Los riesgos legales del monitoreo de los empleados en línea

Tal vez el robo de datos más conocido perpetrado por un «privilegiado» fue La apropiación y divulgación de datos de la Agencia Nacional de Seguridad por parte de Edward Snowden. El caso Snowden demostró el costo de centrarse en las amenazas externas para excluir a los malos actores internos. Después de esto, las empresas están adoptando cada vez más tecnologías sofisticadas que pueden ayudar a prevenir la exportación intencional o involuntaria de propiedad intelectual corporativa y otros datos confidenciales y patentados.

Introduzca la prevención de pérdida de datos, o soluciones «DLP», que ayudan a las empresas a detectar patrones o comportamientos anómalos mediante el registro de pulsaciones de teclas, la supervisión del tráfico de red, el procesamiento de lenguaje natural y otros métodos, todo al tiempo que se aplican las políticas relevantes del lugar de trabajo. Y aunque existe un argumento comercial legítimo para implementar esta tecnología, las herramientas de DLP pueden implicar una panoplia de leyes de privacidad federales y estatales, que van desde leyes sobre monitoreo de empleados, delitos informáticos, escuchas telefónicas y leyes potencialmente violatorias de datos. Teniendo en cuenta todo esto, las empresas deben considerar los riesgos legales asociados con las herramientas DLP ante se aplican y planifican en consecuencia.

Hay varias preguntas clave que las empresas deben considerar antes de implementar el software DLP. En primer lugar, a quien ¿Estás monitoreando? En segundo lugar, qué ¿Estás monitoreando? En tercer lugar, donde ¿Estás monitoreando? Veamos cada uno en detalle:

¿A quién estás monitoreando? La primera pregunta es importante, ya que la respuesta puede requerir que usted proporcione aviso previo y consentimiento. Esto puede parecer bastante simple para los correos electrónicos de los empleados, pero presenta desafíos para los mensajes de terceros y otras actividades en línea. Por ejemplo, si una empresa está utilizando DLP para supervisar las actividades en línea de los empleados, primero debe considerar y cumplir con las leyes de supervisión de empleados. Estados como Connecticut y Delaware prohibir expresamente a los empleadores supervisar electrónicamente a los empleados sin previo aviso.

Otras leyes que no se dirigen a la supervisión de los empleados, pero restringen el monitoreo de las comunicaciones electrónicas de manera más amplia, como el Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), también debe tenerse en cuenta. Aunque ECPA generalmente prohíbe supervisar las comunicaciones electrónicas, existen dos excepciones que podrían aplicarse a su empresa. La «excepción de propósito empresarial» permite a los empleadores supervisar las comunicaciones electrónicas de los empleados si el empleador tiene un «propósito comercial legítimo» para la supervisión; un objetivo general con una interpretación potencialmente amplia. Los empleadores también pueden supervisar las comunicaciones en el lugar de trabajo si han obtenido el consentimiento de sus empleados. Las empresas suelen hacer esto simplemente exigiendo a los empleados que reconozcan y acepten sus prácticas de monitoreo en el momento de la incorporación y antes de poder iniciar sesión en los dispositivos o redes y sistemas de la empresa.

Si el software DLP puede monitorear y capturar comunicaciones de terceros ( p. ej., familiares o amigos que envíen un correo electrónico a los empleados en su dirección de dominio del trabajo), entonces las empresas también deben prestar atención a los estatutos estatales de escuchas telefónicas e idear medidas apropiadas para reducir el riesgo legal concomitante. Estados como California e Illinois requieren todas las partes a una comunicación de consentimiento para la interceptación de comunicaciones en tránsito. Esto significa que antes de que las empresas puedan escanear un correo electrónico enviado por un amigo o familiar al empleado, los empleadores deben averiguar cómo notificar el monitoreo a esos terceros y cómo obtener el consentimiento del tercero. En ausencia de ese paso, las empresas pueden enfrentarse al riesgo de potenciales demandas colectivas y/o acciones de aplicación del gobierno. Como se ha propuesto recientemente asentamientos que involucran empresas tecnológicas demuestran que terceros que no dieron su consentimiento, pero cuyas comunicaciones fueron escaneadas simplemente porque se comunicaron con usuarios que sí lo hicieron están demasiado dispuestos a demandar utilizando leyes de escuchas telefónicas de «todo consentimiento». Las empresas tienen opciones limitadas dadas las dificultades prácticas de obtener el consentimiento de terceros. Muchos confían en la publicación de un aviso en el sitio web de la compañía e incluyendo una declaración en la parte inferior de todos los correos electrónicos de los empleados de que todas las comunicaciones electrónicas hacia o desde el dominio de la empresa son propiedad de la empresa y están sujetas a supervisión, y el consentimiento implícito que viene con la continuación de comunicaciones con el empleado a través del dominio de la empresa siguiendo las revelaciones anteriores.

¿Qué estás monitoreando? Esta pregunta debe ser analizada de dos maneras. En primer lugar, es necesario determinar si su empresa tiene la intención de supervisar los datos en tránsito y/o los datos en reposo. Muchos estatutos estatales de escuchas telefónicas y, como se ha señalado, ECPA, prohíben la interceptación electrónica de datos en tránsito sin consentimiento. Las violaciones pueden dar lugar a sanciones penales y civiles. Por otro lado, el monitoreo y/o recolección de datos en reposo puede implicar la Ley de Comunicaciones Almacenadas («SCA»), que generalmente prohíbe el acceso no autorizado y la divulgación de comunicaciones electrónicas almacenadas en las instalaciones de un proveedor de servicios de comunicaciones electrónicas (es decir, datos almacenados en servidores corporativos). Mientras que la SCA generalmente no prohíbe a los empleadores acceder a las comunicaciones en reposo en su propio, las empresas pueden querer pensarlo dos veces antes de acceder a las comunicaciones almacenadas por su proveedor de comunicaciones electrónicas ( p. ej., Microsoft, Gmail, etc.), sin las autorizaciones apropiadas.

En segundo lugar, es necesario considerar qué tipos del uso de Internet o de las comunicaciones electrónicas pueden ser monitoreados, ya que ciertos tipos están protegidos. Por ejemplo, aproximadamente 25 estados prohíben a los empleadores exigir o solicitar a un empleado que verifique una cuenta personal en línea (por ejemplo, redes sociales, blogs, correo electrónico), o proporcionar información de inicio de sesión a cuentas personales. La tecnología DLP, ya sea mediante el registro de pulsaciones de teclas o la toma de capturas de pantalla, podría eludir estas leyes al adquirir inadvertidamente información de inicio de sesión en las cuentas personales de un empleado. En el contexto de la supervisión del lugar de trabajo, los tribunales y las legislaturas estatales han reconocido intereses en materia de privacidad en los datos de geolocalización, comunicaciones entre abogados y clientes y actividades de organización sindical. En la mayoría de estos casos, el interés en la privacidad del empleado debe ser analizado y equilibrado con el interés comercial legítimo en llevar a cabo el monitoreo en el contexto de las circunstancias específicas.

¿Dónde estás monitoreando? Esta tercera pregunta es especialmente importante si las empresas planean instalar software DLP en dispositivos personales que se utilizan para el trabajo. Esto puede implicar leyes estatales de delitos informáticos y spyware, que prohíben y en muchos casos penalizan el acceso a un ordenador sin autorización. Muchos estados como California, Nueva York, y Massachusetts tienen este tipo de leyes en los libros. El incumplimiento de estas leyes puede dar lugar a penas onerosas, hasta multas, daños y perjuicios y/o encarcelamiento.

Aparte de estas leyes de privacidad, el acceso no autorizado a los datos, o la pérdida de datos resultante de actores incorrectos internos, pueden desencadenar leyes de notificación de incumplimiento de estado dependiendo de las circunstancias. Cuarenta y ocho estados tienen estatutos de notificación de infracción de datos que puede requerir notificación a personas cuya información de identificación personal (PII) sea accedida por alguien que no haya sido autorizado para acceder a los datos.

Consideraciones globales

Las empresas que están considerando utilizar herramientas de DLP también deben tener en cuenta las leyes globales de privacidad. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y las leyes de privacidad aplicables de los estados miembros ofrecen una protección mucho más mejorada a los empleados que las que se otorgan en virtud de la legislación estadounidense. La globalización ha hecho posible que tanto las startups como las grandes multinacionales contraten a empleados o contratistas independientes ubicados en los confines más lejanos del mundo. El otro lado, sin embargo, es que todas las empresas que recurren a una fuerza laboral internacional necesitan trabajar dentro de las leyes globales de privacidad, incluidas las que rigen la supervisión de los empleados. Las empresas con personal en todo el mundo deben entonces idear una estrategia de cumplimiento que ofrezca las protecciones adecuadas bajo la ley global, evitando al mismo tiempo protecciones de privacidad mejoradas involuntariamente para los empleados estadounidenses más allá de las requeridas por la ley estadounidense.

Aunque las consideraciones anteriores no son exhaustivas, ofrecen un punto de partida útil para evaluar los impactos en la privacidad y los riesgos legales que conlleva el uso de la tecnología DLP para hacer frente a las amenazas internas. Por supuesto, no existe talle único para incorporar esta tecnología en un programa de prevención de pérdida de datos. En consecuencia, es una buena idea realizar primero una evaluación para comprender el impacto en la privacidad y los riesgos legales derivados del uso de herramientas DLP. Una vez que se comprendan el impacto y los riesgos, las empresas estarán bien posicionadas para identificar las medidas de mitigación de riesgos apropiadas para su situación particular. Como mínimo, esas medidas deben consistir en un conjunto de medios técnicos, organizativos y relacionados con las políticas, entre ellos:

• Políticas que (i) articulan claramente el argumento comercial para el monitoreo; (ii) explican que ni los empleados ni terceros con los que los empleados se comuniquen sobre los dominios de la empresa deben tener expectativas de privacidad en esas comunicaciones; y (iii) definen ampliamente la propiedad corporativa para incluir solo todos los dispositivos informáticos, pero también credenciales de inicio de sesión, contraseñas y todas las comunicaciones con la empresa.

• Un enfoque basado en el riesgo para la vigilancia.

• Reducción del alcance del monitoreo mediante el uso de etiquetas o tecnologías similares para realizar un seguimiento de cuándo los datos salen de una base de datos y viajan a través de una red corporativa.

• Cifrar todos los datos y restringir el acceso a una base de «necesidad de saber».

• Considerar un plan que socialice la supervisión con su personal, para crear un sentido de propósito común y valor compartido en la protección de la propiedad intelectual corporativa y otros activos de datos.

Las recientes violaciones de datos de alto perfil han dado lugar a una mayor conciencia de las amenazas externas a la propiedad intelectual de las empresas y otros datos confidenciales. Esos acontecimientos no deben distraer a las empresas de proteger asiduamente contra posibles amenazas internas. Las empresas son prudentes para considerar la implementación de protecciones proactivas, como la incorporación de software DLP en sus programas de prevención de pérdida de datos. Al hacerlo, deben ser reflexivos y realizar el análisis jurídico inicial necesario antes de desplegar esas tecnologías.

Los autores desean expresar su agradecimiento por la ayuda de Michelle Sohn, asociada en la práctica Privacy + Cybersecurity de Goodwin.