Los riesgos legales del monitoreo de los empleados en línea

Si tiene una fuerza laboral global, debe tener una política global.
Los riesgos legales del monitoreo de los empleados en línea
Resumen.

Las empresas están adoptando cada vez más tecnologías sofisticadas que pueden ayudar a prevenir la exportación involuntaria o intencional de propiedad intelectual corporativa y otros datos confidenciales y patentados. Introduzca la prevención de pérdida de datos, o soluciones «DLP», que ayudan a las empresas a detectar patrones o comportamientos anómalos mediante el registro de pulsaciones de teclas, la supervisión del tráfico de red, el procesamiento de lenguaje natural y otros métodos, todo al tiempo que se aplican las políticas relevantes del lugar de trabajo. Y aunque existe un argumento comercial legítimo para implementar esta tecnología, las herramientas de DLP pueden implicar una panoplia de leyes de privacidad federales y estatales, que van desde leyes sobre monitoreo de empleados, delitos informáticos, escuchas telefónicas y leyes potencialmente violatorias de datos. Teniendo en cuenta todo esto, las empresas deben considerar los riesgos legales asociados con las herramientas DLP ante se aplican y planifican en consecuencia. Las empresas con personal en todo el mundo también deben idear una estrategia de cumplimiento que ofrezca las protecciones adecuadas bajo la legislación global y, al mismo tiempo, evitar protecciones de privacidad mejoradas involuntariamente para los empleados estadounidenses más allá de las requeridas por la legislación estadounidense.


Tal vez el robo de datos más conocido perpetrado por un «privilegiado» fue La apropiación y divulgación de datos de la Agencia Nacional de Seguridad por parte de Edward Snowden. El caso Snowden demostró el costo de centrarse en las amenazas externas para excluir a los malos actores internos. Después de esto, las empresas están adoptando cada vez más tecnologías sofisticadas que pueden ayudar a prevenir la exportación intencional o involuntaria de propiedad intelectual corporativa y otros datos confidenciales y patentados.

Introduzca la prevención de pérdida de datos, o soluciones «DLP», que ayudan a las empresas a detectar patrones o comportamientos anómalos mediante el registro de pulsaciones de teclas, la supervisión del tráfico de red, el procesamiento de lenguaje natural y otros métodos, todo al tiempo que se aplican las políticas relevantes del lugar de trabajo. Y aunque existe un argumento comercial legítimo para implementar esta tecnología, las herramientas de DLP pueden implicar una panoplia de leyes de privacidad federales y estatales, que van desde leyes sobre monitoreo de empleados, delitos informáticos, escuchas telefónicas y leyes potencialmente violatorias de datos. Teniendo en cuenta todo esto, las empresas deben considerar los riesgos legales asociados con las herramientas DLP ante se aplican y planifican en consecuencia.

Hay varias preguntas clave que las empresas deben considerar antes de implementar el software DLP. En primer lugar, a quien ¿Estás monitoreando? En segundo lugar, qué ¿Estás monitoreando? En tercer lugar, donde ¿Estás monitoreando? Veamos cada uno en detalle:

¿A quién estás monitoreando? La primera pregunta es importante, ya que la respuesta puede requerir que usted proporcione aviso previo y consentimiento. Esto puede parecer bastante simple para los correos electrónicos de los empleados, pero presenta desafíos para los mensajes de terceros y otras actividades en línea. Por ejemplo, si una empresa está utilizando DLP para supervisar las actividades en línea de los empleados, primero debe considerar y cumplir con las leyes de supervisión de empleados. Estados como Connecticut y Delaware prohibir expresamente a los empleadores supervisar electrónicamente a los empleados sin previo aviso.

Otras leyes que no se dirigen a la supervisión de los empleados, pero restringen el monitoreo de las comunicaciones electrónicas de manera más amplia, como el Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), también debe tenerse en cuenta. Aunque ECPA generalmente prohíbe supervisar las comunicaciones electrónicas, existen dos excepciones que podrían aplicarse a su empresa. La «excepción de propósito empresarial» permite a los empleadores supervisar las comunicaciones electrónicas de los empleados si el empleador tiene un «propósito comercial legítimo» para la supervisión; un objetivo general con una interpretación potencialmente amplia. Los empleadores también pueden supervisar las comunicaciones en el lugar de trabajo si han obtenido el consentimiento de sus empleados. Las empresas suelen hacer esto simplemente exigiendo a los empleados que reconozcan y acepten sus prácticas de monitoreo en el momento de la incorporación y antes de poder iniciar sesión en los dispositivos o redes y sistemas de la empresa.

Si el software DLP puede monitorear y capturar comunicaciones de terceros ( p. ej., familiares o amigos que envíen un correo electrónico a los empleados en su dirección de dominio del trabajo), entonces las empresas también deben prestar atención a los estatutos estatales de escuchas telefónicas e idear medidas apropiadas para reducir el riesgo legal concomitante. Estados como California e Illinois requieren todas las partes a una comunicación de consentimiento para la interceptación de comunicaciones en tránsito. Esto significa que antes de que las empresas puedan escanear un correo electrónico enviado por un amigo o familiar al empleado, los empleadores deben averiguar cómo notificar el monitoreo a esos terceros y cómo obtener el consentimiento del tercero. En ausencia de ese paso, las empresas pueden enfrentarse al riesgo de potenciales demandas colectivas y/o acciones de aplicación del gobierno. Como se ha propuesto recientemente asentamientos que involucran empresas tecnológicas demuestran que terceros que no dieron su consentimiento, pero cuyas comunicaciones fueron escaneadas simplemente porque se comunicaron con usuarios que sí lo hicieron están demasiado dispuestos a demandar utilizando leyes de escuchas telefónicas de «todo consentimiento». Las empresas tienen opciones limitadas dadas las dificultades prácticas de obtener el consentimiento de terceros. Muchos confían en la publicación de un aviso en el sitio web de la compañía e incluyendo una declaración en la parte inferior de todos los correos electrónicos de los empleados de que todas las comunicaciones electrónicas hacia o desde el dominio de la empresa son propiedad de la empresa y están sujetas a supervisión, y el consentimiento implícito que viene con la continuación de comunicaciones con el empleado a través del dominio de la empresa siguiendo las revelaciones anteriores.

¿Qué estás monitoreando? Esta pregunta debe ser analizada de dos maneras. En primer lugar, es necesario determinar si su empresa tiene la intención de supervisar los datos en tránsito y/o los datos en reposo. Muchos estatutos estatales de escuchas telefónicas y, como se ha señalado, ECPA, prohíben la interceptación electrónica de datos en tránsito sin consentimiento. Las violaciones pueden dar lugar a sanciones penales y civiles. Por otro lado, el monitoreo y/o recolección de datos en reposo puede implicar la Ley de Comunicaciones Almacenadas («SCA»), que generalmente prohíbe el acceso no autorizado y la divulgación de comunicaciones electrónicas almacenadas en las instalaciones de un proveedor de servicios de comunicaciones electrónicas (es decir, datos almacenados en servidores corporativos). Mientras que la SCA generalmente no prohíbe a los empleadores acceder a las comunicaciones en reposo en su propio, las empresas pueden querer pensarlo dos veces antes de acceder a las comunicaciones almacenadas por su proveedor de comunicaciones electrónicas ( p. ej., Microsoft, Gmail, etc.), sin las autorizaciones apropiadas.

En segundo lugar, es necesario considerar qué tipos del uso de Internet o de las comunicaciones electrónicas pueden ser monitoreados, ya que ciertos tipos están protegidos. Por ejemplo, aproximadamente 25 estados prohíben a los empleadores exigir o solicitar a un empleado que verifique una cuenta personal en línea (por ejemplo, redes sociales, blogs, correo electrónico), o proporcionar información de inicio de sesión a cuentas personales. La tecnología DLP, ya sea mediante el registro de pulsaciones de teclas o la toma de capturas de pantalla, podría eludir estas leyes al adquirir inadvertidamente información de inicio de sesión en las cuentas personales de un empleado. En el contexto de la supervisión del lugar de trabajo, los tribunales y las legislaturas estatales han reconocido intereses en materia de privacidad en los datos de geolocalización, comunicaciones entre abogados y clientes y actividades de organización sindical. En la mayoría de estos casos, el interés en la privacidad del empleado debe ser analizado y equilibrado con el interés comercial legítimo en llevar a cabo el monitoreo en el contexto de las circunstancias específicas.

¿Dónde estás monitoreando? Esta tercera pregunta es especialmente importante si las empresas planean instalar software DLP en dispositivos personales que se utilizan para el trabajo. Esto puede implicar leyes estatales de delitos informáticos y spyware, que prohíben y en muchos casos penalizan el acceso a un ordenador sin autorización. Muchos estados como California, Nueva York, y Massachusetts tienen este tipo de leyes en los libros. El incumplimiento de estas leyes puede dar lugar a penas onerosas, hasta multas, daños y perjuicios y/o encarcelamiento.

Aparte de estas leyes de privacidad, el acceso no autorizado a los datos, o la pérdida de datos resultante de actores incorrectos internos, pueden desencadenar leyes de notificación de incumplimiento de estado dependiendo de las circunstancias. Cuarenta y ocho estados tienen estatutos de notificación de infracción de datos que puede requerir notificación a personas cuya información de identificación personal (PII) sea accedida por alguien que no haya sido autorizado para acceder a los datos.

Consideraciones globales

Las empresas que están considerando utilizar herramientas de DLP también deben tener en cuenta las leyes globales de privacidad. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y las leyes de privacidad aplicables de los estados miembros ofrecen una protección mucho más mejorada a los empleados que las que se otorgan en virtud de la legislación estadounidense. La globalización ha hecho posible que tanto las startups como las grandes multinacionales contraten a empleados o contratistas independientes ubicados en los confines más lejanos del mundo. El otro lado, sin embargo, es que todas las empresas que recurren a una fuerza laboral internacional necesitan trabajar dentro de las leyes globales de privacidad, incluidas las que rigen la supervisión de los empleados. Las empresas con personal en todo el mundo deben entonces idear una estrategia de cumplimiento que ofrezca las protecciones adecuadas bajo la ley global, evitando al mismo tiempo protecciones de privacidad mejoradas involuntariamente para los empleados estadounidenses más allá de las requeridas por la ley estadounidense.

Aunque las consideraciones anteriores no son exhaustivas, ofrecen un punto de partida útil para evaluar los impactos en la privacidad y los riesgos legales que conlleva el uso de la tecnología DLP para hacer frente a las amenazas internas. Por supuesto, no existe talle único para incorporar esta tecnología en un programa de prevención de pérdida de datos. En consecuencia, es una buena idea realizar primero una evaluación para comprender el impacto en la privacidad y los riesgos legales derivados del uso de herramientas DLP. Una vez que se comprendan el impacto y los riesgos, las empresas estarán bien posicionadas para identificar las medidas de mitigación de riesgos apropiadas para su situación particular. Como mínimo, esas medidas deben consistir en un conjunto de medios técnicos, organizativos y relacionados con las políticas, entre ellos:

  • Políticas que (i) articulan claramente el argumento comercial para el monitoreo; (ii) explican que ni los empleados ni terceros con los que los empleados se comuniquen sobre los dominios de la empresa deben tener expectativas de privacidad en esas comunicaciones; y (iii) definen ampliamente la propiedad corporativa para incluir solo todos los dispositivos informáticos, pero también credenciales de inicio de sesión, contraseñas y todas las comunicaciones con la empresa.
  • Un enfoque basado en el riesgo para la vigilancia.
  • Reducción del alcance del monitoreo mediante el uso de etiquetas o tecnologías similares para realizar un seguimiento de cuándo los datos salen de una base de datos y viajan a través de una red corporativa.
  • Cifrar todos los datos y restringir el acceso a una base de «necesidad de saber».
  • Considerar un plan que socialice la supervisión con su personal, para crear un sentido de propósito común y valor compartido en la protección de la propiedad intelectual corporativa y otros activos de datos.

Las recientes violaciones de datos de alto perfil han dado lugar a una mayor conciencia de las amenazas externas a la propiedad intelectual de las empresas y otros datos confidenciales. Esos acontecimientos no deben distraer a las empresas de proteger asiduamente contra posibles amenazas internas. Las empresas son prudentes para considerar la implementación de protecciones proactivas, como la incorporación de software DLP en sus programas de prevención de pérdida de datos. Al hacerlo, deben ser reflexivos y realizar el análisis jurídico inicial necesario antes de desplegar esas tecnologías.

Los autores desean expresar su agradecimiento por la ayuda de Michelle Sohn, asociada en la práctica Privacy + Cybersecurity de Goodwin.

Related Posts

¿Puede ser un gran líder sin experiencia técnica?

Mucha gente asume que las habilidades que necesita para ser un líder son más o menos transferibles. Si puedes inspirar y motivar a la gente en un ámbito, deberías poder aplicar esas habilidades para hacer lo mismo en otro lugar. Pero habilidades como la capacidad de motivarse a sí mismo y a los demás, la comunicación oral y escrita efectiva, y el pensamiento crítico no son suficientes. También necesita experiencia en el dominio. La comunicación efectiva difiere de un dominio a otro. Los médicos que hablan con los pacientes deben comunicar información de manera diferente que los políticos que reaccionan ante un desastre natural o un CEO que responde a una disputa laboral. Esta forma de pensar sobre el liderazgo tiene dos implicaciones importantes. En primer lugar, cuando enseñamos a la gente sobre liderazgo, necesitamos ser más explícitos que la experiencia en el dominio importa. En segundo lugar, cuando capacitamos a las personas para asumir roles de liderazgo, necesitamos darles práctica para resolver problemas específicos de dominio para que puedan prepararse para integrar la información en la arena en la que se les pide que lideren.

Leer más

Cuando las empresas tecnológicas compiten en sus propias plataformas

Una queja común de terceros acerca de los negocios de plataformas es que ven lo que tiene éxito en sus plataformas y luego entran en las áreas más rentables ellos mismos, a menudo diezmando a terceros en el proceso. Los estudios han identificado varias motivaciones para la entrada del propietario de la plataforma más allá de la captura de valor. Varios estudios han sugerido que las plataformas optan por entrar directamente para mejorar la calidad, por ejemplo. Y el efecto de la entrada de la plataforma en los complementores es mixto. Algunos estudios encontraron que la entrada en la plataforma puede crear efectos positivos sobre terceros y aumentar su demanda. Sin embargo, algunos otros estudios encuentran que el impacto de la entrada en los complementadores puede ser negativo. La introducción de vuelos por parte de Google en su motor de búsqueda redujo los clics en otros resultados orgánicos, por ejemplo. Se necesita un análisis empírico cuidadoso antes de la intervención normativa.

Leer más
¿Funcionará este espacio abierto?

¿Funcionará este espacio abierto?

El CEO quiere aumentar la colaboración y reducir los costos con un espacio de trabajo de planta abierta, pero los trabajadores del conocimiento dicen que necesitan sus paredes, sus puertas y su privacidad.
Leer más
Para una productividad real, menos es realmente más

Para una productividad real, menos es realmente más

Cuando escribí un puesto en este sitio sobre el mito de la productividad recientemente, varios comentaristas argumentaron que la productividad no ha aumentado porque los empleados están funcionando asustados, sino que las empresas finalmente han despedido a los pantalones que arrastraban la productividad. Seguramente hay un montón de intérpretes bajos que obtuvieron el hacha, [...]
Leer más
Automatización para aumentar las ventas y el marketing

Automatización para aumentar las ventas y el marketing

En la prisa por automatizar, la función de marketing y ventas es la próxima frontera. Como todos saben, en los últimos sistemas de información de la década han estado haciendo grandes incursiones en ingeniería y fabricación. La automatización ha recortado el trabajo directo a una pequeña fracción de los costos de producción, un promedio del 8% al 12% en las empresas de fabricación. Por lo tanto, retorciéndose [...] [...]
Leer más
Finanzas de pequeñas empresas: lo que los libros no dicen

Finanzas de pequeñas empresas: lo que los libros no dicen

Los propietarios de pequeñas corporaciones privadas tienen una gran libertad financiera. Pueden arrendar activos al negocio, poner a los miembros de la familia en la nómina, y se otorgan los beneficios lujosos. Y no tienen que maximizar el valor de mercado de sus acciones. Pueden poner la salud a largo plazo del negocio antes del crecimiento de las ganancias a corto plazo, y [...]
Leer más

Newsletter

Avanza tu carrera profesional, con el resumen semanal de las publicaciones, un libro de negocio resumido en 10 minutos y entrevistas con líderes de negocio