Como sabe (o debería saber) cualquier empresa que haga negocios en California, la Ley de Privacidad del Consumidor de California (CCPA) entra en vigor en enero de 2020. La nueva ley será aplicada por el fiscal general de California, que tiene el poder de imponer severas sanciones económicas a las empresas que infrinjan la CCPA.
La nueva ley contiene varias disposiciones que, aplicadas en conjunto, obligan a las empresas a proporcionar a los consumidores una explicación detallada de cómo se maneja su información personal. Esto debe incluirse en el aviso de privacidad de las empresas, así como directamente al consumidor, previa solicitud. Además, la empresa debe proporcionar la siguiente información en un plazo de 45 días a partir de la recepción de una solicitud verificable:
-
Los elementos específicos de información personal recogidos sobre el consumidor;
-
Las categorías de fuentes de las que se recogió la información personal;
-
La finalidad de la recogida de los datos personales del consumidor;
-
Los terceros a los que se ha revelado la información personal;
-
Las categorías de información personal, en su caso, vendidas durante los 12 meses anteriores - y las categorías de terceros destinatarios, y;
-
Las categorías de información personal reveladas con fines comerciales durante los últimos 12 meses.
¿Cómo afecta la CCPA a los datos de RRHH?
[Véase la importante actualización al pie de este artículo].
Por su nombre, la ley está implícitamente diseñada para proteger los intereses de la privacidad de los "consumidores". Pero la gran pregunta que se hacen muchos empresarios es... ¿Los empleados son también "consumidores"?
Lo más probable es que esta cuestión se deba a la ausencia de palabras como "empleador" y "empleado", lo que indica que nunca se pretendió que los datos de recursos humanos formaran parte del ámbito de aplicación de la ley. De hecho, actualmente hay un proyecto de ley pendiente (AB 25) en la Legislatura de California para aclarar que la CCPA no se aplica a los datos de recursos humanos de los propios empleadores, excluyendo por tanto los datos de recursos humanos del ámbito de aplicación de la CCPA.
El proyecto de ley 25 añadiría la siguiente exclusión a la definición de "consumidor" de la ley
El consumidor no incluye a una persona física cuya información personal haya sido recopilada por una empresa en el transcurso de la actuación de una persona como solicitante de empleo, empleado o contratista de ... la empresa, en la medida en que la información personal de la persona sea recopilada y utilizada únicamente en el contexto del papel de la persona como solicitante de empleo, empleado o contratista de ... la empresa.
En otras palabras, si se promulga, la AB 25 eliminará los datos de RRHH de la CCPA.
Mientras tanto, un grado de incertidumbre significa que los empleadores están jugando un juego de espera, y deben decidir si arriesgar el costo, el tiempo y los recursos necesarios para implementar un programa de cumplimiento de la CCPA para los datos de RRHH, cuando tal estrategia podría no ser necesaria en absoluto.
Derechos de acceso: Consumidores -vs- Empleados
Proporcionar a los empleados los mismos derechos de acceso que a los consumidores podría ser un hueso duro de roer. El empleador tendría que atender la solicitud en el plazo legal de 45 días y proporcionar los "datos personales específicos que la empresa haya recopilado" sobre el empleado durante los 12 meses anteriores a la solicitud.
La definición de "información personal" de la CCPA incluye "información profesional o relacionada con el empleo". Por lo tanto, en el caso de un empleado, esta categoría tendría que incluir prácticamente todo lo almacenado en el archivo de RRHH de un empleado.
Esto puede ser una tarea que lleve mucho tiempo si se tiene en cuenta el número de ubicaciones de almacenamiento dispares en las que pueden estar los datos de un empleado. Los discos duros locales y los servidores departamentales son sólo la punta del iceberg. Los datos de los empleados también pueden encontrarse en numerosos buzones de correo electrónico, así como en papel.
Para hacer la tarea aún más onerosa, la "información personal" también se define en el estatuto como:
información sobre la actividad en Internet o en otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con un sitio web, una aplicación o un anuncio en Internet.
Cualquier empleador que supervise sus sistemas de información se vería en apuros para recopilar esta cantidad de información durante un periodo de 12 meses. Recopilar una variedad tan amplia de datos para facilitar una solicitud de acceso de un empleado representaría una tarea difícil, incluso para los más competentes técnicamente.
Derecho de supresión
El derecho de un empleado a la supresión podría causar un potencial enigma para cualquier empleador, ya que la "información personal" incluye "información profesional o relacionada con el empleo". Por ejemplo, un empleado podría exigir el borrado de una evaluación negativa del rendimiento.
Afortunadamente para los empresarios, existen varias excepciones al derecho de supresión. Si el cumplimiento de la ley efectivamente "restringe la capacidad de una empresa para ... ejercer y defender reclamaciones legales", entonces la CCPA no se aplicaría. Por lo tanto, las excepciones previstas deberían permitir a una empresa rechazar una solicitud de supresión de datos de RRHH mientras el solicitante esté empleado por la empresa y después de que termine la relación laboral, durante el plazo de prescripción correspondiente.
"No vendan mis datos personales"
Los consumidores tienen derecho a excluirse de la venta de sus datos personales. Sin embargo, en el contexto de los datos de los empleados, sería muy poco probable que una empresa quisiera vender esos datos a un tercero. Sin embargo, la CCPA define el término "venta" como:
...la venta, el alquiler, la divulgación, la difusión, la puesta a disposición, la transferencia o la comunicación oral, escrita o por medios electrónicos o de otro tipo de la información personal de un consumidor por parte de la empresa a otra empresa o a un tercero a cambio de una contraprestación económica o de otro tipo.
Por lo tanto, se podría argumentar que esta definición otorga a los empleados el derecho a impedir que su empleador comparta su información personal con servicios relacionados con los recursos humanos, como una empresa de externalización de nóminas.
Pero, una vez más, la CCPA establece ciertas excepciones a la norma, al estipular que la divulgación de información personal no se considera una "venta" si el proveedor de servicios ha acordado por contrato no retener, utilizar o divulgar la información personal más que para prestar los servicios especificados en el contrato. La empresa también debe declarar en su aviso de privacidad que comparte la información personal de los consumidores con los proveedores de servicios.
Por lo tanto, sería prudente que la empresa revisara todos los contratos y acuerdos de servicio existentes y los actualizara cuando fuera necesario, como parte vital de la estrategia de cumplimiento de la CCPA del empleador.
Planificar en medio de la incertidumbre actual (opinión)
La actual incertidumbre en torno a una nueva ley de privacidad del consumidor, que sin duda sufrirá nuevas modificaciones antes de entrar en vigor en enero de 2020, obliga a los empresarios a tomar una decisión difícil. Podría parecer que solo hay dos opciones sobre la mesa.
OPCIÓN #1: Ir a por todas e implantar un modelo de cumplimiento de la CCPA exhaustivo que incluya disposiciones para los datos de RRHH. No es una opción tan buena si los datos de RRHH se consideran finalmente fuera del ámbito de la CCPA, ya que se podría perder mucho tiempo, dinero y recursos en el proceso.
OPCIÓN #2: Sentarse en la valla y esperar a ver qué pasa con los datos de RRHH. El riesgo aquí es que los empleadores podrían terminar esperando demasiado tiempo y acabar atiborrándose para lograr el cumplimiento si no llega ningún alivio legislativo.
Las mejores recomendaciones
Hay una tercera opción. Es nuestra mejor recomendación para los empresarios que quieran estar en condiciones de facilitar las solicitudes de acceso a los datos realizadas por sus empleados, por muy improbable que resulte.
-
Esté atento al progreso de la AB 25, mientras da algunos pasos hacia el cumplimiento de la CCPA, sin arriesgar demasiado tiempo y recursos, en caso de que los datos de RRHH sean finalmente excluidos.
-
Reúna un equipo de interesados del departamento que se encargue de aplicar una estrategia de cumplimiento que incluya disposiciones para los datos de RRHH.
-
Involucre a su departamento de TI en una revisión de todas sus medidas de seguridad de datos.
-
Determine qué información necesitará para responder a las solicitudes de acceso a los datos tanto de los consumidores como de los empleados pasados y presentes.
-
Crear procesos y políticas para verificar la identidad de los solicitantes, responder a las solicitudes de acceso y documentar las respuestas.
-
Enumerar los terceros que prestan servicios de RRHH y actualizar los contratos de servicios cuando sea necesario.
-
Cree un Aviso de Privacidad, o actualice su Aviso de Privacidad existente.
-
Formular un plan de respuesta rápida para remediar una posible violación de datos.
-
Ofrezca formación a todos los empleados que manejan información personal. Asegúrese de que su personal entiende su responsabilidad de proteger los datos personales de los residentes de California.
ACTUALIZACIÓN IMPORTANTE...
En el momento de escribir este artículo, el Comité Judicial del Senado de California aprobó el proyecto de ley de la Asamblea 25 (AB 25), después de que la presión de los grupos sindicales organizados forzara algunos cambios.
Originalmente, el proyecto de ley se redactó para excluir a los empleados y solicitantes de empleo de la definición del término "consumidor" de la Ley.
Los cambios adoptados por la comisión judicial significan que el AB 25 ya no excluye a los empleados y a los solicitantes de empleo de la definición de "consumidor". En su lugar, éstos seguirán sujetos a la ley, y las empresas estarán obligadas a revelar los tipos de datos de los empleados que se recogen, con quién se comparten y las razones para hacerlo. Sin embargo, según esta última modificación, las empresas no estarán obligadas a proporcionar a los empleados los derechos de acceso y supresión de datos.
Dado que el proyecto de ley AB 25 incluye una cláusula de extinción del 1 de enero de 2021*, que deja el proyecto de ley abierto a nuevos debates sobre el manejo de los datos de los empleados en el marco de la CCPA, podríamos esperar nuevos cambios durante 2021. Por lo tanto, el proyecto de ley AB 25 todavía se enfrentará a importantes obstáculos antes de recibir la aprobación del Senado estatal.
Creemos que esta última enmienda reduce significativamente el riesgo de desplegar tiempo y recursos para implementar un modelo de cumplimiento de la CCPA integral que incluya disposiciones para los datos de RRHH y los derechos apropiados de los empleados, como se ha descrito anteriormente.
El proyecto de ley está ahora en manos del Comité de Asignaciones del Senado. Si se aprueba, las futuras actualizaciones de las políticas y procesos deberían ser relativamente fáciles de integrar en su modelo actual.
*Una cláusula de extinción es una medida dentro de un estatuto, reglamento u otra ley que establece que la ley dejará de tener efecto después de una fecha específica, a menos que se tomen nuevas medidas legislativas para prorrogar la ley. La mayoría de las leyes no tienen cláusulas de caducidad y, por tanto, permanecen en vigor indefinidamente, excepto en los sistemas en los que se aplica la desuetudo.
_______________________________________