Los riesgos legales de monitorear a los empleados en línea

David Soanes/Getty Images

Quizás el atraco de datos más conocido perpetrado por un «informante» fue La apropiación y divulgación por parte de Edward Snowden de datos de la Agencia de Seguridad Nacional. El caso Snowden demostró el coste de centrarse en las amenazas externas, excluyendo a los malos actores internos. Después, las empresas adoptan cada vez más tecnologías sofisticadas que pueden ayudar a impedir la exportación intencional o inadvertida de la propiedad intelectual corporativa y otros datos confidenciales y patentados.

Introduzca las soluciones de prevención de pérdida de datos, o «DLP», que ayudan a las empresas a detectar patrones o comportamientos anómalos mediante el registro de las pulsaciones de teclas, la supervisión del tráfico de la red, el procesamiento del lenguaje natural y otros métodos, al tiempo que hacen cumplir las políticas laborales pertinentes. Y si bien existe un argumento empresarial legítimo a favor del despliegue de esta tecnología, las herramientas de DLP pueden implicar una serie de leyes de privacidad federales y estatales, que van desde las leyes sobre la supervisión de los empleados, los delitos informáticos, las escuchas telefónicas y la posible violación de datos. Teniendo en cuenta todo esto, las empresas deben tener en cuenta los riesgos legales asociados a las herramientas de DLP antes están implementados y planifican en consecuencia.

Hay varias preguntas clave que las empresas deben tener en cuenta antes de implementar el software de DLP. En primer lugar, quién ¿está monitoreando? En segundo lugar, qué ¿está monitoreando? En tercer lugar, dónde ¿está monitoreando? Analicemos cada uno en detalle:

¿A quién monitorea? La primera pregunta es importante, ya que la respuesta puede requerir que lo notifique y dé su consentimiento con antelación. Esto puede parecer bastante simple para los correos electrónicos de los empleados, pero presenta desafíos para los mensajes de terceros y otras actividades en línea. Por ejemplo, si una empresa utiliza DLP para supervisar las actividades en línea de los empleados, primero debe tener en cuenta y cumplir las leyes de supervisión de los empleados. Estados como Connecticut y Delaware prohibir expresamente a los empleadores supervisar electrónicamente a los empleados sin previo aviso.

Centro Insight

• El elemento humano de la ciberseguridad

  Patrocinado por Varonis

  Refuerce la primera línea de defensa de su empresa.

Otras leyes que no se centran en la supervisión de los empleados, pero que sí restringen la supervisión de las comunicaciones electrónicas de manera más amplia, como la federal Ley de privacidad de las comunicaciones electrónicas (ECPA), también debe tenerse en cuenta. Aunque la ECPA generalmente prohíbe la supervisión de las comunicaciones electrónicas, hay dos excepciones que pueden aplicarse a su empresa. La «excepción con fines comerciales» permite a los empleadores monitorear las comunicaciones electrónicas de los empleados si el empleador tiene un «propósito comercial legítimo» para la supervisión; una interpretación general con una interpretación potencialmente amplia. Los empleadores también pueden supervisar las comunicaciones en el lugar de trabajo si han obtenido el consentimiento de sus empleados. Las empresas suelen hacerlo simplemente exigiendo a los empleados que reconozcan y acepten sus prácticas de supervisión al momento de la incorporación y antes de poder iniciar sesión en los dispositivos, redes y sistemas de la empresa.

Si el software DLP puede monitorear y capturar las comunicaciones de terceros ( p. ej. , familiares o amigos que envían correos electrónicos a los empleados a la dirección de su dominio de trabajo), entonces las empresas también deberían prestar atención a las leyes estatales sobre escuchas telefónicas y diseñar las medidas adecuadas para reducir el riesgo legal que ello conlleva. Estados como California e Illinois exigen todas las partes a una comunicación para dar su consentimiento a la interceptación de las comunicaciones en tránsito. Eso significa que antes de que las empresas puedan escanear un correo electrónico enviado por un amigo o familiar al empleado, los empleadores deben averiguar cómo avisar del monitoreo a esos terceros y cómo obtener el consentimiento del tercero. De no ser así, las empresas podrían enfrentarse al riesgo de posibles demandas colectivas o acciones policiales del gobierno. Como se ha propuesto recientemente asentamientos con empresas de tecnología como demostración, los terceros que no dieron su consentimiento, pero cuyas comunicaciones se escanearon simplemente porque se comunicaron con usuarios que sí lo hicieron, están muy dispuestos a demandar utilizando las leyes de escuchas telefónicas «con todo consentimiento». Las empresas tienen opciones limitadas debido a las dificultades prácticas que supone obtener el consentimiento de terceros. Muchos se basan en la publicación de un aviso en el sitio web de la empresa e incluyen una declaración en la parte inferior de todos los correos electrónicos de los empleados en el sentido de que todas las comunicaciones electrónicas hacia o desde el dominio de la empresa son propiedad de la empresa y están sujetas a supervisión, y en el consentimiento implícito que acompaña a la comunicación continua de un tercero con el empleado a través del dominio de la empresa tras las revelaciones anteriores.

¿Qué está vigilando? Esta pregunta debe analizarse de dos maneras. En primer lugar, es necesario determinar si su empresa tiene la intención de supervisar los datos en tránsito o los datos en reposo. Muchas leyes estatales sobre escuchas telefónicas y, como se ha dicho, la ECPA prohíben la interceptación electrónica de los datos en tránsito sin su consentimiento. Las infracciones pueden conllevar sanciones penales y civiles. Por otro lado, la supervisión o la recopilación de datos en reposo pueden implicar a la Ley de Comunicaciones Almacenadas («SCA»), que generalmente prohíbe el acceso y la divulgación no autorizados de las comunicaciones electrónicas almacenadas en las instalaciones de un proveedor de servicios de comunicaciones electrónicas (es decir, los datos almacenados en los servidores corporativos). Si bien la SCA generalmente no prohíbe a los empleadores acceder a las comunicaciones en reposo los suyos sistemas, las empresas tal vez quieran pensárselo dos veces antes de acceder a las comunicaciones almacenadas por su proveedor de comunicaciones electrónicas ( p. ej., Microsoft, Gmail, etc.), sin las autorizaciones correspondientes.

En segundo lugar, es necesario tener en cuenta qué tipos se puede monitorear el uso de Internet o las comunicaciones electrónicas, ya que ciertos tipos están protegidos. Por ejemplo, aproximadamente 25 estados prohíben a los empleadores exigir o solicitar a un empleado que verifique una cuenta personal en línea (por ejemplo, redes sociales, blogs, correo electrónico) o que proporcione información de inicio de sesión en las cuentas personales. La tecnología DLP, ya sea mediante el registro de las pulsaciones de teclas o la toma de capturas de pantalla, podría eludir estas leyes al adquirir inadvertidamente información de inicio de sesión en las cuentas personales de un empleado. En el contexto de la supervisión laboral, los tribunales y las legislaturas estatales han reconocido los intereses de privacidad en los datos de geolocalización, las comunicaciones entre abogado y cliente y las actividades de organización sindical. En la mayoría de estos casos, se debe analizar el interés de privacidad del empleado y sopesarlo con el interés empresarial legítimo de llevar a cabo la supervisión en el contexto de las circunstancias específicas.

¿Dónde está vigilando? Esta tercera pregunta es especialmente importante si las empresas tienen previsto instalar el software DLP en los dispositivos personales que se utilizan para trabajar. Esto puede implicar las leyes estatales sobre delitos informáticos y spyware, que prohíben y, en muchos casos, penalizan el acceso a un ordenador sin autorización. Muchos estados, como California, Nueva York, y Massachusetts tienen esas leyes en vigor. El incumplimiento de estas leyes puede conllevar sanciones onerosas, que pueden incluir multas, daños y/o penas de prisión.

Además de estas leyes de privacidad, el acceso no autorizado a los datos o la pérdida de datos como resultado de malas acciones internas pueden activar las leyes estatales de notificación de infracciones, según las circunstancias. Cuarenta y ocho estados tienen leyes de notificación de violaciones de datos lo que puede requerir que se notifique a las personas a cuya información de identificación personal (PII) acceda alguien que no estaba autorizado a acceder a los datos.

Consideraciones globales

Las empresas que estén pensando en utilizar herramientas de DLP también deben tener en cuenta las leyes de privacidad globales. Por ejemplo, el Reglamento general de protección de datos (GDPR) de la Unión Europea y las leyes de privacidad aplicables de los estados miembros ofrecen una protección significativamente mayor a los empleados que la que otorga la legislación estadounidense. La globalización ha hecho posible que tanto las empresas emergentes como las grandes multinacionales contraten a empleados o contratistas independientes ubicados en los confines del mundo. Sin embargo, la otra cara es que todas las empresas que utilizan una fuerza laboral internacional tienen que cumplir con las leyes de privacidad globales, incluidas las que rigen la supervisión de los empleados. Las empresas con personal en todo el mundo deben entonces diseñar una estrategia de cumplimiento que ofrezca las protecciones adecuadas en virtud de la legislación internacional y, al mismo tiempo, eviten mejorar involuntariamente la protección de la privacidad de los empleados estadounidenses más allá de lo exigido por la legislación estadounidense.

Si bien las consideraciones anteriores no son en absoluto exhaustivas, ofrecen un punto de partida útil para evaluar los impactos en la privacidad y los riesgos legales que implica el uso de la tecnología DLP para hacer frente a las amenazas internas. Por supuesto, no existe un enfoque que sirva para todos los casos para incorporar esta tecnología a un programa de prevención de la pérdida de datos. En consecuencia, es una buena idea realizar primero una evaluación para entender el impacto en la privacidad y los riesgos legales que se derivan del uso de las herramientas de DLP. Una vez que se entiendan el impacto y los riesgos, las empresas estarán bien posicionadas para identificar las medidas de mitigación del riesgo adecuadas a su situación particular. Como mínimo, estas medidas deben consistir en un conjunto de medios técnicos, organizativos y relacionados con las políticas, que incluyen:

• Políticas que (i) articulan claramente el argumento empresarial a favor de la supervisión; (ii) explican que ni los empleados ni ningún tercero con el que los empleados se comuniquen a través de los dominios de la empresa deben tener expectativas de privacidad en esas comunicaciones; y (iii) definen ampliamente la propiedad corporativa para incluir no solo todos los dispositivos informáticos, sino también las credenciales de inicio de sesión, las contraseñas y todas las comunicaciones con la empresa.

• Un enfoque de supervisión basado en el riesgo.

• Reducir el alcance de la supervisión mediante el uso de etiquetas o tecnologías similares para rastrear cuándo los datos salen de una base de datos y viajan por la red corporativa.

• Cifrar todos los datos y restringir el acceso según lo «necesite saber».

• Está pensando en un plan que socialice la supervisión con sus trabajadores, a fin de crear un sentido de propósito común y valor compartido en la protección de la propiedad intelectual empresarial y otros activos de datos.

Las recientes filtraciones de datos de alto perfil han dado lugar a una mayor conciencia de las amenazas externas a la propiedad intelectual empresarial y otros datos confidenciales. Esos hechos no deberían distraer a las empresas de protegerse asiduamente contra las posibles amenazas internas. Las empresas hacen bien en considerar la posibilidad de implementar protecciones proactivas, como la incorporación del software DLP en sus programas de prevención de la pérdida de datos. Al hacerlo, deben ser reflexivos y realizar los análisis legales iniciales necesarios antes de implementar estas tecnologías.

Los autores desean expresar su agradecimiento por la ayuda de Michelle Sohn, asociada del estudio de Privacidad y Ciberseguridad de Goodwin.