Tras nuestro reciente post sobre las quejas de que la Ley de Privacidad del Consumidor de California (CCPA) es "vaga" y "confusa", nos encontramos con otro aspecto de la nueva ley que parece necesitar alguna aclaración.

Hasta hace poco, muchas organizaciones que se están preparando para cumplir con la CCPA, han mantenido la creencia de que la información personal de los empleados está sujeta a la nueva normativa de privacidad.

Sin embargo, es posible que la CCPA no se aplique en absoluto a los datos de recursos humanos de las empresas.

Mientras las empresas juegan a un frustrante juego de espera de nuevas modificaciones, los empleadores están contando el coste del tiempo y el esfuerzo invertidos en la aplicación de medidas de cumplimiento de la CCPA para los datos de RRHH, que podrían acabar siendo una completa pérdida de tiempo.

Tiempos inciertos: ¿Se aplica realmente la CCPA a los datos de los empleados?

En algunas de nuestras entradas anteriores, hemos mencionado que aunque el lenguaje llano de la CCPA se refiere a los datos de RRHH, todo el estatuto en sí mismo carece de palabras como "empleado" y "empleador", lo que sugiere que la legislatura de California nunca tuvo la intención de incluir los datos de RRHH en el ámbito de la nueva ley.

Si tenemos en cuenta la enorme desconexión entre el lenguaje llano de la Ley y la probable intención legislativa, no debería sorprendernos que se haya propuesto un nuevo proyecto de ley (AB 25). Esta enmienda excluiría expresamente a los empleados de la definición de "consumidor" según la CCPA.

En su redacción actual, la CCPA regula la información personal (IP) de los "consumidores", que se definen ampliamente como residentes en California. En efecto, esto proporcionaría a los empleados de California -si su empleador es una empresa cubierta por la CCPA- una amplia gama de derechos similares a los del GDPR de la UE, cuando se trata de su información personal. Estos derechos incluirían el derecho a solicitar que su empleador les proporcione una copia transportable de su IP, a eliminar su IP y a proporcionarles información específica sobre las prácticas de recopilación e intercambio de su IP (con ciertas excepciones).

El AB 25 propone modificar la CCPA aclarando que el significado del término "consumidor" no incluye un "persona física cuya información personal ha sido recopilada por una empresa en el curso de una persona que actúa como solicitante de empleo o como empleado, contratista o agente, en nombre de la empresa, en la medida en que su información personal se utiliza para fines compatibles con el contexto de las actividades de esa persona para la empresa como solicitante de empleo, empleado, contratista o agente de la empresa."

Derecho de preaviso en el marco del empleo

La CCPA incluye varias disposiciones que, aplicadas conjuntamente, obligan a las empresas a proporcionar a los consumidores una explicación detallada del tratamiento de sus datos personales. Esto debe incluirse en la política de privacidad de las empresas, así como directamente al consumidor, previa solicitud, según corresponda. Además, la empresa debe proporcionar la siguiente información en un plazo de 45 días a partir de la recepción de una solicitud verificable:

  1. Los datos personales específicos recogidos sobre el consumidor;

  2. Las categorías de fuentes de las que se recogió la información personal;

  3. La finalidad de la recogida de los datos personales del consumidor;

  4. Los terceros a los que se ha revelado la información personal;

  5. Las categorías de información personal, en su caso, vendidas durante los 12 meses anteriores - y las categorías de terceros destinatarios; y

  6. Las categorías de información personal reveladas con fines comerciales durante los últimos 12 meses.

La recopilación de esta información relativa a los datos de RH almacenados en bases de datos como el sistema de RH del empleador debería ser razonablemente manejable. Sin embargo, es probable que la recopilación de esta información en otros lugares de almacenamiento, como los discos duros locales, las bandejas de entrada de los correos electrónicos y los archivos en papel, suponga un reto considerable.

Derecho de acceso en el marco del empleo

El derecho de acceso exige que las empresas respondan a una solicitud verificable en un plazo de 45 días, con la "datos específicos de información personal que la empresa ha recogido" sobre el consumidor durante los 12 meses anteriores a la solicitud. Por lo tanto, proporcionar a los empleados el derecho de acceso podría ser una tarea ardua para la mayoría de los empleadores. En primer lugar, la definición de "información personal" incluye "información profesional o relacionada con el empleo". Esto significa prácticamente todos los datos del expediente personal de un empleado.

Además de la información típica contenida en los registros básicos de empleo, la "información personal" incluye otras categorías de información, además de la relación laboral. Por ejemplo:

"información sobre la actividad en Internet o en otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con un sitio web, una aplicación o un anuncio en Internet".

Otro ejemplo es el de los "datos de geolocalización", que podría incluir la información recogida a través de la tecnología GPS instalada en los vehículos propiedad de la empresa, así como la información de localización recogida a través de las aplicaciones instaladas en los teléfonos inteligentes de los empleados. La recopilación de esta información, que se incluirá para facilitar una solicitud de acceso, podría ser técnicamente difícil para los empleadores.

Los empresarios deben ser conscientes de que la disposición de la CCPA de que el cumplimiento de la ley "no afectará negativamente a los derechos y libertades de otros consumidores". Esta disposición es especialmente importante en el contexto del empleo porque otorga a los empresarios el derecho a negarse a revelar información que podría ser potencialmente perjudicial para los compañeros de trabajo del empleado que solicita el acceso.

Derecho de supresión en el marco del empleo

Dado que PI incluye todos los "información profesional o relacionada con el empleo". Los empleados podrían, a primera vista, ejercer el derecho de supresión como arma contra el empresario. Por ejemplo, un empleado puede intentar exigir la supresión de una evaluación negativa del rendimiento.

Sin embargo, la CCPA contiene una serie de excepciones al derecho de supresión. Este derecho no se aplica cuando la conservación de la IP de un consumidor es necesaria para cumplir con las obligaciones legales, o para fines internos coherentes con las expectativas del consumidor. Asimismo, la CCPA no se aplica cuando el cumplimiento "restringir la capacidad de una empresa para ... ejercer y defender las reclamaciones legales".

Las excepciones contenidas en la CCPA deberían permitir a un empleador rechazar las solicitudes de eliminación de la mayoría de los tipos de datos de RRHH durante el período de la relación laboral, y posteriormente durante la duración de los plazos de prescripción pertinentes.

Fuentes y créditos: IAPP, Lexología

 

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.