Cambios recientes en las leyes y reglamentos sobre supervisión de empleados

Se ha producido una rápida evolución mundial hacia el refuerzo de las leyes sobre privacidad de los usuarios. Gran parte de ello puede atribuirse a que las tecnologías van por delante de los marcos jurídicos. El advenimiento y la escala de la IA Generativa (o Gen AI) es un ejemplo de ello.

McKinsey, en 2023, informó de que el potencial económico de las aplicaciones de Gen AI oscila entre los 2.000 y los 3.000 millones de euros. 2,6 billones de dólares y 4,4 billones de dólares anualmente. Pero, al mismo tiempo, comprender, controlar y garantizar la seguridad de la IA Gen es un reto importante para las funciones de riesgo y cumplimiento. ¿Por qué? Porque hay una falta de transparencia funcional y de los datos utilizados para el entrenamiento, potencial de infracciones de la propiedad intelectual, y una gran cantidad de preocupaciones de violación de la privacidad del usuario - y todo ello a una escala y velocidad sin precedentes.

La situación no es tan clara en el ámbito de la supervisión de los empleados, pero el fácil acceso a los datos de los empleados y su uso -gracias a los potentes análisis, el uso de la IA y la unificación de los datos- pone en entredicho la viabilidad de las normas y reglamentos diseñados para una era con menos datos.

Según un encuesta de Top10VPN, la demanda de soluciones de monitorización de empleados se disparó tras la pandemia, hasta un 75% en marzo de 2020, un 75% en enero de 2022 y un 73% en el primer trimestre de 2022. Muchas empresas, grandes y pequeñas, de todo el mundo confían en estas soluciones para asegurarse de que el trabajo va por buen camino, las personas son responsables y no hay robos de tiempo que puedan ser perjudiciales tanto para la privacidad de los empleados como para los resultados de la empresa. Pero hay dos caras de la moneda.

Las herramientas de supervisión de empleados son cada vez más potentes. Son capaces de rastrearlo todo, desde las pulsaciones de teclas convencionales hasta la navegación web más avanzada e incluso las expresiones faciales. Las ventajas, si se piensa en ello, son múltiples. Las empresas pueden amplificar la productividad, identificar posibles lagunas de seguridad y amenazas internas, descubrir áreas de mejora y diseñar políticas a favor de los empleados, e incluso profundizar en la comprensión de lo que funciona bien para el bienestar de los empleados.

Pero, al mismo tiempo, existe un gran potencial de abuso. Las empresas pueden llegar a ser demasiado intrusivas, hasta el punto de crear un ambiente de trabajo tóxico y convertirse en caldo de cultivo para la desconfianza. De hecho, el acceso granular a los datos de actividad puede allanar el camino a la discriminación y el trato injusto. Los métodos de trabajo de los empleados pueden malinterpretarse como si fueran holgazanes. Y por eso a menudo se informa de que los empleados no están contentos con que se les ponga bajo la lupa. Acerca de 39% de los empleados afirman que la vigilancia tiene un impacto negativo en su relación con el empresario. El 43% confirma que dicha práctica afecta a la moral de la empresa.

A menudo hemos hablado de la normativa vigente, como el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), etc. Estos reglamentos, especialmente el GDPR, han establecido normas estrictas para proteger los datos y la privacidad de los usuarios. Esto incluye un enfoque bien definido sobre los datos de los empleados también.

Sin embargo, el alcance y la escala de la recopilación de datos posible superan las capacidades de las normativas que se preveían hace sólo unos años. En pocas palabras, la brecha entre lo que es tecnológicamente posible y lo que es legalmente permisible es cada vez mayor. ¿Cuál es el resultado? Un vacío normativo que deja el espacio abierto a un uso inadvertido e incluso intencionado de la tecnología para la vigilancia. Así pues, las reformas normativas y el diálogo continuo para mantener en boga los marcos existentes son un llamamiento válido.

Actualizaciones y cambios en la legislación sobre supervisión de empleados

Dadas las preocupaciones anteriores, las jurisdicciones de todo el mundo se están dando cuenta de la urgencia de aplicar leyes que prometan la regulación de los sistemas impulsados por IA y la protección de los derechos y datos de los empleados.

Para facilitar la comprensión del impacto, enumeramos cuatro de las actualizaciones más importantes y las zonas geográficas que se verán afectadas.

La Oficina del Comisario de Información (ICO) ha intensificado recientemente la regulación de las actividades de intrusión de datos por parte de las empresas. El caso de Serco Leisure Operating Limited, de febrero de 2024, consiguió que la Notificación de ejecución del ICO sirve de buen ejemplo. El regulador ordenó a la empresa que dejara de procesar datos biométricos. Esta instrucción estaba respaldada por los artículos 5, 6 y 9, que abogan por un tratamiento justo y lícito, una base legal para el tratamiento, etc.

Todo esto, en el contexto de las directrices actualizadas de la ICO para la vigilancia legal en el Reino Unido, sugiere que el regulador está siguiendo el ritmo de los avances tecnológicos en el espacio de la vigilancia. Su idea es garantizar una mayor seguridad normativa, proteger los derechos de protección de datos de los empleados y construir un ecosistema empresarial que fomente la confianza entre empleados y clientes.

A continuación se presentan las principales actualizaciones de las directrices sobre prácticas laborales y protección de datos de la OIC que guardan relación con el uso de software de supervisión de empleados:

• Controlar legalmente a los trabajadores: La ICO obliga a las empresas a considerar las seis bases legales y elegir una de ellas para supervisar legalmente a los trabajadores. Estas bases incluyen el Consentimiento, el Contrato, la Obligación Legal, los Intereses Vitales, la Tarea Pública y los Intereses Legítimos. Cada base engloba procedimientos que conducen a la supervisión legal y mantienen todo bajo control.

• Informar sobre la toma de decisiones automatizada: La OIC define el plan de acción para las empresas que utilizan programas informáticos de control de empleados que ayudan a tomar decisiones automatizadas legales. En tal caso, las empresas deben informar a los empleados de la información que se está procesando y de la lógica subyacente de dicho procesamiento. Los empleados también deben tener la oportunidad de exigir la intervención humana.

• Listas de control: Para facilitar la adaptación de los requisitos normativos a las prácticas de toda la empresa, el ICO ofrece listas de control que las empresas pueden utilizar para la protección de datos.

La Comisión Nacional de Informática y Libertades (CNIL) de Francia tiene un planteamiento similar al de la OIC a la hora de garantizar que las empresas rindan cuentas por el uso indebido de los datos de sus empleados - precisamente lo que su reciente Multa de 32 millones de euros en Amazon France Logistique nos dice.

La Autoridad Francesa de Protección de Datos dictaminó que Amazon había establecido un sistema de supervisión ilegal en el que la empresa medía las interrupciones granulares del trabajo para microgestionar a los empleados. La respuesta global de la autoridad hacia Amazon fue una sanción contra varias infracciones del RGPD, incluidas las relacionadas con la supervisión de los empleados mediante escáneres, el incumplimiento de la obligación de garantizar el tratamiento lícito con arreglo al artículo 6 del RGPD, etc.

Dicho esto, he aquí las recientes actualizaciones de la respuesta de la CNIL a la supervisión de los empleados que las empresas afectadas deben vigilar:

• El tiempo de agregación y retención de los datos: Un dato clave de la reciente resolución de la CNIL es que se centra estrictamente en el tiempo que las empresas retienen los datos de los empleados y si ese periodo está justificado. Tomando prestado el ejemplo de Amazon, la CNIL observó que los datos del escáner del almacén recogidos durante un mes se utilizaban para análisis estadísticos. En cambio, el regulador dictaminó que una semana es suficiente para evaluar el rendimiento e identificar las necesidades de formación.

• Transparencia de la información: Aunque no se trata de una faceta nueva, la decisión de la CNIL levantó las cejas sobre cómo las empresas evitan informar a los empleados (incluidos los trabajadores temporales) sobre la práctica y el alcance de la vigilancia, algo con lo que no se entretendrán los reguladores.

La Ley de Protección de Datos Personales Digitales de 2023 está pendiente de legislación y consulta pública, pero se espera que provoque una serie de cambios significativos en el panorama indio de la supervisión de empleados.

La Ley presenta un enfoque equilibrado del consentimiento en relación con el uso de los datos de los empleados. Según ella, los empresarios deben obtener el consentimiento de los empleados para el tratamiento de datos. Esto limitará el uso no consentido de los datos por parte de los RRHH de las empresas. Sin embargo, la Ley reserva a los empresarios el derecho a sobrepasar el consentimiento en caso de "determinados usos legítimos". Entre ellos figuran situaciones relacionadas con pérdidas o responsabilidad.

La Unión Europea también está actualizando las políticas GDPR, por lo demás bien establecidas, que controlan la vigilancia de los empleados en toda la UE y son, de hecho, un conjunto básico de normas para regular la vigilancia en todo el mundo. Algunos cambios clave se refieren a:

• Fomentar un mejor funcionamiento de los casos transfronterizos, con una mejor admisibilidad de las denuncias y la agilización de la resolución de litigios.
• Ofrecer un mejor escenario a las partes investigadas, para que se escuchen sus voces y se ofrezcan resoluciones rápidas.

Se trata de actualizaciones más cualitativas para perfeccionar el panorama normativo, pero su impacto podría ser significativo en lo que respecta a la coherencia a la hora de hacer cumplir y aplicar los principios del RGPD en toda la UE.

• Los reguladores de todo el mundo están respondiendo al uso de una mejor tecnología para controlar a los empleados y garantizar que se hace de forma legal.
• Los derechos de los trabajadores ocupan un lugar destacado en estas nuevas actualizaciones
• Cualquier uso indebido de las tecnologías de vigilancia y de los datos de los empleados invitaría a un mayor escrutinio y responsabilidad.

Lea también: Cómo controlar a los empleados de forma legal y eficaz