En los últimos años, varias empresas a nivel mundial han sido sujetas a elevadas sanciones económicas producto de prácticas controvertidas relacionadas con el monitoreo de las actividades de sus empleados, actividades que la justicia ha considerado como invasivas y contrarias a las normas de protección de datos personales. En este blog analizaremos tales casos, identificando los errores cometidos, y planteando ciertas consideraciones que se deberán tener en cuenta para poder garantizar ese control eficiente de las labores, ello sin infringir tanto la privacidad de los empleados como las normas de protección de la información personal.
- En primera instancia debemos analizar cómo fue abordado el principio de transparencia por las empresas, principio que las Leyes internacionales establecen como obligatorio para todo tratamiento de datos.
En cada caso analizado, se encontró que los infractores le solicitaron a sus funcionarios que usaran escáneres para seguimiento de sus movimientos o que aceptaran ser monitoreados por sistemas de video vigilancia laboral, ello sin informar cuál era el objetivo de la implementación, qué actividad se pretendía controlar, cuánto tiempo duraría el monitoreo, cómo se garantizaría el derecho a la intimidad de cada empleado y cómo se obtendría el consentimiento expreso de los funcionarios. En este sentido se evidenció que las empresas terminaron por adoptar un enfoque unilateral, es decir, ellas impusieron lo que consideraron que les era conveniente sin realizar un análisis previo que permitiera medir el nivel de afectación que se generaría sobre los empleados.
Basado en los principios de la Ley de protección de datos personales, las empresas primero que todo debieron haber proporcionado información detallada, mientras que le permitían a cada funcionario expresar sus inquietudes y sugerencias; esto es esencial para que las implementaciones de control se adapten a las necesidades de privacidad de los empleados y se pueda obtener, de una manera amable y consciente por parte del funcionario, el consentimiento de tratamiento de sus datos. No haber cumplido con este principio fue lo que condujo, en la mayoría de casos, a que se impusieran grandes multas.
- El segundo error cometido tiene que ver con la recopilación excesiva de datos. En varios casos las empresas implementaron los sistemas de monitoreo, recolectando información más allá de lo necesario; por ejemplo, monitoreaban en tiempo real todas las actividades que realizaba la persona durante el día, violando así su intimidad, ya que sabían a qué hora acudía al baño, dónde y cuándo comía, qué lugares visitaba en su tiempo libre o cómo se desplazaba dentro de su propia casa.
Basado en lo anterior, la justicia concluyó que operaba una total invasión a la privacidad de los empleados, acción que definitivamente no es Legal. En tal sentido, las empresas más bien debieron evaluar qué datos eran esenciales para cumplir el propósito de control de las labores, con dicha evaluación hubiesen podido limitar la recolección de información, definiendo por ejemplo, cuáles eran los horarios de monitoreo, en qué momento se debería desactivar el escáner o el sistema de vigilancia, o en qué momento y de qué manera el mismo empleado podría desactivar dicho monitoreo.
- Un tercer error, el cual fue recurrente, tiene relación con las medidas de seguridad; pues, se observó que no existían salvaguardias suficientes para proteger los datos recopilados;, con lo cual, diferentes personas podían observar las actividades del empleado sin que se entendiera por qué.
Es claro que los sistemas de video vigilancia laboral tienen diversos propósitos, como por ejemplo: verificar que se cumplen las normas de seguridad y salud en el trabajo, que se usan los elementos de protección personal, que se acatan las instrucciones de uso de ciertas maquinarias, que se siguen los estándares de control de activos evitando por ejemplo que se introduzcan elementos ilegales en una caja que es embalada, que no se sustraiga dinero, materiales o productos terminados manejados en algún proceso productivo, o que simplemente no se acaten las instrucciones en términos de calidad y rendimiento laboral.
De la misma manera, los escáneres de movimiento sirven para controlar por ejemplo: el tránsito de cargas, el tiempo usado en tareas de campo, o para dar seguimiento a un funcionario que es vulnerable a fleteo, secuestro u otra acción criminal.
Con base en lo anterior, la finalidad de tratamiento de datos de monitoreo laboral es observable claramente, lo mismo sucede con el instante en que se desarrolla dicho de monitoreo; el cual, como se expuso en apartados anteriores, es necesario que se limite exclusivamente al tiempo laboral; no obstante, no está claro quién tiene acceso a esos datos de monitoreo.
El análisis concluyó en que las empresas no establecieron quién podía o no acceder a los datos. En primer lugar, las compañías no establecieron un modelo de seguridad de la información recopilada, lo cual debieron hacer justo desde el principio de la implementación. Tal modelo debió incluir el cifrado de datos, el establecimiento de protocolos de acceso seguro, la implementación de medidas para prevenir y responder a posibles brechas de seguridad, y la definición de los responsables de la gestión de verificación de actividades y generación de informes. Al no hacer esto, no se garantizó la integridad y confidencialidad de la información. Y es que disponer de tal modelo de seguridad, el cual debe estar totalmente documentado, es absolutamente esencial. Con dicho modelo no solo se evitan los inconvenientes que causan las sanciones, sino que se construyen esos lazos de confianza que se necesita tener con los empleados.
- Una consideración final, que no tuvieron en cuenta tanto las empresas, como sus oficiales de cumplimiento y su dirección general, establece que antes de implementar sistemas de monitoreo y seguimiento laboral se debe realizar una evaluación de impacto en la privacidad, con ella se podrá determinar cómo se verán afectados los derechos y libertades de los empleados. Al no haber hecho esta evaluación comprometieron el cumplimiento de las regulaciones de protección de datos, impidieron que se analizaran los posibles riesgos, y truncaron la posibilidad de plantear soluciones de control que estuvieran alineadas a la Ley de protección de datos personales.
Así las cosas, podemos concluir que es indispensable adoptar un enfoque proactivo al buscar alternativas de control tecnológico de las labores realizadas por los empleados, ello implicará generar transparencia, obtener el consentimiento informado de los titulares de los datos, limitar la recopilación de la información, implementar medidas de seguridad robustas, y realizar evaluaciones de impacto en la privacidad. Es importante que las empresas exploren alternativas menos invasivas para el monitoreo y control de actividades; por ejemplo, el monitoreo basado en resultados, ya que éste ayudará a reafirmar los lazos de confianza con los empleados y permitirá cumplir los objetivos de control sin que se vean comprometidos los derechos a la privacidad.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
