Redes sociales en procesos de selección: WhatsApp y LinkedIn según la AEPD

Introducción: La posición de la AEPD sobre redes sociales

En el apartado de selección de personal y redes sociales, la Agencia Española de Protección de Datos (AEPD) ha establecido una posición clara y contundente: las personas no están obligadas a permitir que la persona empleadora indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Esta aclaración es fundamental para entender los límites que establece la normativa de protección de datos en el uso de redes sociales en el ámbito laboral.

Esta posición de la AEPD responde a una realidad cada vez más común en los procesos de selección: el uso de plataformas como LinkedIn, WhatsApp, Facebook, Instagram y otras redes sociales para obtener información sobre los candidatos. Sin embargo, el hecho de que estas plataformas sean de uso generalizado no significa que los empleadores puedan utilizarlas libremente para recopilar información sobre los candidatos sin cumplir con la normativa de protección de datos.

La guía de la AEPD establece que, aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, esto no autoriza automáticamente al empleador a efectuar un tratamiento de los datos obtenidos por esa vía. El empleador debe contar con una base jurídica válida, informar al candidato sobre el tratamiento, y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Esta es una distinción importante que muchas empresas no tienen clara.

Base jurídica válida: requisito indispensable

Según la normativa de protección de datos, cualquier tratamiento de datos personales requiere una base jurídica válida. En el contexto de la consulta de redes sociales durante procesos de selección, esto significa que el empleador no puede simplemente acceder a los perfiles de los candidatos porque estos sean públicos. Debe existir una justificación legal clara para el tratamiento de esos datos.

Las bases jurídicas más comunes en procesos de selección son: el consentimiento del interesado, la ejecución de medidas precontractuales a solicitud del interesado, o el interés legítimo del responsable. Sin embargo, cada una de estas bases tiene requisitos específicos que deben cumplirse. Por ejemplo, si se invoca el consentimiento, este debe ser libre, específico, informado e inequívoco, y el candidato debe poder retirarlo en cualquier momento sin que esto afecte a la licitud del tratamiento realizado con anterioridad.

Es importante destacar que la mera existencia de un perfil público en una red social no constituye automáticamente una base jurídica válida para el tratamiento de los datos contenidos en ese perfil. El empleador debe poder justificar por qué necesita acceder a esa información, cómo se relaciona con el puesto de trabajo, y qué medidas va a adoptar para garantizar que el tratamiento se realiza de manera adecuada y segura.

Perfiles públicos: ¿significa acceso libre?

Una de las confusiones más comunes es pensar que si un perfil de red social es público, el empleador puede acceder libremente a él y utilizar la información que encuentre. Sin embargo, la AEPD es clara al respecto: aunque el perfil sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida.

El hecho de que una información sea pública no significa que pueda ser tratada libremente por cualquier persona o entidad. La normativa de protección de datos se aplica independientemente de si la información es pública o privada. Lo que importa es si se está realizando un tratamiento de datos personales, es decir, si se están recopilando, almacenando, utilizando o comunicando datos personales de manera estructurada.

Por tanto, aunque un candidato tenga un perfil público en LinkedIn o en cualquier otra red social, el empleador no puede simplemente acceder a ese perfil, copiar la información, almacenarla en sus sistemas, o utilizarla para tomar decisiones sobre la contratación sin cumplir con los requisitos establecidos en la normativa de protección de datos. Esto incluye la necesidad de informar al candidato sobre el tratamiento y de contar con una base jurídica válida.

LinkedIn en procesos de selección

LinkedIn se ha convertido en una de las plataformas más utilizadas en procesos de selección. Muchos profesionales mantienen perfiles públicos en LinkedIn precisamente para facilitar su búsqueda de empleo y para que los reclutadores puedan encontrarles. Sin embargo, esto no significa que los empleadores puedan tratar los datos de LinkedIn sin cumplir con la normativa de protección de datos.

Cuando un empleador accede al perfil de LinkedIn de un candidato, está realizando un tratamiento de datos personales. Esto incluye no solo la información visible en el perfil, sino también cualquier información que se derive de la consulta, como la fecha y hora de acceso, el número de visitas, o cualquier otra información que LinkedIn proporcione al empleador a través de sus herramientas de reclutamiento.

Para que el tratamiento de datos de LinkedIn sea lícito, el empleador debe: informar al candidato de que va a consultar su perfil de LinkedIn, indicar la finalidad de la consulta, establecer la base jurídica del tratamiento, y demostrar que la consulta es necesaria y pertinente para evaluar la idoneidad del candidato para el puesto. Además, si el empleador va a almacenar información del perfil de LinkedIn en sus sistemas, debe informar específicamente sobre esto y obtener el consentimiento del candidato si es necesario.

Es importante destacar que LinkedIn ofrece herramientas específicas para reclutadores, como LinkedIn Recruiter, que están diseñadas para facilitar el proceso de selección. Sin embargo, el uso de estas herramientas no exime al empleador de cumplir con la normativa de protección de datos. El empleador debe asegurarse de que el uso de estas herramientas se realiza de manera que se respetan los derechos de los candidatos y se cumple con todas las obligaciones establecidas en el RGPD y la LOPDGDD.

WhatsApp en procesos de selección

El uso de WhatsApp en procesos de selección ha aumentado significativamente en los últimos años, especialmente para la comunicación inicial con los candidatos. Sin embargo, el uso de WhatsApp plantea cuestiones específicas en materia de protección de datos que los empleadores deben tener en cuenta.

Cuando un empleador contacta con un candidato a través de WhatsApp, está tratando datos personales, incluyendo el número de teléfono del candidato, que es un dato personal según la normativa de protección de datos. Además, si el empleador accede al perfil de WhatsApp del candidato (que puede incluir información como la foto de perfil, el estado, o la última vez que estuvo en línea), también está tratando datos personales.

Para que el uso de WhatsApp en procesos de selección sea lícito, el empleador debe: informar al candidato de que va a utilizar WhatsApp para comunicarse con él, indicar la finalidad del tratamiento (comunicación durante el proceso de selección), establecer la base jurídica del tratamiento, y garantizar que el número de teléfono se obtiene de manera lícita (por ejemplo, porque el candidato lo ha proporcionado en su currículum o en un formulario de solicitud).

Es importante destacar que el empleador no debe utilizar WhatsApp para acceder a información adicional sobre el candidato que no haya sido proporcionada voluntariamente. Por ejemplo, no debe intentar acceder a la foto de perfil, al estado, o a cualquier otra información del perfil de WhatsApp del candidato sin su conocimiento y consentimiento. Además, el empleador debe asegurarse de que el uso de WhatsApp se realiza de manera segura, protegiendo los datos personales del candidato y cumpliendo con las medidas de seguridad establecidas en la normativa.

Otra consideración importante es que WhatsApp es una aplicación de mensajería instantánea que puede almacenar conversaciones y datos personales. El empleador debe informar al candidato sobre cómo se van a tratar estas conversaciones, durante cuánto tiempo se van a conservar, y qué medidas se van a adoptar para garantizar la seguridad de los datos. Además, si el empleador va a almacenar las conversaciones de WhatsApp en sus sistemas, debe informar específicamente sobre esto y obtener el consentimiento del candidato si es necesario.

Solicitar 'amistad' o acceso a perfiles: práctica no legitimada

La AEPD ha sido especialmente clara sobre una práctica que se ha vuelto común en algunos procesos de selección: solicitar 'amistad' o conexión en redes sociales para acceder a contenidos privados del perfil del candidato. La Agencia aclara que la empresa no está legitimada para solicitar 'amistad' a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles.

Esta práctica es problemática desde el punto de vista de la protección de datos por varias razones. En primer lugar, cuando un candidato acepta una solicitud de amistad o conexión, puede estar proporcionando acceso a información que no estaba destinada a ser vista por un empleador potencial, como fotos personales, publicaciones privadas, o información sobre su vida personal. Esta información puede no ser relevante para evaluar la idoneidad del candidato para el puesto, y su tratamiento puede vulnerar el principio de minimización de datos.

En segundo lugar, la solicitud de amistad o conexión puede crear una situación de presión para el candidato, que puede sentirse obligado a aceptar la solicitud para no perjudicar sus posibilidades de obtener el empleo. Esto puede hacer que el consentimiento no sea verdaderamente libre, lo que invalidaría cualquier base jurídica basada en el consentimiento.

Por tanto, los empleadores deben abstenerse de solicitar conexiones o amistades en redes sociales a los candidatos durante el proceso de selección. Si necesitan información sobre el candidato que solo está disponible en perfiles privados, deben solicitarla directamente al candidato y explicar por qué es necesaria, en lugar de intentar acceder a ella a través de solicitudes de amistad o conexión.

Obligación de informar al candidato

Una de las obligaciones más importantes que establece la normativa de protección de datos es la obligación de informar al candidato sobre el tratamiento de sus datos personales. Esta obligación se aplica también cuando el empleador va a consultar perfiles de redes sociales del candidato.

El empleador debe informar al candidato de manera clara y comprensible sobre: la identidad del responsable del tratamiento, las finalidades del tratamiento (por ejemplo, evaluar la idoneidad del candidato para el puesto), la base jurídica del tratamiento, los destinatarios de los datos (si se van a compartir con terceros), el plazo de conservación de los datos, y los derechos que asisten al candidato (acceso, rectificación, supresión, oposición, limitación del tratamiento, y portabilidad de datos).

Esta información debe proporcionarse antes de que se inicie el tratamiento, es decir, antes de que el empleador acceda a los perfiles de redes sociales del candidato. Si el empleador ya ha accedido a los perfiles sin informar previamente al candidato, debe informarle lo antes posible y, si es necesario, obtener su consentimiento o establecer otra base jurídica válida para el tratamiento.

La información debe proporcionarse de manera que sea fácilmente accesible y comprensible para el candidato. Esto puede hacerse a través de la política de privacidad del sitio web de la empresa, en el formulario de solicitud de empleo, o en cualquier otro documento que se proporcione al candidato durante el proceso de selección. Lo importante es que el candidato tenga la oportunidad de conocer cómo se van a tratar sus datos antes de que se inicie el tratamiento.

Necesidad y pertinencia del tratamiento

Además de contar con una base jurídica válida e informar al candidato, el empleador debe poder demostrar que el tratamiento de los datos obtenidos de las redes sociales es necesario y pertinente para desempeñar el trabajo. Esto significa que el empleador debe poder justificar por qué necesita acceder a los perfiles de redes sociales del candidato y cómo la información obtenida se relaciona con la evaluación de la idoneidad del candidato para el puesto.

La necesidad del tratamiento se refiere a que el acceso a los perfiles de redes sociales debe ser estrictamente necesario para cumplir con la finalidad del tratamiento, que en este caso sería evaluar la idoneidad del candidato para el puesto. Si la información necesaria para evaluar al candidato puede obtenerse de otras fuentes (como el currículum, las referencias, o las entrevistas), el acceso a los perfiles de redes sociales puede no ser necesario.

La pertinencia del tratamiento se refiere a que la información obtenida de los perfiles de redes sociales debe ser relevante para evaluar la idoneidad del candidato para el puesto. Por ejemplo, si el puesto requiere habilidades de comunicación o presencia en redes sociales, puede ser pertinente consultar el perfil de LinkedIn del candidato para evaluar estas habilidades. Sin embargo, acceder a información sobre la vida personal del candidato que no tiene relación con el puesto no sería pertinente.

El empleador debe documentar la justificación de la necesidad y pertinencia del tratamiento, ya que puede ser necesario demostrarlo en caso de una inspección de la AEPD o de una reclamación del candidato. Esta documentación debe incluir: la finalidad del tratamiento, la relación entre la información obtenida y la evaluación del candidato, y las medidas adoptadas para garantizar que solo se trata la información necesaria y pertinente.

Conclusión y recomendaciones

La posición de la AEPD sobre el uso de redes sociales en procesos de selección es clara: los empleadores no pueden acceder libremente a los perfiles de redes sociales de los candidatos, incluso si estos son públicos. El empleador debe contar con una base jurídica válida, informar al candidato sobre el tratamiento, y demostrar que el tratamiento es necesario y pertinente para evaluar la idoneidad del candidato para el puesto.

En el caso específico de plataformas como LinkedIn y WhatsApp, que se han convertido en herramientas habituales en los procesos de selección, los empleadores deben ser especialmente cuidadosos de cumplir con la normativa de protección de datos. Esto incluye informar a los candidatos sobre el uso de estas plataformas, establecer bases jurídicas válidas para el tratamiento, y garantizar que solo se trata la información necesaria y pertinente.

Los empleadores deben abstenerse de solicitar conexiones o amistades en redes sociales a los candidatos, ya que esta práctica no está legitimada y puede crear situaciones de presión que invalidan el consentimiento. Si necesitan información sobre el candidato, deben solicitarla directamente y explicar por qué es necesaria.

Finalmente, es importante que los empleadores documenten sus prácticas de uso de redes sociales en procesos de selección, incluyendo las bases jurídicas invocadas, las finalidades del tratamiento, y las medidas adoptadas para garantizar el cumplimiento de la normativa. Esta documentación no solo ayuda a cumplir con la normativa, sino que también puede servir como prueba en caso de una inspección o reclamación.