Riesgos Legales del Monitoreo de Internet de los Empleados
Este artículo es una profundización de la información sobre derecho laboral o del trabajo, en esta revista de derecho empresarial. Aparte de ofrecer nuevas ideas y consejos clásicos, examina el concepto y los conocimientos necesarios, en el marco del derecho del trabajo, sobre este tema. Basado en la experiencia de varios autores, nuestras opiniones y recomendaciones se expresarán a continuación (o en otros artículos de esta revista, en cuanto al derecho laboral o del trabajo, y respecto a sus características y/o su futuro): Te explicamos, en relación a la seguridad social y el derecho laboral, qué es, sus características y contexto. Quizás el robo de datos más conocido, además de los relacionados con el dinero opaco, como el de los Papeles de Panamá o el del Banco HSBC en Suiza, perpetrado por un "interno" fue la apropiación y divulgación de los datos de la Agencia de Seguridad Nacional por parte de Edward Snowden. El caso Snowden demostró el costo (o coste, como se emplea mayoritariamente en España) (o coste, como se emplea mayoritariamente en España) de centrarse en las amenazas externas, excluyendo a los actores internos que podrían comportarse de forma no deseable.
Como consecuencia, las compañías están adoptando cada vez más tecnologías sofisticadas que pueden ayudar a prevenir la exportación intencional o involuntaria de la propiedad intelectual corporativa y otros datos confidenciales y de propiedad exclusiva.
Nunca te pierdas una historia sobre derecho del trabajo y relaciones laborales, de esta revista de derecho empresarial:
Riesgos Legales del Monitoreo de Internet de los Empleados
Ingrese a la prevención de pérdida de datos, o soluciones “DLP”, que ayudan a las compañías a detectar patrones o comportamientos anómalos a través del registro de pulsaciones de teclas, el monitoreo del tráfico de red, el procesamiento del lenguaje natural y otros métodos, al mismo tiempo que se aplican las políticas relevantes en el lugar de trabajo.
Y si bien existe un caso comercial legítimo para implementar esta tecnología, las herramientas de DLP pueden implicar una serie de leyes de privacidad federales y estatales, que van desde leyes sobre monitoreo de empleados, delitos informáticos, escuchas telefónicas y, potencialmente, estatutos de violación de datos. Dado todo esto, las compañías deben considerar los riesgos legales asociados con las herramientas DLP antes de que se implementen y planifiquen en consecuencia. Hay varias preguntas clave que las empresas deben considerar antes de implementar el software DLP. Primero, ¿a quién estás monitoreando? Segundo, ¿qué estás monitoreando? Tercero, ¿dónde estás monitoreando? Veamos cada uno en detalle:
¿A quién estás monitoreando?
La primera pregunta es importante, ya que la respuesta puede requerir que proporcione una notificación y consentimiento previos. Esto puede parecer lo suficientemente simple para los correos electrónicos de los empleados, pero presenta desafíos para los mensajes de terceros y otras actividades en línea. Por ejemplo, si una empresa está usando DLP para monitorear (vigilar) (vigilar) las actividades en línea de los empleados, primero debe considerar y cumplir con las leyes de monitoreo de empleados. Los estados como Connecticut y Delaware prohíben expresamente que los empleadores monitoreen electrónicamente a los empleados sin previo aviso. También se deben tener en cuenta otras leyes que no tienen como objetivo el monitoreo de los empleados, pero que restringen el monitoreo de las comunicaciones electrónicas más ampliamente, como la Ley Federal de Privacidad de las Comunicaciones Electrónicas (ECPA). Aunque la ECPA generalmente prohíbe el monitoreo de las comunicaciones electrónicas, existen dos excepciones que podrían aplicarse a su empresa. La "excepción de propósito comercial" permite a los empleadores monitorear (vigilar) (vigilar) las comunicaciones electrónicas de los empleados si el empleador tiene un "propósito comercial legítimo" para el monitoreo; Un catch-all con una interpretación potencialmente amplia. Los empleadores también pueden monitorear (vigilar) (vigilar) las comunicaciones en el lugar de trabajo si han obtenido el consentimiento de sus empleados.
Las empresas suelen hacer esto simplemente exigiendo que los empleados reconozcan y acepten sus prácticas de monitoreo en el momento de la incorporación y antes de poder iniciar sesión en los dispositivos, redes y sistemas de la empresa. Si el software de DLP puede monitorear (vigilar) (vigilar) y capturar comunicaciones de terceros (por ejemplo, familiares o amigos que envían correos electrónicos a los empleados a la dirección de su dominio de trabajo), las compañías también deben prestar atención a los estatutos de escuchas telefónicas del estado y diseñar medidas adecuadas para reducir el riesgo legal asociado. Los estados como California e Illinois requieren que todas las partes en una comunicación den su consentimiento para la intercepción de las comunicaciones en tránsito. Eso significa que antes de que las empresas puedan escanear un correo electrónico enviado por un amigo o familiar al empleado, los empleadores deben averiguar cómo notificar el monitoreo a esos terceros y cómo obtener el consentimiento del tercero. A falta de ese paso, las compañías pueden enfrentar el riesgo de posibles demandas colectivas y / o acciones de cumplimiento del gobierno.
Como lo demuestran los recientes acuerdos propuestos que involucran a empresas de tecnología, los terceros que no dieron su consentimiento, pero cuyas comunicaciones se escanearon simplemente porque se comunicaron con los usuarios que lo hicieron, están muy dispuestos a demandar mediante el uso de leyes de escuchas telefónicas de "todo consentimiento".
Las empresas tienen opciones limitadas ante los desafíos prácticos de obtener el consentimiento de terceros. Muchos confían en la publicación de un aviso en el sitio web de la compañía e incluyendo una declaración en la parte inferior de todos los correos electrónicos de los empleados de que todas las comunicaciones electrónicas hacia o desde el dominio de la compañía son propiedad de la compañía y están sujetas a supervisión, y al consentimiento implícito que viene con las comunicaciones continuas de un tercero con el empleado a través del dominio de la compañía siguiendo las revelaciones anteriores.
¿Qué estás monitoreando?
Esta pregunta debe ser analizada de dos maneras. Primero, es necesario determinar si su compañía tiene la intención de monitorear (vigilar) (vigilar) los datos en tránsito y / o los datos en reposo. Muchos estatutos estatales de escuchas telefónicas y, como se señaló, ECPA, prohíben la interceptación electrónica de datos en tránsito sin consentimiento. Las violaciones pueden dar lugar a sanciones penales y civiles.
Por otro lado, el monitoreo y / o la recopilación de datos en reposo pueden implicar la Ley de comunicaciones almacenadas ("SCA"), que generalmente prohíbe el acceso no autorizado y la divulgación de comunicaciones electrónicas almacenadas en una instalación del proveedor de servicios de comunicaciones electrónicas (es decir, datos). que se almacena en servidores corporativos).
Si bien el SCA generalmente no prohíbe a los empleadores acceder a comunicaciones en reposo en sus propios sistemas, las compañías pueden pensar dos veces antes de acceder a las comunicaciones almacenadas por su proveedor de comunicaciones electrónicas (por ejemplo, Microsoft, Gmail, etc.), sin las autorizaciones correspondientes. En segundo lugar, es necesario considerar qué tipos de uso de Internet o comunicaciones electrónicas se pueden monitorear, ya que ciertos tipos están protegidos. Por ejemplo, aproximadamente 25 estados prohíben a los empleadores solicitar o solicitar a un empleado que verifique una cuenta personal en línea (por ejemplo, redes sociales, blogs, correo electrónico) o proporcionar información de inicio de sesión a cuentas personales. La tecnología DLP, ya sea a través del registro de pulsaciones de teclas o la toma de capturas de pantalla, podría eludir estas leyes mediante la adquisición involuntaria de información de inicio de sesión en las cuentas personales de un empleado.
En el contexto del monitoreo del lugar de trabajo, los tribunales y las legislaturas estatales han reconocido los intereses de privacidad en los datos de geolocalización, las comunicaciones entre el abogado y el cliente y las actividades de organización sindical.
En la mayoría de estos casos, el interés de privacidad del empleado debe analizarse y equilibrarse con el interés comercial legítimo de realizar el monitoreo en el contexto de las circunstancias específicas. ¿Dónde estás monitoreando? Esta tercera pregunta es especialmente importante si las empresas planean instalar el software DLP en dispositivos personales que se utilizan para trabajar. Esto puede implicar leyes estatales sobre delitos informáticos y spyware, que prohíben y, en muchos casos, penalizan el acceso a una computadora sin autorización.
Muchos estados como California, Nueva York y Massachusetts tienen tales leyes en los libros. El incumplimiento de estas leyes puede resultar en penas onerosas, hasta e incluyendo multas, daños y / o encarcelamiento. Además de estas leyes de privacidad, el acceso no autorizado a los datos, o la pérdida de datos que resultan de actores internos malintencionados, pueden desencadenar leyes de notificación de incumplimiento de estado en función de las circunstancias.
Cuarenta y ocho estados tienen estatutos de notificación de violación de datos que pueden requerir un aviso a las personas a las que se accede a la información de identificación personal (PII) por parte de alguien que no está autorizado para acceder a los datos.
Consideraciones globales
Las empresas que están considerando usar herramientas DLP también deben tener en cuenta las leyes de privacidad globales. Por ejemplo, el Reglamento de protección de datos general (GDPR) de la Unión Europea y las leyes de privacidad aplicables de los estados miembros ofrecen a los empleados una protección significativamente mayor que la otorgada por la ley de EE. UU. La globalización ha hecho posible que tanto las startups como las grandes multinacionales contraten a empleados o contratistas independientes ubicados en los lugares más lejanos del mundo.
Sin embargo, la otra cara es que todas las empresas que se valen de una fuerza laboral internacional necesitan trabajar dentro de las leyes de privacidad global, incluidas aquellas que rigen el monitoreo de los empleados. Las compañías con personal en todo el mundo deben diseñar una estrategia de cumplimiento que ofrezca las protecciones adecuadas conforme a la ley global, al tiempo que evita las protecciones de privacidad mejoradas involuntariamente para los empleados de los EE. UU. Más allá de las exigidas por la legislación de EE. UU. Si bien las consideraciones anteriores no son de ninguna manera exhaustivas, ofrecen un punto de partida útil para evaluar los impactos en la privacidad y los riesgos legales relacionados con el uso de la tecnología DLP para hacer frente a las amenazas internas. Por supuesto, no existe un enfoque único para la incorporación de esta tecnología en un programa de prevención de pérdida de datos.
Por consiguiente, es una buena idea realizar primero una evaluación para comprender el impacto en la privacidad y los riesgos legales derivados del uso de las herramientas DLP. Una vez que se entienden el impacto y los riesgos, las empresas estarán bien posicionadas para identificar las medidas de mitigación de riesgos adecuadas para su situación particular.
Como mínimo, dichas medidas deben consistir en un conjunto de medios técnicos, organizativos y relacionados con políticas, que incluyen:
Políticas que claramente (i) articulan el caso de negocio para el monitoreo; (ii) explique que ni los empleados ni terceros con quienes los empleados se comunican a través de los dominios de la compañía deben tener ninguna expectativa de privacidad en esas comunicaciones; y (iii) definir ampliamente la propiedad corporativa para incluir no solo todos los dispositivos informáticos, sino también las credenciales de inicio de sesión, las contraseñas y todas las comunicaciones a la empresa.
Un enfoque basado en el riesgo para el seguimiento.
Reducir el alcance del monitoreo mediante el uso de tecnologías de etiquetado o similares para rastrear cuándo los datos salen de una base de datos y viajan a través de una red corporativa.
Cifrar todos los datos y restringir el acceso a una base de "necesidad de saber". Considerando un plan que socializa el monitoreo con su fuerza laboral, para crear un sentido de propósito común y valor compartido en la protección de la propiedad intelectual corporativa y otros activos de datos.
Las recientes violaciones de datos de alto perfil han dado lugar a un mayor conocimiento de las amenazas externas a la propiedad intelectual corporativa y otros datos confidenciales. Esos eventos no deben distraer a las empresas de la protección asidua contra posibles amenazas internas.
Las empresas deben considerar la implementación de protecciones proactivas, como la incorporación del software DLP en sus programas de prevención de pérdida de datos. Al hacerlo, deben ser cuidadosos y realizar el análisis legal inicial necesario antes de implementar dichas tecnologías. Autor: Williams