A Califórnia vem preparando o cenário para uma nova e abrangente leis e requisitos de privacidade nos EUA. Tudo começou com a inovação Lei de Privacidade do Consumidor da Califórnia (“CCPA”) que forneceu aos consumidores da Califórnia vários direitos de privacidade de dados. A Califórnia se tornou uma criadora de tendências por ser o primeiro (e até agora o único) estado a fornecer aos funcionários uma série de direitos de privacidade.
“Consumidores da Califórnia” também deveria incluir funcionários; após dois anos, a lei entrou em vigor, mas com a aprovação da Lei de Direitos de Privacidade da Califórnia (“CPRA”), que alterou e expandiu significativamente os requisitos do CCPA – a disposição dos direitos dos funcionários entrará em vigor em 1 de janeiro de 2023.
Agência de Proteção à Privacidade da Califórnia (CPPA) O CPRA ainda está realizando sessões informativas sobre o CPRA, e as regras formais não são esperadas até o final deste ano. Como resultado, as empresas terão tempo limitado para implementar quaisquer novas regras. Com tanta incerteza no ar, as empresas devem tomar medidas práticas para garantir a conformidade com as disposições do CPRA para funcionários.
Quem é um funcionário?
No contexto do CPRA, os requisitos para funcionários incluem residentes da Califórnia em suas funções como funcionários em tempo integral/parcial, candidatos, contratados independentes e outras funções relacionadas ao trabalho ("Funcionários"). Como muitas empresas têm oferecido cada vez mais opções de trabalho remoto durante/desde a pandemia, elas precisam determinar quais funcionários estarão sujeitos ao CPRA.
O direito [do empregado] à privacidade
O aspecto mais inovador da lei da Califórnia é que os direitos de privacidade concedidos aos consumidores também serão estendidos aos funcionários. Estes incluem:
- O direito de saber
- O direito de corrigir informações imprecisas
- O direito de excluir informações pessoais mantidas pela empresa – ou por terceiros da empresa em nome da empresa
- O direito de optar por não participar da venda ou compartilhamento de dados
- O direito de limitar o uso e a divulgação de informações pessoais sensíveis dos funcionários
- E, mais importante, o direito de não sofrer retaliações por exercer esses direitos.
Uma das tarefas mais significativas será avaliar e responder rapidamente às solicitações de direitos dos funcionários, atendendo-as ou determinando se uma exceção aplicável se aplica. As empresas precisarão desenvolver um processo detalhado para regular as solicitações de direitos dos funcionários, de modo que sejam verificadas, aceitas ou negadas, parcial ou integralmente, e respondidas em tempo hábil.
Alguns dos direitos podem ser exercidos por meio de um modelo de autoatendimento. Por exemplo, muitas empresas já oferecem aos funcionários a possibilidade de atualizar/corrigir informações que a empresa já possui sobre eles. Em outros casos, alguns dos direitos dos funcionários podem não se aplicar à população de funcionários. Por exemplo, se uma empresa não estiver "vendendo" dados a nenhum fornecedor, não há obrigação de conceder o direito de optar por não participar da venda de dados.
Além disso, provavelmente haverá exceções legais nas quais as empresas podem se basear, uma vez que os direitos de privacidade dos funcionários não visam afetar a necessidade legítima de uma empresa de continuar a processar e reter determinadas informações pessoais dos funcionários. Por exemplo, a solicitação de um funcionário para excluir informações pessoais não é absoluta, pois um empregador pode reter informações pessoais, como nome, endereço e informações bancárias, pois essas informações são necessárias para cumprir um contrato de trabalho existente.
Consumidores ≠ Funcionários
Os direitos existentes da CCPA para consumidores da Califórnia podem não se aplicar da mesma forma no contexto trabalhista. Um bom exemplo da Baker Holister é o direito da CPRA de limitar o uso e a divulgação de Informações Pessoais Sensíveis ("SPI"). Com base na interpretação simples do estatuto, esse direito se aplica apenas a dados coletados com o "propósito de inferir características". §1798.121(a). As empresas geralmente não coletam SPI com o propósito de inferir características de seus funcionários; em vez disso, no contexto trabalhista, as SPI normalmente seriam processadas para cumprir responsabilidades relacionadas a RH, como processamento de folhas de pagamento e benefícios. A CPRA permite o tratamento de informações não coletadas com o propósito de inferir características como "informações pessoais" para todas as seções da CPRA. A menos que regulamentações futuras determinem o contrário, isso reduz o ônus para a empresa, pois pode não ser necessário incluir o direito de limitar o uso e a divulgação de SPI no processo de solicitações da CPRA.
Toda a América ou somente a Califórnia:
Embora muitas empresas agora ofereçam direitos ao consumidor independentemente de onde o consumidor esteja localizado, elas têm opiniões divergentes sobre onde os direitos dos funcionários devem ser limitados apenas a funcionários residentes na Califórnia. Estados fora da Califórnia podem eventualmente aprovar leis de privacidade com requisitos específicos aplicáveis aos seus funcionários residentes. Além disso, existe o risco de uso indevido dos direitos do CPRA por funcionários para obter informações de descoberta que poderiam ser usadas em uma ação judicial contra a empresa. Esta tem sido uma questão constante no contexto do GDPR – e algo que as empresas sediadas nos EUA precisam estar cientes.
4 passos para a conformidade:
1. Faça um exercício de mapeamento de dados: As empresas devem realizar um mapeamento de dados de seus sistemas de RH para determinar quais informações pessoais coletam sobre seus funcionários, por que essas informações são coletadas e como elas podem ser compartilhadas com terceiros. Essa etapa fundamental permitirá que as empresas entendam o que deve e o que não deve ser fornecido em uma solicitação de Direitos de Dados.
2. Armazenamento de dados de funcionários: Como parte do exercício de mapeamento de dados, as empresas precisarão considerar como gerenciam e armazenam os dados dos funcionários, visto que estes geralmente são tratados separadamente dos sistemas de gestão de clientes. A maioria das empresas armazena e gerencia dados de consumidores e funcionários em sistemas totalmente separados, e diferentes departamentos são responsáveis pelo gerenciamento de cada tipo de dado.
3. Revise os avisos aos funcionários: A CPRA exige que as empresas forneçam um aviso aos funcionários sobre os dados coletados pela empresa e como as informações são usadas. Embora nenhum modelo de aviso tenha sido fornecido sob a CCPA ou CPRA, o aviso deve descrever "as categorias de informações pessoais a serem coletadas e as finalidades para as quais as categorias de informações pessoais serão usadas". O aviso de privacidade deve ser entregue aos funcionários "no ponto de coleta ou antes" e fornecer uma cópia ou link para a política de privacidade da empresa. Embora grande parte disso possa ser abordada durante o exercício de integração dos funcionários, as equipes de negócios precisarão criar procedimentos operacionais padrão para determinar quando esse tipo de aviso deve ser dado, pois cada novo uso material de dados pode exigir um novo aviso para os funcionários.
4. Medidas de segurança: Assim como no caso dos dados do consumidor, a CPRA exige que as empresas protejam os dados dos funcionários. Assim como no caso do consumidor, as empresas também devem saber que os residentes da Califórnia podem buscar indenização por danos legais que variam de $100 a 750 em caso de violação de informações pessoais confidenciais.
Como o BigID ajuda com dados de funcionários da CPRA (b2e)
O BigID ajuda as organizações a se adaptarem às alterações específicas CCPA. Aproveite o BigID para atingir a conformidade total com o CPRA usando nosso portal de autoatendimento e atendimento automatizado de DSAR para Conformidade com CPRA. Com o BigID, as organizações podem:
- Descubra e classifique todos os dados do CPRA
- Mapa e inventário de dados CPRA
- Automatize o cumprimento dos direitos de privacidade de ponta a ponta
- Gerencie o portal de autoatendimento para uma experiência de usuário personalizada para funcionários
- Veja como o BigID ajuda as organizações a gerenciar as expectativas de direitos de dados dos funcionários para CPRA – Obter uma demonstração