Ir al contenido
Ver todas las entradas

CPRA: Los empleados y la Nueva ley de privacidad de California

California ha estado preparando el escenario para una nueva reforma integral Leyes y requisitos de privacidad en los EE. UU. Esto empezó con la colocación de la primera piedra Ley de Privacidad del Consumidor de California (“CCPA”) que proporcionó a los consumidores de California varios derechos de privacidad de datos. California se ha convertido en un pionero al ser el primer (y hasta ahora único) estado en brindar a los empleados una serie de derechos de privacidad.

"Consumidores de California" también debía incluir a los empleados; después de dos años la ley entró en vigor, pero con la aprobación de la Ley de Derechos de Privacidad de California (“CPRA”), que modificó y amplió significativamente los requisitos de la CCPA: la disposición sobre los derechos de los empleados ahora entrará en vigor el 1 de enero de 2023.

La Agencia de Protección de la Privacidad de California (CPPA) Todavía se están realizando sesiones informativas sobre la CPRA, y no se esperan las normas formales hasta finales de este año. Por lo tanto, las empresas tendrían un tiempo limitado para implementar nuevas normas. Con tanta incertidumbre, las empresas deberían tomar medidas prácticas para cumplir con las disposiciones de la CPRA para empleados.

¿Quién es un empleado?

En el contexto de la CPRA, los requisitos para los empleados incluyen a los residentes de California en sus roles como empleados de tiempo completo o parcial, solicitantes de empleo, contratistas independientes y otros roles relacionados con el trabajo ("Empleados"). Dado que muchas empresas han ofrecido cada vez más opciones de trabajo remoto durante y después de la pandemia, deben determinar qué empleados estarían sujetos a la CPRA.

El derecho a la privacidad del [empleado]

El aspecto más novedoso de la ley californiana es que los derechos de privacidad otorgados a los consumidores también se extenderán a los empleados. Estos incluyen:

  • El derecho a saber
  • El derecho a corregir información inexacta
  • El derecho a eliminar información personal que posee la empresa, o un tercero de la empresa en nombre de la empresa.
  • El derecho a optar por no vender o compartir datos
  • El derecho a limitar el uso y la divulgación de información personal confidencial de los empleados
  • Y, lo que es más importante, el derecho a no sufrir represalias por ejercer estos derechos.

Una de las tareas más importantes será evaluar y responder con prontitud a las solicitudes de derechos de los empleados, atendiéndolas o determinando si corresponde una excepción. Las empresas deberán desarrollar un proceso detallado para gestionar las solicitudes de derechos de los empleados, de modo que se verifiquen, acepten o denieguen, total o parcialmente, y se respondan de manera oportuna.

Algunos de los derechos pueden ejercerse mediante un modelo de autoservicio. Por ejemplo, muchas empresas ya permiten a los empleados actualizar o corregir la información que la empresa ya posee sobre ellos. En otros casos, algunos de los derechos de los empleados podrían no aplicarse en absoluto a la población de empleados. Por ejemplo, si una empresa no vende datos a ningún proveedor, no existe la obligación de otorgarles el derecho a optar por no participar en la venta de datos.

Además, es probable que existan excepciones legales en las que las empresas puedan basarse, ya que los derechos de privacidad de los empleados no tienen por objeto afectar la necesidad legítima de una empresa de seguir procesando y conservando cierta información personal de sus empleados. Por ejemplo, la solicitud de un empleado de eliminar información personal no es definitiva, ya que un empleador puede conservar información personal como el nombre, la dirección y la información bancaria, ya que esta información es necesaria para cumplir con un contrato de trabajo vigente.

Consumidores ≠ Empleados

Los derechos existentes de la CCPA para los consumidores de California podrían no aplicarse de la misma manera en el contexto laboral. Un buen ejemplo de Baker Holister es el derecho de la CPRA a limitar el uso y la divulgación de Información Personal Sensible ("IPS"). Según la interpretación literal del estatuto, este derecho solo aplica a los datos recopilados con el "propósito de inferir características" (§1798.121(a)). Las empresas generalmente no recopilan IPS con el propósito de inferir características de sus empleados; en cambio, en el contexto laboral, la IPS se procesaría típicamente para cumplir con responsabilidades relacionadas con RR. HH., como el procesamiento de nóminas y beneficios. La CPRA permite tratar la información no recopilada con el propósito de inferir características como "información personal" en todas las secciones de la CPRA. A menos que futuras regulaciones establezcan lo contrario, esto reduce la carga para la empresa, ya que podría no ser necesario incluir el derecho a limitar el uso y la divulgación de IPS en el proceso de solicitudes de la CPRA.

Todo Estados Unidos o solo California:

Si bien muchas empresas ahora ofrecen derechos al consumidor independientemente de su ubicación, existen opiniones encontradas en cuanto a si los derechos de los empleados deberían limitarse únicamente a los empleados residentes en California. Es posible que estados fuera de California aprueben leyes de privacidad con requisitos específicos para sus empleados residentes. Además, existe el riesgo de que los empleados abusen de los derechos de la CPRA para obtener información que podría utilizarse en una acción legal contra la empresa. Este ha sido un problema recurrente en el contexto del RGPD, y es algo que las empresas estadounidenses deben tener en cuenta.

4 pasos hacia el cumplimiento:

1. Realice un ejercicio de mapeo de datos: Las empresas deben realizar un mapeo de datos de sus sistemas de RR. HH. para determinar qué información personal recopilan sobre sus empleados, por qué la recopilan y cómo podría compartirse con terceros. Este paso fundamental permitirá a las empresas comprender qué debe y qué no debe proporcionarse en una solicitud de derechos de datos.

2. Almacenamiento de datos de empleados: Como parte del mapeo de datos, las empresas deberán considerar cómo gestionan y almacenan los datos de sus empleados, ya que estos suelen gestionarse por separado de los sistemas de gestión de clientes. La mayoría de las empresas almacenan y gestionan los datos de consumidores y empleados en sistemas completamente separados, y cada departamento es responsable de la gestión de cada tipo de datos.

3. Revise los avisos a los empleados: La CCPA exige que las empresas notifiquen a sus empleados sobre los datos que recopilan y cómo se utiliza dicha información. Si bien no se ha proporcionado un modelo de aviso bajo la CCPA ni la CPRA, el aviso debe describir las categorías de información personal que se recopilarán y los fines para los cuales se utilizarán dichas categorías. El aviso de privacidad debe entregarse a los empleados en el momento de la recopilación o antes, e incluir una copia o un enlace a la política de privacidad de la empresa. Si bien gran parte de esto puede abordarse durante la incorporación de los empleados, los equipos empresariales deberán crear procedimientos operativos estándar para determinar cuándo deben entregarse estos avisos, ya que cada nuevo uso sustancial de los datos puede requerir un nuevo aviso para los empleados.

4. Medidas de seguridad: Al igual que con los datos de los consumidores, la CPRA exige a las empresas proteger los datos de sus empleados. Al igual que con los datos de los consumidores, las empresas también deben saber que los residentes de California pueden reclamar daños y perjuicios legales, que van desde $100 hasta 750, si se produce una vulneración de información personal confidencial.

Cómo BigID ayuda con los datos de empleados de CPRA (b2e)

BigID ayuda a las organizaciones a adaptarse a los cambios específicos de CCPAAproveche BigID para lograr el cumplimiento total de la CPRA mediante nuestro portal de autoservicio y cumplimiento automatizado de DSAR para Cumplimiento de la CPRACon BigID, las organizaciones pueden:

 

Contenido