Herramientas para su caja de herramientas - Gestión de la información confidencial en la caja de seguridad

Uno de los retos más preocupantes a los que se enfrentan hoy en día los profesionales de recursos humanos es el equilibrio entre los datos confidenciales de los empleados y los requisitos cada vez mayores sujetos a la aplicación de la Oficina de Programas de Cumplimiento de Contratos Federales (OFCCP). Esta lucha se volvió más confusa con la promulgación de obligaciones adicionales para las empresas de solicitar información sobre discapacidades a las personas que solicitan puestos de trabajo, los datos adicionales requeridos por la carta de programación revisada y la determinación de la OFCCP de obtener información detallada sobre los salarios. A medida que los profesionales de recursos humanos pasan a utilizar sistemas en los que solicitan información muy personal en un número incómodo de ocasiones a los empleados actuales y potenciales, es importante comprender cuáles son las obligaciones no solo a la hora de solicitar esta información, sino también a la hora de protegerla. Es importante familiarizarse con las normas para que, como profesional de recursos humanos, comprenda los matices del cumplimiento y cuándo este parece entrar en conflicto con la confidencialidad de los datos.

Como profesional en un campo en el que los datos confidenciales cambian de manos con frecuencia, es importante comprender cuáles son las obligaciones para proteger los datos de su empresa y dónde termina la responsabilidad. Cuando los datos se encuentran en la oficina, la línea es más clara; pero cuando se requiere divulgar los datos u obtener ayuda para preparar materiales, las aguas se vuelven mucho más turbias. Hay poco que se pueda hacer cuando se divulgan datos a la OFCCP. Debido a errores humanos, se han producido incumplimientos de los protocolos dentro del gobierno federal y se han visto comprometidos datos personales. Sin embargo, dada la cantidad de datos a los que tiene acceso el gobierno, los incumplimientos no son frecuentes. Esto se debe a que, de hecho, cuenta con protocolos, métodos de cifrado y formación frecuente de su personal. Esto es importante y debe estar presente en todas las empresas que puedan tener acceso a los datos confidenciales de su empresa.

Para aquellos de ustedes que se sienten incómodos al solicitar y divulgar información de identificación personal, en particular información médica, ya sea información sobre discapacidades, necesidades de adaptación o condición de veterano discapacitado, tal y como exige la OFCCP, especialmente a los solicitantes, tienen motivos para ello. El texto de la Ley de Estadounidenses con Discapacidades (ADA) de 1990 establece que, en general, no se permite solicitar esta información. La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) establece en general que no se puede compartir información médica. Ambas son generalizaciones de leyes largas y complejas, pero juntas han enseñado a los profesionales de recursos humanos a no preguntar sobre información médica y otra información confidencial, y cuando lo hacen, a mantener dicha información confidencial con el máximo rigor. Por el contrario, las regulaciones de la OFCCP exigen que los profesionales de recursos humanos pregunten varias veces a los posibles empleados sobre su situación de discapacidad antes de determinar si les dan un trabajo, y luego conviertan esa información en un informe anual (un AAP) y la comuniquen al gobierno. Esto parece ir en contra de todo lo que se ha enseñado sobre la solicitud de información médica y la confidencialidad.

... solo se permite hacer excepciones a la hora de preguntar sobre el estado de salud de una persona con fines de acción afirmativa e igualdad en el empleo.

Es extremadamente importante comprender que el requisito normativo de la OFCCP es una excepción a la forma en que se ha tratado tradicionalmente la información médica en nuestro sistema de empleo, y se trata de una excepción muy limitada. Para que la OFCCP pueda determinar si las personas con discapacidades y los veteranos discapacitados reciben un trato justo como solicitantes y en el lugar de trabajo, necesita datos en los que basar sus análisis. Por lo tanto, el requisito de la OFCCP de solicitar información de autoidentificación se amplió a la fase de solicitud, y la excepción a preguntar sobre el estado médico de una persona solo se permite con fines de acción afirmativa e igualdad en el empleo. Realmente no hay otra forma de determinar si existe un impacto desigual (es decir, una discriminación no intencionada) contra las personas con discapacidades y los veteranos discapacitados sin recopilar los datos de autoidentificación. Se trata de una excepción muy limitada y es extremadamente importante cumplir con precisión el requisito. En la propia ley se incluye una disposición que señala que no ha habido ningún cambio en la obligación de los profesionales de recursos humanos de mantener la confidencialidad de esta información tan personal. En otras palabras, sigue siendo obligación de los profesionales de recursos humanos mantener la confidencialidad de cualquier dato médico.

Las normas del artículo 60-741 reiteran la importancia de mantener la confidencialidad de los registros médicos en al menos tres secciones distintas.
 

Del mismo modo que recurrir a un servicio de empleo no exime a su empresa de sus obligaciones de mantenimiento de registros, recurrir a un servicio externo no protege automáticamente a su empresa de violaciones de la privacidad, por lo que es prudente examinar adecuadamente cualquier servicio, contratista o ayuda temporal que utilice su empresa y que tenga acceso a los datos confidenciales de la misma. Al igual que haría al contratar a un empleado, es buena idea entrevistar a cualquier persona o empresa a la que pueda recurrir para asegurarse de que sus prácticas son coherentes con las de su empresa. Con unas pocas preguntas sencillas, es fácil determinar cómo se forma a los empleados en materia de obligaciones de confidencialidad de los recursos humanos y proteger mejor a su empresa y a usted mismo de posibles responsabilidades al divulgar información confidencial.

Algunos factores importantes podrían ser: ¿qué tipo de formación en materia de confidencialidad o gestión de recursos humanos ha recibido el personal? ¿Los ordenadores son proporcionados por la empresa o se utilizan ordenadores personales? ¿Se realizan comprobaciones de antecedentes de los empleados, contratistas o personas que tienen acceso? ¿Alguna persona con acceso a los datos ha sido condenada por un delito grave relevante? Las condenas por delitos como el fraude o los delitos violentos pueden ser relevantes a la hora de decidir a quién se le deben facilitar los datos confidenciales de los empleados. ¿Se transmiten los datos de la empresa a través del correo electrónico personal (que es intrínsecamente inseguro)? ¿Quién exactamente en la empresa tendrá acceso a sus datos? Si se han establecido protocolos, es mucho menos probable que se produzca una violación de sus datos y que esta información tan sensible y personal se vea comprometida.

Es importante señalar que existe una diferencia legal entre el «privilegio», como el privilegio abogado-cliente, y la «confidencialidad». El privilegio lo ostenta el cliente. Un abogado podría enfrentarse a cargos éticos y perder potencialmente su licencia para ejercer la abogacía si revelara datos proporcionados por un cliente, independientemente de que dichos datos fueran de naturaleza confidencial o no. El privilegio existe para animar a los clientes a hablar libremente con sus abogados. No tiene nada que ver con la naturaleza de los datos o la información. Salvo en circunstancias muy limitadas, no se puede obligar a un abogado a revelar información privilegiada, ni siquiera un tribunal de justicia.

«Confidencial» no tiene la misma protección legal. Puede existir la obligación de mantener la confidencialidad de los registros en función de la naturaleza del puesto, como los registros privados de los empleados a los que tiene acceso un profesional de recursos humanos. Esto puede estar además protegido por las políticas internas de la empresa. En otras situaciones, la palabra «confidencial» no tiene significado legal y es simplemente una declaración inaplicable. Consideremos el ejemplo de un profesional de recursos humanos que recurre a una fuente externa para que le ayude a determinar los aumentos salariales sin realizar una investigación adecuada. La persona afirma que es un experto y que mantendrá la confidencialidad de los datos o que devolverá un informe confidencial, como hace «con todos los clientes». Es probable que estas promesas de confidencialidad no sean legalmente exigibles y que el profesional haya revelado información sensible, infringiendo las leyes de privacidad y los requisitos de confidencialidad. Es muy probable que no pase nada, pero ha habido casos en los que estas revelaciones han dado lugar a robos de identidad y otros problemas similares para los empleados.

Es obligación del titular, es decir, del profesional de recursos humanos, mantener la confidencialidad.

Los datos confidenciales, es decir, los que no son privilegiados, pueden ser obligados a divulgarse, como en una auditoría de la OFCCP, simplemente mediante una solicitud de datos o in situ. La obligación de mantener la confidencialidad de los datos no se aplica a la información cuando esta no está protegida por el privilegio. Es obligación del titular, es decir, del profesional de recursos humanos, mantener la confidencialidad. Si la información se divulga a un tercero, el funcionario pierde el control sobre los registros, a menos que también exista una obligación sobre el titular del registro, como un responsable de cumplimiento de la OFCCP. Por ejemplo, en la enmienda sobre transparencia salarial de la Orden Ejecutiva 11246, un profesional de recursos humanos podría infringir la normativa y la política de la empresa si divulga información salarial, ya sea de forma intencionada, accidental o involuntaria, pero poco puede hacer para impedir que la persona o el tercero a quien se ha divulgado la información la comente abiertamente con cualquiera, incluidos otros empleados, competidores, familiares o cualquier persona con la que desee hacerlo. Se deben tomar medidas adicionales para garantizar que los registros confidenciales sigan siéndolo, si se divulgan fuera de su empresa.

En un mundo perfecto, tendríamos tiempo para cumplir con las obligaciones de conformidad, garantizar el cumplimiento de las obligaciones de confidencialidad y ocuparnos de todas las demás responsabilidades. Sin embargo, como todos sabemos, esa carta de auditoría llega en el peor momento posible y, por lo general, hay otras cosas que hacer, por lo que quizá no haya tiempo suficiente para prepararse como se desearía. Sin embargo, es relativamente fácil evitar encontrarse en la posición defensiva ante una queja de esta naturaleza, siempre y cuando se comprendan las normas con antelación. Es probable que su instinto sea correcto a la hora de proteger los datos confidenciales que debe recopilar, pero asegúrese de no divulgarlos de forma inadecuada por descuido en su esfuerzo por cumplir con las normas de la OFCCP. Solo abra esa caja cuando esté seguro de que los datos están protegidos adecuadamente.

Este artículo tiene fines meramente informativos. No constituye asesoramiento jurídico y no debe considerarse como tal. Para obtener más información, póngase en contacto con Lisa Kaiser en [email protected].

Nota del Editor: Este post fue publicado originalmente en Circaworks.com. En abril de 2023, Mitratech adquirió Circa, un proveedor líder de software de reclutamiento inclusivo y cumplimiento de OFCCP. El contenido ha sido actualizado desde entonces para reflejar nuestra oferta ampliada de productos, la evolución de las regulaciones de cumplimiento de adquisición de talento y las mejores prácticas en la gestión de RRHH.