el conjunto extendido de datos. Pero primero pedimos el consentimiento por escrito.

Por cierto, los clientes tratan con mucho cuidado los datos personales de nuestros compañeros. Recibimos regularmente una solicitud de permiso para guardar la información más básica, p. Ej. de administradores de clientes del Reino Unido sobre desarrolladores de Ucrania. A veces, los clientes necesitan un poco más de datos personales sobre nuestros empleados, generalmente solo en situaciones en las que desean prescribir individualmente las reglas para acceder a la información sobre sus propios clientes y concluir un acuerdo por separado con una persona específica. En cualquier caso, los datos de nuestros compañeros pueden ser cedidos a terceros solo con su consentimiento.

Las leyes sobre datos personales permiten su intercambio entre oficinas de representación de la empresa en diferentes países y está regulada por un Acuerdo de Tratamiento de Datos Intra-Grupo especial. Esto le permite tener acceso abierto a la información sobre un colega basado en un principio funcional más que geográfico. Al mismo tiempo, un contrato interno entre las empresas del grupo DataArt en varios países asegura que los empleados en cualquiera de nuestras ubicaciones sepan cómo almacenar y procesar los datos personales de los empleados y tratarlos con cuidado.

Para nosotros es importante que sea posible presentar un nuevo empleado de Londres al equipo en Ucrania, sin violar las reglas establecidas por el GDPR.

¿Dónde se almacenan físicamente los datos personales y cómo se protegen?

Todos los datos se almacenan en los sistemas internos de DataArt. Por ejemplo, en el Reino Unido, estamos obligados a conservar copias de pasaportes, contratos de trabajo y registros de todos los pagos en efectivo. Los representantes de inmigración o control laboral pueden venir a la oficina en cualquier momento sin previo aviso, solicitar impresiones de documentos para cualquiera de nuestros empleados y verificar dónde se almacenan sus datos personales.

Toda la información está en un servidor seguro con acceso limitado, bloqueado físicamente con un candado de combinación. El acceso a los datos personales se puede obtener de los administradores del sistema que los emiten de acuerdo con las normas de seguridad. Esta regla es la misma para todos los empleados, independientemente del puesto.

La mayoría de las fugas de información no se deben a la vulnerabilidad de los sistemas informáticos, sino a errores humanos. Por lo tanto, no solo restringimos el acceso a los datos personales, sino que también capacitamos constantemente a los colegas que los tienen. Disponemos de cursos obligatorios para todos, formaciones periódicas y talleres para quienes, por la naturaleza de su trabajo, suelen entrar en contacto con la información personal de los empleados. Creemos que la conciencia es clave en el manejo de datos personales y nos esforzamos por inculcar una cultura adecuada dentro de DataArt.

Debo decir que los colegas tratan este enfoque con mucha más comprensión que antes. Se habla mucho sobre filtraciones y tecnologías de ingeniería social utilizadas por los estafadores. Aun así, creemos que desempeñamos un papel en inculcar una actitud más atenta a la seguridad de los datos personales. Instamos a cualquier persona en caso de duda a que se ponga en contacto con los especialistas en seguridad y cumplimiento que siempre están listos para responder preguntas.

¿Puede almacenar información de candidatos?

DataArt recibe todos los datos de los candidatos de fuentes abiertas, p. Ej. de los sitios de búsqueda de empleo. Al ingresar información en los sistemas internos, necesariamente advertimos a la persona enviándole un aviso de privacidad estándar. El consentimiento para el procesamiento de datos personales es otorgado por cada solicitante que nos envió un currículum. Cualquiera de aquellos que hayan permitido ingresar sus datos en nuestra base de datos, pero no recibieron la oferta o no la aceptaron, pueden solicitarnos que eliminemos estos datos de los sistemas internos. Estamos obligados a satisfacer dicha solicitud / demanda en un plazo de 30 días. Aunque en este caso les advertimos que después de un tiempo nuestros reclutadores pueden volver a contactarlos. Desafortunadamente, los candidatos no tienen la oportunidad de averiguar exactamente por qué fueron rechazados antes y por qué hay un nuevo interés en ellos ahora.

Esta es otra razón para recordarles a todos los que se preocupan por la seguridad de los datos personales, esa información, por ejemplo, en LinkedIn sobre sus competencias, permanece abierto a todos. Puede excluir temporalmente a alguien del campo de visión si guarda información sobre él en una base de datos interna.

Las negociaciones con un candidato prometedor no siempre terminan con la firma de un contrato: una persona puede no tener el conocimiento suficiente de una tecnología en particular o, por el contrario, puede no estar lo suficientemente interesada en un proyecto en particular. En cualquier caso, si estamos pensando en volver con una nueva propuesta en un futuro próximo, proponemos guardar datos sobre la misma, incluidos los resultados de entrevistas y tareas de prueba, en nuestro sistema. Si el candidato no se opone, conservamos su información durante tres años.

¿Qué información se conservará si dejo la empresa?

Cuando un empleado deja la empresa, eliminamos inmediatamente su información personal, es decir, su sección "acerca de", pasatiempos, cualquier dato sobre sus familiares. Estos últimos datos podrían estar todavía en nuestros registros en caso de que los administradores de viajes, a pedido del colega, los ayudaran a obtener una visa.

Nombre y apellidos, fechas de inicio y finalización del trabajo, correo electrónico personal e información sobre proyectos, conservamos durante tres años. Lo mismo ocurre con los resultados de los aprendices, los comentarios de los directores de proyectos y los mentores. El RGPD y otros actos legales permiten a las empresas retener datos personales de ex empleados "durante el tiempo que sea necesario", y la política interna de DataArt establece un período de tres años. El hecho es que durante este tiempo la mayor parte de la información suele volverse irrelevante. Cualquiera de nuestros compañeros, becarios o candidatos, consigue mejorar notablemente su nivel profesional. En este caso, es más fácil comenzar a reencontrarse con una pizarra limpia.

Solo el nombre, apellido, cargo, fechas de ingreso y salida de la empresa permanecen en el sistema para siempre. A veces, los ex empleados necesitan esta información. Por ejemplo, recientemente un colega que trabajó en DataArt hace más de diez años nos contactó para confirmar su experiencia laboral como programador para inmigración a Canadá.

También estamos obligados a conservar toda la información sobre los pagos a cualquier persona que deje la empresa durante varios años. Esto es requerido por la legislación fiscal. No tenemos derecho a eliminar dichos datos a nuestro exclusivo criterio.

Por cierto, si desea eliminar toda la información sobre usted de Facebook u otra red social, esta última está obligada a destruir cualquier dato que haya compartido con ella. Sin embargo, si compró publicidad u otros servicios allí, los detalles de su relación financiera se guardarán durante el período establecido por la ley.

¿Por qué todo el mundo se está volviendo loco con esto de los datos personales?

No todos los ingenieros que trabajan con grandes cantidades de datos en cuentas de inversión o diagnósticos médicos de usuarios se dan cuenta de cuánto esto último depende de sus decisiones. A veces, la necesidad de una autorización adicional es molesta, pero nos gustaría que la comunidad de IT en su conjunto tratara los requisitos de seguridad con comprensión.

Es por eso que nos alegra que nuestros colegas sean cuidadosos y se preocupen por la seguridad de sus propios datos personales. Queremos que todos los procesos de nuestro trabajo con información personal sean lo más transparentes posible y cualquier empleado de DataArt sepa dónde, cómo y para qué se almacena su pasaporte o número de cuenta personal. Esperamos que los esfuerzos de las empresas motiven a los propios ingenieros a tratar la DP con más cuidado: no publique números de teléfono y correos electrónicos en las redes sociales, no olvide los pasaportes en los escáneres de oficina y lea los acuerdos de los usuarios conectándose a redes desconocidas. Después de todo, piratear a cualquiera de nosotros representa una amenaza para nuestras bases de datos internas, sistemas de clientes y la reputación de toda la industria.