View English Version Here.

Ahora  que se acerca “Halloween”… ¿quiere oír algo  “que de verdad asusta”?

A finales del año pasado, la Corte Federal de Apelaciones del Tercer Circuito (Filadelfia), en el caso Clemens v. ExecuPharm, Inc. (3er Circuito, 14 de diciembre de 2021), dejó en claro que a los empleadores se les puede considerar responsables por no haber protegido debidamente los datos personales de sus empleados. ¿Y por qué esto nos asusta tanto? Bueno, en este caso, a una empleada, Jennifer Clemens, se le exigió que le proporcionara a su empleador, ExecuPharm, su dirección, número de seguro social, números de cuentas bancaria y financiera, información tributaria y del seguro, pasaporte e información relacionada con su esposo e hijo. (Este es el tipo de información que guardan la mayoría de los departamentos de Recursos Humanos).  ExecuPharm se comprometió por escrito tomar medidas adecuadas para proteger la información.  Clemens entonces se fue de ExecuPharm.

En algún momento después de su partida,  a ExecuPharm la “jaquearon” con un ataque de “phishing” (juego de palabras por parecerse a “fishing”… ir de pesquería). Por la información de ExecuPharm (que incluía la información de sus empleados) entonces pidieron dinero de rescate. Bien ExecuPharm se negó a pagar el rescate o “por razones infames desconocidas” los piratas informáticos publicaron toda la información en la Web Oscura o “Dark Web”. La publicación de 123,000 expediente incluyó información personal confidencial sobre Clemens y sobre sus excompañeros de trabajo. ExecuPharm avisó a sus empleados anteriores y actuales sobre la brecha en la seguridad y les brindó algún apoyo posterior.   Clemens tomó acción ella misma, lo que incluyó dedicar una cantidad sustancial de su tiempo y algunos gastos a proteger su información y protegerse de ser víctima de fraude o robo de identidad.

Clemens entonces demandó a ExecuPharm a nombre de sí misma y de excompañeros de trabajo, debido a la negligencia, incumplimiento de contrato e incumplimiento del deber fiduciario de la empresa.  En una decisión de 23 páginas, la corte hizo constar que:

En un mundo cada vez más digitalizado, el deber de un empleador de proteger la información confidencial de sus empleados se ha ampliado significativamente. La seguridad de la información ya no es una cuestión de mantener un pequeño universo de documentos impresos de alta sensibilidad bajo llave. Ahora los empleadores guardan masivos conjuntos de datos en redes digitales. Para poder proteger esos datos, tienen que implementar medidas de seguridad adecuadas y asegurar que esas medidas sigan cumpliendo con los estándares constantemente cambiantes de la industria.

El tribunal dejó en claro que, si no lo hacen, los empleadores serán responsables de daños y perjuicios en el caso de una brecha digital con el robo de datos. Así que, a ExecuPharm no solo le “jaquearon” los sistemas y tuvo que gastar sus recursos para recuperar esa información, sino también tuvo que encarar un litigo federal con demandas presentadas por empleados que estaban aterrados de que les hubieran robado sus identidades.

Casos como este ilustran los ataques de encriptación o de cifrados de disco “bitlocker” que comúnmente encaran los empleadores.  En estos ataques, los datos del empleador se encriptan o bloquean para impedir que el empleador acceda a sus datos. os ataques impiden a los empleadores tener acceso a sus propios datos. E igual de importante, como encaró ExecuPharm, también puede resultar en el robo y emisión de los datos.

Estos ataques sirven para recordar a Recursos Humanos (y no solo al Departamento de Informática) que la ciberseguridad es ahora más importante que nunca. Las buenas políticas y procedimientos de ciberseguridad tienen un papel fundamental en la mitigación de la exposición a la piratería digital y a la difusión inadvertida de información privada. Muchos de estos esfuerzos incluyen educar a los empleados sobre los riesgos y la necesidad de ser diligentes en la creación, el almacenamiento y el mantenimiento de la información confidencial de la empresa. Por ejemplo, los empleados deben estar conscientes y aprender a detectar estafas de “phishing” que pueden provocar brechas de seguridad con filtraciones de datos e intrusiones significativas en su red. Con las redes sociales, los “jaqueadotes” a menudo tienen acceso a información muy personal que utilizan para hacer que sus estafas sean aún más creíbles. Los empleadores deben restringir el acceso a la red para disuadir a los piratas informáticos, pero también para limitar el potencial de brechas digitales causadas por personas internas, como los mismos empleados.

Un plan de ciberseguridad fuerte debe considerar cómo proteger los datos de los empleados en poder de los empleadores (piense en toda la información que un empleador recopila acerca de un empleado: número de seguro social, licencia de conducir y/o número de pasaporte, fecha de nacimiento, dirección domiciliaria, dirección de correo electrónico personal, teléfono e información de cuenta bancaria… el sueño de un “jaqueador”).

En nuestros próximos seminarios sobre derecho laboral, nuestro socio Andy McLaughlin (junto con nuestro socio Doug Kilby que se va a unir a él en nuestro seminario en Tallahassee) va a hablar sobre las maneras en que los piratas cibernéticos intentar lograr acceso a los datos de ustedes así como las estrategias para evitar esos ataques.

¡La inscripción ya está abierta para nuestros Seminarios Anuales sobre Derecho Laboral de 2022!

REGISTER FOR TAMPA | October 21 | 8am-3pm | Centre Club | (View Agenda)

REGISTER FOR TALLAHASSEE | November 4 | 8am-1:30pm | Turnbull Center (View Agenda)