Por el equipo de seguridad y privacidad global de Seyfarth
Sinopsis de Seyfarth: Sin duda, ha sido una semana de emociones encontradas en la Agencia del Escudo de Privacidad de California (“CPPA”), cuyas Reglas finales de la CCPA (“Reglas”) fueron aprobadas y presentadas la semana pasada ante la Secretaría de Estado de California por la Oficina de Derecho Administrativo. El acuerdo final fue declarado “con efecto inmediato”. El resultado es que los empleadores de California ahora tendrán una carga significativa de cumplimiento de la ley de privacidad de California que antes no tenían..
Tomado en su rostro, “efectivo inmediatamentesignificaría que la aplicación estaría disponible (si no se aplica) inmediatamente. Sin embargo, como ocurre con muchas cosas sobre la CCPA, es posible que esto no sea definitivo.
En primer lugar, la Ley de Procedimiento Administrativo de California (“APA”) prevé que las reglamentaciones entren en vigencia en una de las cuatro fechas trimestrales en función de cuándo se presenten las reglamentaciones finales ante el Secretario de Estado. Según la APA, la fecha de entrada en vigencia aún sería el 1 de julio, ya que las regulaciones se presentaron entre el 1 de marzo y el 31 de mayo. Ver California. Código de Gobierno §11343.4(a)(3).
En segundo lugar, la Proposición 24 (la enmienda real a la CCPA) en sí misma proporciona el cronograma para la implementación de las nuevas disposiciones de la CCPA. Concretamente Cal. Civil. El código §1798.185(d) establece “Sin perjuicio de cualquier otra ley, la ejecución civil y administrativa de las disposiciones de ley adicionadas o reformadas por esta ley no comenzará hasta el 1 de julio de 2023.”
Para complicar aún más las cosas, el 30 de marzo de 2023, el día después del anuncio de las nuevas regulaciones finalizadas por CAPP, la Cámara de Comercio de California presentó una demanda contra la Agencia en busca de una reparación declaratoria y una orden judicial para retrasar la ejecución. La demanda solicita el aplazamiento de la ejecución hasta un año después de que se finalicen los acuerdos. Las reglamentaciones originales exigidas por la CPRA se aprobarán en julio de 2022 y la implementación comenzará en julio de 2023. La demanda de la Cámara presenta numerosas alegaciones, entre ellas, que las nuevas reglamentaciones están incompletas y se pusieron en marcha apresuradamente debido a los propios retrasos internos de CAPP y la eliminación del puerto seguro para la aplicación combinado con el período más corto entre la regulación y la aplicación da como resultado una dificultad excesiva. Su argumento con respecto a los datos de aplicación es esencialmente que dado que CAPP no cumplió con la fecha de adopción de las reglamentaciones por aproximadamente ocho meses, los datos de aplicación también deberían retrasarse por el mismo período. No está claro en este momento si este juicio tendrá éxito o no.
Todo esto para decir que si bien el comunicado de prensa de CAPP puede ser técnicamente correcto, la aplicación práctica de la ley a las corporaciones todavía parece estar tomando un pequeño respiro. Dicho esto, a pesar de la continua falta de certeza en torno a esta legislación, es importante continuar fortaleciendo cualquier esfuerzo de cumplimiento continuo por parte de las empresas. Esto es particularmente importante en el contexto de recursos humanos/lugar de trabajo, donde las empresas han ampliado sus obligaciones con los solicitantes, empleados, propietarios, directores, funcionarios y contratistas.
Hay algunas acciones inmediatas cubiertas que las empresas deberán tomar en cualquier eventualidad:
-
Determine qué datos relacionados con los recursos humanos se envían a la CCPA y cuáles no.
- Revisión de exenciones bajo Cal. Civil. Código §§1798.145 y 1798.146. Por ejemplo, los informes de antecedentes de los empleados de las agencias de informes crediticios en virtud de la Ley de informes crediticios justos probablemente estén exentos.
- Revise las leyes federales que anulan expresamente las leyes estatales. Por ejemplo, ERISA generalmente anula la ley estatal y tiene ciertos requisitos de mantenimiento de registros que afectarán la forma en que los empleadores respondan a la solicitud de eliminación, por ejemplo.
-
Revise las nuevas reglamentaciones para las notificaciones y divulgaciones requeridas.
- Redacte una política de privacidad de datos relacionados con recursos humanos para empleados y candidatos. Este es un requisito separado del “aviso de privacidad” anterior que se exigía según Cal. Civil. Code §1798.100 porque todos los requisitos de §1798.130 también están involucrados. Además, las reglamentaciones tienen requisitos separados para las “políticas de privacidad” (bajo el 11 Cal. Code Reg. §7011) y los “avisos de privacidad” (bajo el 11 Cal. Code Reg. §7012).
- La “información personal confidencial” ahora debe abordarse específicamente en las políticas y avisos. Esto puede afectar los datos de informes de la EEOC.
- Desarrolle un “Anexo del proveedor de servicios” para todos los proveedores que tocan los datos cubiertos.
- Las regulaciones requieren un “lenguaje mágico” para que un proveedor siga siendo un “proveedor de servicios”. Si un proveedor no está clasificado como proveedor de servicios o contratista, entonces es un “tercero” y las empresas pierden el “puerto seguro” en torno a la responsabilidad conjunta si el proveedor infringe la CCPA o las reglamentaciones.
Obviamente, hay mucho más para desarrollar e implementar para un programa de cumplimiento integral, pero teniendo en cuenta las consideraciones anteriores, la mayoría de las empresas se mantendrán encaminadas para cumplir (casi) sin importar lo que llegue.
