A Califórnia vem preparando o terreno para uma nova abordagem abrangente. Leis e requisitos de privacidade nos EUA. Tudo começou com o pioneirismo Lei de Privacidade do Consumidor da Califórnia (“CCPA”) que concedeu aos consumidores da Califórnia diversos direitos de privacidade de dados. A Califórnia tornou-se pioneira ao ser o primeiro (e até agora o único) estado a fornecer aos funcionários uma série de direitos de privacidade.
A expressão “consumidores da Califórnia” também deveria incluir os funcionários; após dois anos, a lei entrou em vigor, mas com a aprovação da Lei de Direitos de Privacidade da Califórnia (“CPRA”), que alterou e expandiu significativamente os requisitos da CCPA – a disposição sobre os direitos dos funcionários entrará em vigor em 1º de janeiro de 2023.
A Agência de Proteção à Privacidade da Califórnia (CPPA) Ainda estão sendo realizadas sessões informativas sobre a CPRA, e as regras formais não devem ser publicadas antes do final deste ano. Consequentemente, as empresas terão pouco tempo para implementar quaisquer novas regras. Com tanta incerteza no ar, as empresas devem tomar medidas práticas para garantir a conformidade com as disposições da CPRA relativas aos funcionários.
Quem é um funcionário?
No contexto da CPRA, os requisitos relativos aos funcionários incluem residentes da Califórnia em suas funções como funcionários em tempo integral/parcial, candidatos a emprego, contratados independentes e outras funções relacionadas ao trabalho ("Funcionários"). Como muitas empresas têm oferecido cada vez mais opções de trabalho remoto durante/após a pandemia, elas precisam determinar quais funcionários estariam sujeitos à CPRA.
O direito à privacidade do [funcionário]
O aspecto mais inovador da lei da Califórnia é que os direitos de privacidade concedidos aos consumidores também serão estendidos aos funcionários. Isso inclui:
- O direito de saber
- O direito de corrigir informações incorretas
- O direito de excluir informações pessoais mantidas pela empresa – ou por terceiros em nome da empresa.
- O direito de optar por não participar da venda ou compartilhamento de dados.
- O direito de limitar o uso e a divulgação de informações pessoais sensíveis dos funcionários.
- E, o que é importante, o direito de não sofrer represálias por exercer esses direitos.
Uma das tarefas mais importantes será avaliar e responder rapidamente às solicitações de direitos dos funcionários, atendendo ao pedido ou determinando se alguma exceção se aplica. As empresas precisarão desenvolver um processo detalhado para gerenciar as solicitações de direitos dos funcionários, de modo que sejam verificadas, aceitas ou negadas, parcial ou totalmente, e respondidas em tempo hábil.
Alguns desses direitos podem ser atendidos por meio de um modelo de autoatendimento. Por exemplo, muitas empresas já permitem que os funcionários atualizem/corrijam informações que a empresa já possui sobre eles. Em outros casos, alguns dos direitos dos funcionários podem não se aplicar a todos os funcionários. Por exemplo, se uma empresa não "vende" dados para nenhum fornecedor, não há obrigação de oferecer o direito de optar por não participar da venda de dados.
Além disso, provavelmente haverá exceções legais nas quais as empresas poderão se basear, visto que os direitos de privacidade dos funcionários não visam afetar a necessidade legítima da empresa de continuar processando e retendo certas informações pessoais dos funcionários. Por exemplo, a solicitação de um funcionário para excluir suas informações pessoais não é absoluta, pois o empregador pode reter informações pessoais como nome, endereço e dados bancários, uma vez que essas informações sejam necessárias para cumprir um contrato de trabalho vigente.
Consumidores ≠ Funcionários
Os direitos existentes da CCPA para consumidores da Califórnia podem não se aplicar da mesma forma no contexto trabalhista. Um bom exemplo, citado pela Baker Holister, é o direito da CPRA de limitar o uso e a divulgação de Informações Pessoais Sensíveis (“IPS”). Com base na interpretação literal da lei, esse direito se aplica apenas a dados coletados com o “propósito de inferir características” (§1798.121(a)). As empresas geralmente não coletam IPS com o propósito de inferir características de seus funcionários; em vez disso, no contexto trabalhista, as IPS normalmente seriam processadas para cumprir responsabilidades relacionadas a RH, como processamento de folha de pagamento e benefícios. A CPRA permite tratar informações não coletadas com o propósito de inferir características como “informações pessoais” para todas as seções da CPRA. A menos que regulamentações futuras estabeleçam o contrário, isso reduz o ônus para a empresa, já que pode não ser necessário incluir o direito de limitar o uso e a divulgação de IPS no processo de solicitações da CPRA.
Todo o território dos Estados Unidos ou somente a Califórnia:
Embora muitas empresas agora ofereçam direitos ao consumidor independentemente de sua localização, há divergências quanto à necessidade de limitar os direitos dos funcionários apenas àqueles que residem na Califórnia. Estados fora da Califórnia podem eventualmente aprovar leis de privacidade com requisitos específicos aplicáveis a seus funcionários residentes. Além disso, existe o risco de uso indevido dos direitos da CPRA (Lei de Proteção ao Consumidor da Califórnia) por parte dos funcionários para obter informações que poderiam ser usadas em ações judiciais contra a empresa. Essa tem sido uma questão recorrente no contexto do GDPR (Regulamento Geral de Proteção de Dados) – e algo que as empresas sediadas nos EUA precisam levar em consideração.
4 passos para a conformidade:
1. Faça um exercício de mapeamento de dados: As empresas devem realizar um mapeamento de dados de seus sistemas de RH para determinar quais informações pessoais coletam sobre seus funcionários, por que essas informações são coletadas e como elas são potencialmente compartilhadas com terceiros. Essa etapa fundamental permitirá que as empresas entendam o que deve e o que não deve ser fornecido em uma solicitação de direitos de dados.
2. Armazenamento de dados de funcionários: Como parte do exercício de mapeamento de dados, as empresas precisarão considerar como gerenciam e armazenam os dados dos funcionários, visto que geralmente são tratados separadamente dos sistemas de gestão de clientes. A maioria das empresas armazena e gerencia dados de clientes e funcionários em sistemas completamente separados, e diferentes departamentos são responsáveis por gerenciar cada tipo de dado.
3. Analisar os avisos aos funcionários: A CPRA exige que as empresas forneçam um aviso aos funcionários sobre os dados coletados e como essas informações são utilizadas. Embora não haja um modelo de aviso fornecido pela CCPA ou pela CPRA, o aviso deve descrever “as categorias de informações pessoais a serem coletadas e as finalidades para as quais essas categorias serão utilizadas”. O aviso de privacidade deve ser entregue aos funcionários “no momento da coleta ou antes dela” e deve incluir uma cópia ou um link para a política de privacidade da empresa. Embora grande parte disso possa ser abordada durante o processo de integração de novos funcionários, as equipes de negócios precisarão criar procedimentos operacionais padrão para determinar quando esses avisos devem ser fornecidos, visto que cada novo uso relevante dos dados pode exigir um novo aviso para os funcionários.
4. Medidas de segurança: Assim como acontece com os dados do consumidor, a CPRA exige que as empresas protejam os dados dos funcionários. Da mesma forma que acontece com os consumidores, as empresas também devem saber que os residentes da Califórnia podem buscar indenização legal que varia de US$ 1.000 a US$ 750 caso informações pessoais sensíveis sejam violadas.
Como a BigID ajuda com os dados de funcionários da CPRA (b2e)
A BigID ajuda as organizações a se adaptarem às alterações específicas em CCPAAproveite o BigID para alcançar total conformidade com a CPRA usando nossa plataforma. portal de autoatendimento e cumprimento automatizado de DSAR para Conformidade com a CPRACom o BigID, as organizações podem:
- Descubra e classifique todos os dados da CPRA.
- Dados de mapa e inventário da CPRA
- Automatize o cumprimento integral dos direitos de privacidade.
- Gerencie o portal de autoatendimento para uma experiência de usuário personalizada para os funcionários.
- Veja como a BigID ajuda as organizações a gerenciar as expectativas dos funcionários em relação aos direitos de dados no âmbito da CPRA (Lei de Proteção ao Consumidor da Califórnia) – Obtenha uma demonstração
Autor
