Si su empresa opera en California, debe conocer lo que dice la CCPA sobre los datos de los empleados, y las obligaciones de cumplimiento que debe abordar ahora.
La CCPA se promulgó a principios de 2018, y aunque la ley no entra en vigor hasta principios de 2020, todavía hay mucha confusión en cuanto a sus requisitos, incluyendo cómo funciona junto con otras regulaciones de privacidad como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Las empresas estadounidenses que ya han pasado por la ardua tarea de lograr el cumplimiento del GDPR pueden estar familiarizadas con la mayoría de los requisitos de la CCPA en relación con los empleados basados en California. Sin embargo, las empresas que no están obligadas a cumplir con las normas del GDPR probablemente tendrán que considerar si sus políticas y prácticas existentes de gestión de datos de los empleados deben ser actualizadas.
¿Cómo se aplica la CCPA a los datos de los empleados?
A diferencia del GDPR, la CCPA utiliza el término "Consumidor" en su título completo, lo que hace que muchos departamentos de RRHH crean que la Ley no se aplica directamente a empleados con sede en California.
Las leyes de privacidad de datos de Estados Unidos utilizan diferentes términos para describir a las personas sobre cuya información se aplican las leyes. Entre ellos se encuentran términos como "persona cubierta", "individuo" y "cliente". El término utilizado en una ley concreta es menos importante que su definición. Por ejemplo, dos leyes pueden utilizar el término "individuo", pero podría definirse como referido a todas las personas físicas, mientras que otra puede definirlo como referido sólo a las personas físicas que residen en el estado. En otro ejemplo, una ley puede utilizar el término "persona cubierta" mientras que otra utiliza el término "individuo" y, sin embargo, definen los términos de forma idéntica.
En la CCPA, el término "consumidor" se utiliza para describir al individuo cuya información personal se rige por la ley. Sin embargo, es justo decir que el término "consumidor" se entiende ampliamente como una persona, u organización, que utiliza (consume) un producto o servicio. La definición de la CCPA es mucho más amplia.
En términos de la CCPA, un "consumidor" incluye a cualquier "persona física residente en California". Por lo tanto, la ley regula la recopilación y el tratamiento de datos no sólo de personas físicas, como los clientes minoristas, sino también de los empleados con sede en California, así como de los posibles empleados, o solicitantes, así como de los empleados de contratistas independientes y de las agencias que proporcionan apoyo de personal y para los que la empresa está recopilando información personal.
La conclusión es que las empresas con empleados en California y que están sujetas a la CCPA tendrán que proporcionar a los empleados una política de privacidad específica para los empleados - O tendrán que revisar su política de privacidad existente, para cumplir con la CCPA.
Las disposiciones pertinentes en pocas palabras
La CCPA cubre a todos los "residentes" de California. Por lo tanto, los empresarios deben estar preparados para ofrecer protección a cualquier empleado que resida en California.
Dado que la CPPA se refiere a la información de los empleados, se puede exigir a los empleadores que informen a los empleados sobre los datos que se recopilarán y los fines para los que se utilizarán, ya sea antes o en el momento de recopilar la información. A diferencia del RGPD, la CCPA no requiere que los "consumidores" (empleados) den su consentimiento antes de que se puedan recoger los datos.
Un "empleado cubierto" que trabaje en California puede presentar una Solicitud del Consumidor para acceder a
-
toda la información personal recopilada por su empleador;
-
las categorías de fuentes de las que se ha recogido la información personal;
-
el objetivo comercial de la recogida o venta de información; y
-
las categorías de los terceros con los que se comparte la información.
El derecho legal de acceso a los datos sólo se extiende al periodo de 12 meses anterior a la fecha de solicitud. Además, el empresario no está obligado a facilitar información que pueda afectar negativamente a los compañeros de trabajo.
La disposición también excluye la información que se haya vendido a una agencia de informes de los consumidores, o que se haya recibido de ella, en los casos en que los datos se utilicen de acuerdo con los procedimientos de la Ley federal de Informes de Crédito Justos (FCRA).
Los empleados pueden tener un derecho de acción privado limitado para las violaciones de datos, para recuperar los daños reales o los daños legales hasta $750, lo que sea mayor, por individuo y por incidente.
Las empresas que comparten los datos personales de los consumidores con proveedores de servicios no son responsables de ninguna mala conducta por parte del proveedor de servicios si, en el momento de la divulgación, la empresa no tenía conocimiento real, o razones para creer, que el proveedor de servicios tenía la intención de violar la Ley.
Y finalmente...
Según la Asociación Internacional de Profesionales de la Privacidad (IAPP), más de medio millón de empresas podrían verse afectadas por la CCPA. Independientemente de que el fiscal general de California modifique la ley para excluir los datos de los empleados, la Ley de Protección de los Consumidores de California obliga a todas las empresas a examinar detenidamente sus prácticas y procedimientos en relación con los datos personales de los empleados.
Fuentes y créditos: Oficina del Fiscal General de California, BCLPlaw
Aviso: Este artículo pretende ser sólo información general y no constituye asesoramiento jurídico. Por favor, consulte con un profesional de la privacidad de datos.