A medida que aumentan las leyes de privacidad y ciberseguridad, también aumenta la importancia de proteger la información de los empleados.

A medida que aumentan las leyes de privacidad y ciberseguridad, también aumenta la importancia de proteger la información de los empleados.

La mayoría de los profesionales de RR.HH. están preocupados por la privacidad y seguridad de las grandes cantidades de información personal que manejan. Este artículo analiza los pasos a considerar frente a los desafíos.

Inundación de datos

Retos que enfrentan los profesionales de RRHH para proteger los datos que gestionan:

  • La cantidad de información personal no se limita a los empleados actuales. También incluye ex empleados, empleados temporales, contratistas y solicitantes. Estas cifras pueden aumentar rápidamente con adquisiciones, altos niveles de rotación y otros cambios en el lugar de trabajo. Además, a esa cantidad se le suma información personal de otras personas como familiares y tutores o beneficiarios.
  • La amplitud de la información aumenta constantemente. Considere el impacto que diversos canales de comunicación, dispositivos y aplicaciones electrónicas han tenido en la generación de información personal y confidencial. Para los profesionales de recursos humanos, la ubicuidad de estas nuevas tecnologías ha llevado a una recopilación cada vez mayor de datos, lo que ha aumentado enormemente la huella de datos de las organizaciones.
  • Al mismo tiempo, puede resultar difícil desarrollar y mantener programas de retención y destrucción de registros que involucren un volumen de información personal, permitiendo que esa huella crezca prácticamente sin obstáculos.
  • Esta información suele ser información muy sensible sobre un individuo: números de Seguro Social, números de cuentas bancarias, información de cuentas de jubilación, información de salud física y mental, información genética, información biométrica, etc.
  • Los departamentos de recursos humanos a menudo tienen que depender de otros departamentos, particularmente el departamento de TI, para obtener herramientas o presupuestos para cumplir con las obligaciones de seguridad y privacidad de datos aplicables. Tienen que depender de proveedores de servicios externos que brindan una amplia gama de servicios de soporte de recursos humanos, como procesamiento de nóminas, beneficios para empleados y gestión de licencias, y almacenamiento de información personal confidencial.
  • Una carga regulatoria creciente.

Situación jurídica de los datos de los empleados

Con razón, muchas leyes o regulaciones sobre la información personal de los empleados intentan abordar las preocupaciones sobre los ciberataques. Solo en el tercer trimestre de 2022, al menos 15 millones de registros quedaron expuestos en todo el mundo debido a violaciones de datos, un aumento del 37 por ciento con respecto al mismo trimestre de 2020, y eso es solo por las violaciones reportadas. Además, existe una serie de leyes para garantizar la privacidad y la no discriminación en el lugar de trabajo. Es decir, algunas de estas leyes buscan garantizar la privacidad y la no discriminación de los empleados limitando las personas que tienen acceso a determinada información.

A continuación se muestran ejemplos de leyes y regulaciones que cubren categorías de privacidad y seguridad:

  • Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA): HIPAA contiene reglas integrales de privacidad y seguridad que se aplican a los planes de salud y a los proveedores de atención médica. Los profesionales de recursos humanos están más familiarizados con estos requisitos para los planes de salud grupales patrocinados por la empresa, específicamente, los planes de salud grupales autofinanciados y los acuerdos de gastos flexibles en salud. El cumplimiento incluye políticas y procedimientos integrales, capacitación y otras medidas. Los profesionales de recursos humanos en la industria de la salud tienen potencialmente niveles adicionales de responsabilidad, asegurando que los empleados estén capacitados para cumplir con HIPAA y atender quejas sobre el uso indebido de información de salud protegida.
  • Ley de Estadounidenses con Discapacidades (ADA): En el curso normal de la administración de recursos humanos, es probable que una empresa acceda u obtenga información relacionada con la discapacidad de un empleado u otra información médica. La ADA exige ciertas protecciones para la información médica obtenida de los empleados en relación con el procesamiento de exámenes e investigaciones médicas, la administración de licencias y adaptaciones razonables. Esto incluye limitar el acceso a supervisores y gerentes y a terceros.
  • Ley de No Discriminación por Información Genética (GINA): Según GINA, la información genética de un empleado (o solicitante) incluye información sobre la expresión de la enfermedad en los familiares de ese empleado (o solicitante), incluido el cónyuge del empleado (o solicitante). Excepto en circunstancias limitadas, GINA prohíbe a los empleadores (y a sus agentes) recopilar esa información, así como utilizarla para discriminar. Las omnipresentes y elaboradas herramientas y aplicaciones de monitoreo de las interacciones en las redes sociales hacen que la recolección genética sea cada vez más común. Además, dicha información está sujeta esencialmente a los mismos requisitos de confidencialidad y seguridad razonables que la información médica según la ADA.
  • Ley de Privacidad del Consumidor de California (CCPA): A finales de 2022, cuando expire la exención para la información de los empleados, llamó la atención de muchos empleadores. Esto significa que los empleadores deben, entre otras cosas, actualizar sus avisos a los empleados y solicitantes, ampliar las políticas de privacidad de sus sitios web e implementar salvaguardias razonables para proteger la información de los empleados y solicitantes. Sin embargo, California no está fuera de lugar en cuanto a los requisitos para proteger la información personal de los empleados. La Ley para detener los hackeos y mejorar la seguridad de los datos electrónicos (Ley SHIELD) de Nueva York exige que las empresas implementen salvaguardias para la «información privada» de los neoyorquinos, como la información de los empleados, como los números de Seguro Social.
  • Protecciones estatales para números de seguro social: Varios estados (incluido Virginia) han aprobado leyes que protegen los números de Seguro Social de los empleados. Algunos estados limitan la recopilación de los números de Seguro Social de los empleados, mientras que otros exigen limitar el acceso a los números de Seguro Social de los empleados. El conocimiento de las protecciones legales estatales es importante ya que casi todos los empleadores recopilan esta información con fines laborales.
  • Leyes de notificación de infracciones: Los 50 estados, así como algunas ciudades como la ciudad de Nueva York y Washington, DC, exigen que las empresas notifiquen cualquier «violación» de «información personal» de propiedad empresarial. Los profesionales de RR.HH. no sólo deben proteger la información personal, sino también ser clave para responder si se produce una infracción. A menudo hay diferentes cuestiones que deben abordarse con los empleados, incluido cómo enmarcar adecuadamente las comunicaciones sobre el incidente.
  • Órdenes de contrato de proveedor: Los departamentos de recursos humanos a menudo dependen de proveedores de servicios externos para respaldar muchas funciones de recursos humanos: nómina, inscripción en planes de beneficios, contratación, administración de planes de jubilación, etc. Muchos estados exigen que las organizaciones que comparten información personal (incluidos números de Seguro Social y otros datos) con proveedores de servicios externos obtengan garantías por escrito de dichos proveedores de que esa información personal estará protegida. Algunos de estos estados incluyen California, Maryland, Massachusetts, Nueva York y Oregón.
  • Requisitos de destrucción de datos: Más de 30 estados han promulgado leyes de destrucción de datos (Delaware es uno de los últimos estados en promulgar una ley de este tipo) que exigen que las empresas destruyan registros que contengan cierta información personal triturándola, eliminándola o utilizando cualquier otro medio para hacer que la información sea ilegible o indescifrable. . Connecticut, Florida, Maryland, Massachusetts, Nueva York y Carolina del Sur se encuentran entre los 30 estados con requisitos de eliminación de datos.

Los tribunales han fallado para proteger a los empleados. Más recientemente, un tribunal federal de apelaciones desestimó una demanda colectiva contra una empresa que sufrió un ataque de ransomware que comprometió los números de Seguro Social de empleados actuales y anteriores. El tribunal determinó que la negligencia habitual cubría los derechos de los empleados. Ya en 2018, un tribunal estatal sostuvo que los empleadores que recopilan información personal de los empleados tienen el deber de derecho consuetudinario de utilizar medidas de seguridad razonables.

¿Por dónde pueden empezar los empleadores?

Un buen lugar para comenzar es con la Guía de negocios de la Comisión Federal de Comercio. Recomienda los siguientes pasos:

  • Conocer la información personal recopilada;
  • medir la información recopilada;
  • proteger la información que se recopilará;
  • Garantizar la eliminación adecuada de la información redundante; Y
  • Cree un plan para cuando ocurran incidentes de seguridad.

Lista de verificación para empleadores

La ciberseguridad, aunque compleja, no es una lista de verificación para el cumplimiento. Una lista de verificación de alto nivel para los empleadores es la siguiente:

  1. Realizar una evaluación de riesgos.
  2. Asegúrese de que el liderazgo y la gerencia comprendan la importancia de la planificación del cumplimiento.
  3. Desarrollar políticas y procedimientos para la recopilación, retención y protección de datos.
  4. Capacitar a los empleados sobre las mejores prácticas de ciberseguridad.
  5. Obtenga un seguro de ciberseguridad.
  6. Examine y audite a los proveedores para garantizar que sus prácticas no pongan en riesgo los datos de los empleados.
  7. Auditar y revisar continuamente las prácticas a medida que la tecnología y la empresa cambian.

Comuníquese con un abogado de Jackson Lewis si tiene alguna pregunta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *