LA CONSULTA DE UN PERFIL EN RRSS PARA HACER ENVIOS COMERCIALES TE PUEDE SALIR CARO

La recopilación, de información publicada de una persona en una red social o, más generalmente, en Internet constituye un procesamiento de datos personales. En consecuencia, está sujeto a todos los principios, condiciones y reglas establecidos por la normativa en materia de protección de datos y por ende a su régimen sancionador.

Por tanto, aunque el perfil en las redes sociales de una persona sea de acceso público, para que se pueda efectuar un tratamiento de los datos obtenidos por esa vía es necesario contar con una base jurídica válida que nos ampare, en virtud del artículo 6 RGPD.

Es opinión generalizada por la Agencia Española de Protección de Datos (AEPD), que Internet es un canal de comunicación y no un medio, y, por tanto, no tiene la consideración de fuente accesible al público(aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa). Los datos del perfil de una red social por tanto no tienen la consideración de fuentes de acceso público y la información recopilada a través de estas no puede utilizarse para cualquier finalidad, tal y como expusimos y analizamos de forma detallada en una entrada anterior a este blog en la que la AEPD sancionó a una academia por publicar en su web los resultados de un proceso selectivo procedentes de la web de la entidad convocantes.

Pues bien, esto es lo que acaeció de nuevo en una reciente resolución de la AEPD en la que se ha sancionado a una entidad que, tras el acceso al perfil de LinkedIn del ahora denunciante y el consiguiente tratamiento de sus datos de contacto, envió un correo electrónico con fines comerciales, incorporando sus datos personales a su base de datos para remitirle información comercial, pese a no contar con su previo consentimiento.

Por su parte la entidad reclamada dando respuesta en sus alegaciones manifiesta que ha cumplido con la legislación y normativa aplicable en materia de protección de datos al informar al afectado a través de su política de privacidad de cómo se estaban tratando sus datos como consecuencia de que había enviado su Currículum Vitae (en adelante CV) o porque habían accedido al mismo a través de (LinkedIn), habiendo incorporado sus datos personales a su base de datos (si bien el afectado asegura que no ha enviado su CV a esa empresa). Asimismo, considera la entidad reclamada que es necesario tener en cuenta que la entidad no tiene el CV, que se puso en contacto con él en función de su perfil de LinkedIn, y que no consta que el afectado se haya puesto en contacto con la entidad para quejarse o solicitar que se eliminen sus datos personales de su base de datos.

Ante estas alegaciones la AEPD, contesta a la parte reclamada y le impone una sanción de 5000 euros por Infracción art 21.1 LSSI por envío de email con fines comerciales sin consentimiento.

La LSSI, en su art. 21.1.– Prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

La LSSI, parte de un concepto de comunicación comercial que se califica como servicio de la sociedad de la información y que se define en su Anexo de la siguiente manera:

“f) Comunicación comercial»: toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

De tal forma que él envió de comunicaciones comerciales no solicitadas como es el supuesto analizado, fuera del supuesto excepcional del 21.2 LSSI (en la medida en que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente), constituyendo una infracción leve o grave de la LSSI. Así las cosas, se sanciona finalmente por infracción leve a la entidad con 4.000€ por reducción del 20% por pronto pago.

A mayor abundamiento, por su estrecha relación con el supuesto analizado enlazamos lo sucedido en este procedimiento con los procesos de selección y contratación de personal, donde un empleador, en base a tener un interés legítimo en comprobar si las personas candidatas a un puesto de trabajo cuentan con la experiencia y cualificación requerida accede al perfil de la red social de un posible candidato.

¿Puede un empleador indagar en los perfiles de las redes sociales de los posibles candidatos a un puesto de trabajo? ¿en qué supuestos? ¿con que finalidad?

El uso de redes sociales está muy extendido y es relativamente común que los perfiles de usuario sean visibles públicamente, dependiendo de la configuración elegida por el titular de la cuenta, cualquier reclutador puede pensar que la inspección de los perfiles sociales de los posibles candidatos durante el proceso de selección puede estar justificada. Sin embargo, los reclutadores no deben asumir que simplemente porque el perfil de una persona en las redes sociales sea de acceso público, está permitido que traten esos datos para sus propios fines.

Las personas candidatas y las personas trabajadoras no están obligadas a permitir la indagación del empleador en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo se justifica si están relacionados con fines profesionales y se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo, y en todo caso la persona trabajadora tiene derecho a ser informada sobre ese tratamiento en los términos previstos en los artículos artículo 12, 13 y 14 del RGPD.

La recopilación por parte de un empleador de datos relativos a los posibles candidatos a un puesto de trabajo, puede utilizarse por ejemplo con la finalidad de evaluar la capacidad de un candidato para desempeñar un puesto de trabajo o para medir sus aptitudes profesionales (cualificación, experiencia, etc.).

Eso sí, se debe tener especial cuidado en consultar únicamente contenidos estrictamente relacionados con la actividad profesional del candidato, consultándose únicamente aquellos datos que sean relevantes y estrictamente relacionados con la actividad profesional de los candidatos, como son los perfiles en una red social profesional. En todo caso la fiabilidad de los datos consultados por iniciativa del empleador/reclutador, y cuya exactitud no haya sido confirmada por el candidato, debe ser objeto de una evaluación crítica.

Asimismo, debemos tener en cuenta que las propias plataformas en línea pueden imponer restricciones. De hecho, no es raro que estas plataformas establezcan cláusulas contractuales que regulan con frecuencia la forma en que los usuarios de los servicios de estas plataformas (incluidos los reclutadores en particular) pueden utilizar los datos contenidos en las mismas, prohibiendo copiar, utilizar, divulgar o distribuir cualquier información obtenida de los servicios que prestan las mismas, ya sea de forma directa o a través de terceros (como los motores de búsqueda), sin el consentimiento de la plataforma.

¿Podemos reutilizar los datos recopilados a través de las RRSS de un candidato para otro fin?

La información recopilada para una finalidad específica no puede reutilizarse para otro fin que sea incompatible, es decir, fundamentalmente diferente o ajena a la finalidad inicial.

En este sentido también se pronuncia el artículo 6.4 del RGPD, al establecer que cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Por tanto, volviendo al supuesto analizado al inicio de este post, podemos entender que los datos se recopilaron y procesaron para cumplir con el propósito inicial de buscar perfiles relevantes para un puesto de trabajo. Una reutilización de estos mismos datos para realizar una campaña de prospección comercial no podría considerarse compatible con la finalidad del tratamiento inicial en relación con estos criterios y, en particular, la ausencia de vinculación entre las finalidades y el contexto en el que se recopilan los datos.

En conclusión, una entidad podría revisar las redes sociales de un candidato y hacer uso de la información extraída, pero con ciertas restricciones y siempre contando con una base de legitimación válida.

Si quieres saber más sobre relaciones laborales y protección de datos en la selección y contratación de personal pincha aquí