Verificación de antecedentes que respeta la privacidad de un candidato

Me pidieron que autorizara una verificación de antecedentes. La empresa que realiza el control se llama GoodHire. Su carta de autorización era bastante inocua. Indicó que el candidato autorizó el cheque. Cuando revisé la política de privacidad de GoodHire, descubrí que era obscena . La empresa proporcionó una lista de formas en que iban a compartir información privada con otras personas que no estaban autorizadas en la carta.

Muy astuto. Rechacé la autorización.

La empresa y yo ahora necesitamos encontrar una manera de realizar una verificación de antecedentes que respete la privacidad de un candidato. En particular, la información proporcionada es para fines de verificación de antecedentes y nada más. No se aprueban usos adicionales, ni se filtra información a terceros ni se comparte información con intermediarios de datos.

¿Cómo se obtiene una verificación de antecedentes que no filtre información a empresas externas ni comparta información con intermediarios de datos?

Estoy bastante seguro de que esto se puede hacer. He tenido autorizaciones tanto de confianza pública como de alto secreto en el pasado, y ninguna involucró la filtración de información a terceros. Simplemente no sé cómo obtener el mismo nivel de diligencia fuera de EE. UU. Federal o del Departamento de Defensa de EE. UU.

Gracias @Joe. La empresa y yo estamos en la misma página. Estamos teniendo problemas para encontrar una empresa que realice la verificación de antecedentes en términos razonables. ¿Sabe qué empresa o firma usa el gobierno federal de EE. UU. o el Departamento de Defensa de EE. UU.? Supongo que alguien con experiencia en recursos humanos en la vertical probablemente lo sepa.
@JoeStrazzere "La actividad de defensa conocida como Oficina de Autorización de Seguridad Industrial de Defensa (DISCO) es parte del Servicio de Seguridad de Defensa (DSS), una agencia de DISCO que procesa y adjudica Autorizaciones de Personal". military.com/veteran-jobs/security-clearance-jobs/…
"en el pasado, y ninguno involucró la filtración de información a partes externas". - Si ha tenido autorizaciones secretas y ultrasecretas, su información se ha filtrado a terceros (violación de datos de OPM que afectó a todos los empleados del Departamento de Defensa). Sin embargo, el comentario anterior sobre el DoD que realiza sus propias verificaciones de antecedentes a través de OPM es correcto. Por cierto, la página vinculada no es información precisa para empleados gubernamentales directos (por lo que no se aplicaría al empleo anterior (DoD) del autor).
¿Qué parte te parece tan objetable? Parece que comparten PII "Con nuestros proveedores de servicios, pero solo en la medida necesaria para brindarle servicios", lo cual es cierto literalmente para cualquier empresa que no posee el 100% de su propia infraestructura. Si utilizan AWS, GCP, Rackspace o cualquier otra empresa de alojamiento para ejecutar sus servidores, necesitan algo así. El DOD ciertamente puede ejecutar y ejecuta gran parte de su propia infraestructura, pero la mayoría de las empresas no lo hacen.

Respuestas (4)

Esta política de privacidad es perfectamente normal. Tienes estándares irrazonables.

Esta es la sección que creo que describe mejor lo que hacen.

Tabla de intercambio de información de la política de privacidad

Las dos primeras filas son la información personal del candidato y la información con la que sería más cauteloso. La primera fila es la información de su cuenta, y las únicas partes con las que la comparten son aquellas que utilizan para proporcionar directamente los servicios. Por ejemplo, si utilizan un tercero para alojar su sitio web, entonces su información deberá proporcionarse al tercero para crear la cuenta. Probablemente haya una cláusula similar para cualquier sitio web en el que cree una cuenta de usuario.

La segunda fila es su identificación gubernamental, que ciertamente es confidencial, pero solo la comparten para que puedan verificar su identidad. Si no saben quién es usted, entonces no pueden realizar una verificación de antecedentes. Realmente no hay forma de evitar esto.

Las últimas tres filas son toda la información que casi cualquier sitio web recopila simplemente al visitar el sitio. Si le preocupa que esta información salga a la luz, probablemente debería dejar de leer esto y desconectarse de Internet por completo.

No soy un experto en seguridad, así que siéntete libre de verificar esto en Security SE , pero creo que obtendrás una respuesta bastante similar. La única forma de evitar estas "fugas" de datos es haciendo la verificación de antecedentes usted mismo.

Gracias @David. No me gustó la letra pequeña de "nuestros proveedores de servicios". Comparten la información con su empresa matriz y sus socios, que son libres de compartir con sus socios, hasta el infinito . Realmente deberían llamarlo Política de uso compartido en lugar de Política de privacidad . Bienvenido a los Estados Unidos de América Corporativa, supongo...
@jww ¿Dónde dice que son libres de compartirlo con sus socios hasta el infinito? Para la empresa matriz, los datos se almacenan en sus servidores. Los terceros están "requeridos para asegurar su información y solo usarla para proporcionar los servicios descritos".
Gracias de nuevo @David. "La única manera de sortear estas "fugas" de datos es haciendo la verificación de antecedentes usted mismo" - Sí, básicamente llegamos a la misma conclusión. Envié los enlaces de la empresa a la Administración de Vehículos Motorizados e Investigaciones de Antecedentes proporcionados por los estados en los que he vivido. Simplemente ordenaremos los informes nosotros mismos. Parece que también será más barato.
Con respecto a "siéntase libre de verificar esto en Security SE..." - De hecho, tengo algo de experiencia en la materia. Trabajé como arquitecto de seguridad en US Financial para tres bancos de inversión (entre otras verticales, como DoD). Sé exactamente lo que sucede aquí porque he revisado estos sistemas. También ayudé en la edición técnica de Engineering Security de Peter Gutmann , que es uno de los dos libros sobre el tema de la construcción de sistemas seguros. Mis estándares son acordes con el conocimiento que tengo. No son arbitrarios ni irrazonables.
No hay letra pequeña en "nuestros proveedores de servicios", ¿de qué demonios estás hablando?
@DetectivePikachu - Hazme ping sin conexión en noloader , cuenta de gmail. Compartiré mi correo electrónico con GoodHire y su respuesta. Mi pedido fue bastante simple. Solicitó la lista detallada de proveedores, la información exacta que se iba a compartir con cada proveedor y pidió confirmación positiva de que la información no se compartiría con otros proveedores y los socios no compartirían ninguna información. GoodHire no respondió las preguntas ni confirmó que no se compartiría más la información. Ciertamente no debería llamarse Política de privacidad .

TLDR: Eso es bastante estándar y no tienen permiso para vender su PII utilizada para verificaciones de antecedentes.

Como alguien que trabaja en la industria de verificación de antecedentes, lo que digo "con suerte" tendrá algo de peso.

Si se encuentra en los Estados Unidos, la FCRA (Ley Federal de Informes de Crédito) cubre los derechos de las personas cuyos antecedentes se están verificando. La FCRA tiene pautas estrictas que deben cumplirse, incluida la divulgación de cómo se utilizará la información y qué información se puede compartir. Goodhire está acreditado y cumple con la FCRA, lo que no es fácil de hacer y requiere un cumplimiento estricto de la FCRA, junto con auditorías para garantizar el cumplimiento de la FCRA.

La FCRA se desarrolló para proteger a los consumidores, y las CRA (como Goodhire) reciben multas de un mínimo de $1,000 por cada incumplimiento de la FCRA. Esto los disuade mucho de usar sus datos incorrectamente. Muchas demandas contra una CRA se convierten en demandas colectivas, y sus bases de datos y sistemas se examinan para ver si hay otras violaciones cuando se encuentran. Como tal, sus datos están protegidos o puede ser parte de un acuerdo multimillonario (como el reciente acuerdo de Equifax).

La mayoría de las CRA utilizan o están integradas con un ATS (Sistema de seguimiento de solicitantes). Goodhire puede ser ambos en uno, pero a menudo una CRA comparte PII con ATS y viceversa para completar la verificación de antecedentes. Los proveedores de datos son otros terceros que utilizan la mayoría de las CRA. Estos proveedores albergan los antecedentes penales, registros de manejo, etc., y necesitan que su PII se comparta con ellos para hacer su trabajo. Los ATS y CRA están sujetos a las mismas normas y reglamentos de la FCRA para el uso de datos.

Espero que esta ayuda te lo aclare un poco.

+1 ¡Gran respuesta con buena experiencia para respaldarla!
Gracias @Nick. Probablemente estoy dividiendo pelos, pero no dije "vender" , dije "compartir" . La documentación del sitio establece claramente que lo hacen, aunque no se indica claramente en el formulario de autorización.
El intercambio de su PII al que se refieren sería a través de proveedores, sistemas ATS y CRA. Otros datos, como sus datos de navegación, son datos que ya existen en su sistema. Para mis propósitos anteriores, puede sustituir "vender" por "compartir". Su sección para compartir es bastante estándar e incluye PII solo cuando es necesario para que continúe la verificación de antecedentes. Con la acreditación FCRA no me preocuparía mucho. Muchas empresas exigen certificaciones de la FCRA para contratar una CRA para la verificación de antecedentes y no querrán perderla. (En general, por supuesto).

Como comentó @David, "La única manera de sortear estas "fugas" de datos es haciendo la verificación de antecedentes usted mismo" . Llegamos a la misma conclusión, y es lo que optamos por hacer. Un beneficio adicional es que los cheques cuestan alrededor de $75.00 en total. Era una fracción del precio que cobraban estas empresas de "RRHH como servicio" .

Proporcionaré los detalles aquí para otras personas que tengan inquietudes y problemas similares. También asume el historial de trabajo habitual y las verificaciones de referencias, ya que los departamentos de recursos humanos todavía lo hacen.

Primero, obtenga la lista no oficial de residencias del candidato. En mi caso viví en Atlanta GA, New York NY y Baltimore MD.

En segundo lugar, realice una prueba de humo rápida en el candidato visitando búsquedas de casos judiciales en línea. En mi caso, uno puede realizar una búsqueda de casos judiciales en:

Tercero, verifique la residencia utilizando registros de vehículos motorizados. Los registros de vehículos motorizados se pueden encontrar en el sitio web de la administración.

Cuarto, para cada estado, solicite una verificación de antecedentes del estado. En mi caso, aquí están las webs estatales.

Las verificaciones de antecedentes son gratuitas o tienen un precio razonable. Por ejemplo, Nueva York no cobra por los registros y Maryland cobra $18.00 por la verificación de antecedentes penales del estado y proporciona una verificación completa de antecedentes penales de forma gratuita.

No estamos seguros de cómo proceder con los registros financieros en este momento. Intenté obtener un informe de crédito del consumidor bajo la FCRA después de haber sido alertado sobre actividad fraudulenta hace varios años. Solicité el informe por teléfono y luego por escrito. Ninguna de las solicitudes se cumplió. (No creas la basura que lees sobre la FCRA. Puedo decir con certeza que no se proporcionarán).

Por un costo y esfuerzo mínimos, es relativamente fácil garantizar que los corredores de datos no obtengan ni difundan información personal sobre alguien. Los corredores de datos probablemente puedan proporcionar más detalles, como qué ingredientes prefiero para mi helado de vainilla, pero no son necesarios aquí.

Estoy leyendo las políticas que proporcionó en la sección "Cuándo compartimos su información" y nada suena tan mal. Creo que lo está malinterpretando y pensando que la empresa puede hacer lo que quiera con los datos PII. En cambio, la forma en que lo leo es que almacenarán los datos necesarios para realizar sus negocios y pagos. Eso es cierto con cualquier sitio web que visite, incluso Amazon está rastreando su información e incluso Stackoverflow está rastreando nuestro uso en este momento. Probablemente estén vendiendo esos datos a otras personas mientras hablamos. No es gran cosa y es dudoso, incluso con su nombre adjunto, que se pueda concluir algo significativo con dicha información.

Mi idea es llevar el acuerdo a los abogados de su empresa y preguntarles si está dentro de lo razonable. Esta es más una cuestión legal de contrato que una cuestión de lugar de trabajo.

Sin embargo, tienes derecho a ser paranoico. De hecho, varias grandes empresas encontraron recientemente bases de datos confidenciales disponibles en el espacio abierto de la nube a las que cualquiera puede conectarse y consultar. Pero por eso existen las protecciones de crédito y demás, algo que escapa al control de una simple empresa de investigación.

Verificación de antecedentes que respeta la privacidad de un candidato
RespuestasAquíPolítica de privacidad1y, 0v