Imagínese esto: un empleador decide asegurarse de no recopilar ningún dato mientras usa la tecnología para imponer el distanciamiento social en el trabajo y mantener seguros a sus empleados.
Primero, envía a cada empleado un termómetro personal nuevo y les pide que revisen su temperatura cada mañana. Si se encuentran por debajo del umbral de riesgo y deciden ir a la oficina ese día, solo necesitan proporcionar la confirmación de que cumplen con el umbral en la puerta principal. No se registra ni se rastrea nada. Si se encuentran por encima del umbral, pueden trabajar desde casa hasta que estén despejados nuevamente, sin hacer preguntas.
El empleador también proporciona dispositivos portátiles personales a los empleados cuando cada uno regresa a la oficina por primera vez. Los dispositivos miden su proximidad a otros wearables y emiten una pequeña señal de audio como recordatorio de la distancia social.
Los wearables no recopilan ni procesan ningún dato. El resultado es un dispositivo portátil que permite al empleador brindar seguridad y privacidad a los empleados sin tener que cambiar uno por el otro. Si bien equilibrar la seguridad, la productividad y la privacidad, tres objetivos aparentemente enfrentados, crea dilemas para los empleadores, existen formas de lograr los tres sin concesiones.
Tomemos, por ejemplo, privacidad versus seguridad. La compensación sería, ¿cuánto invadimos la privacidad para ofrecer un cierto nivel de seguridad? Esa pregunta enmarca la solución como un compromiso entre los dos; de hecho, sería mejor intentar cumplir con ambos valores.
A medida que los empleados regresan a la oficina, los empleadores recopilar más datos para garantizar la seguridad y la productividad. Al adoptar un enfoque basado en el riesgo, que considera qué datos se recopilan y cómo se utilizan, las organizaciones pueden proteger a los empleados mientras gestiona el riesgo de privacidad.
Cuanto mayor sea el riesgo, más importante es justificar que una solución particular es de hecho equilibrada y proporcional al riesgo que estamos evaluando. A continuación, se incluyen seis principios para guiar la recopilación de datos de los empleados basada en el riesgo.
Procesamiento intencional
Si decide recopilar datos, asegúrese de que tenga un propósito predefinido. Por ejemplo, es posible que sienta que el almacenamiento de lecturas de temperatura diarias es necesario para rastrear tendencias y detectar anomalías en nombre de sus empleados.
Puede estar justificado mantener datos históricos, pero ¿por cuánto tiempo? Si los datos solo se utilizan para rastrear cambios repentinos, conservar los datos del mes pasado no será útil, por lo que le recomendamos que los elimine. Del mismo modo, una vez que la verificación de temperatura ya no es obligatoria o recomendada, no hay razón para mantener ningún dato personal relacionado con el programa.
Una vez que los datos han cumplido su propósito, no hay razón para seguir recopilándolos y almacenándolos.
Como práctica estándar, si los datos ya no son valiosos para la organización y no existe un requisito reglamentario para conservarlos, los líderes de datos deben priorizar la minimización del riesgo que estos datos representan para la privacidad de los usuarios individuales. Aunque los asuntos de privacidad a menudo plantean ideas de «hacer lo correcto» para el interesado, las regulaciones como GDPR imponen fuertes multas, lo que hace que lo mejor para la privacidad individual sea igualmente bueno para las empresas.
Al evaluar sus datos para validar mejor lo que se queda y lo que se va, considere calcular el valor realizado que los datos aportan a la organización (real, no potencial) y el riesgo que conlleva en términos financieros.
Proporcionalidad
Por defecto a la medida menos invasiva posible para satisface tus metas. Una vez que una medida se vuelve desproporcionada con el riesgo o el propósito se puede lograr de una manera diferente, elimínela.
Tomar muestras de sangre de los empleados todas las mañanas sería el método más seguro para rastrear el virus en el lugar de trabajo. Sin embargo, este método también es el más caro, el más intrusivo y es probable que se enfrente a una fuerte oposición de todos los involucrados; dado que también debería ser un programa opcional, la falta de participación obstaculizará en gran medida la eficacia. También es evidente que las muestras de sangre contienen ADN, que tiene los datos más confidenciales sobre esa persona; recopilarlos como empleador puede ser excesivo.
Dejando de lado este ejemplo, cuanto menos intrusiva sea una medida y menos sensibles sean los datos que recopila, menos resistencia enfrentará y menos problemas de privacidad tendrá.
Subsidiariedad
Pregúntese, ¿qué cantidad de datos es suficiente? ¿Puede lograr el mismo propósito con menos datos personales o sin procesar datos personales en absoluto? Recoge solo la cantidad mínima necesaria.
Para las tecnologías de rastreo de contactos, se pueden recopilar muchos puntos de datos: personas con las que interactuaron, ubicación, tiempo pasado en cada ubicación, horas en que se activó / desactivó. Si se usa fuera de la oficina, la cantidad de puntos de datos se multiplica por diez: lugares de ocio, domicilios particulares y familiares, información sobre viajes cotidianos y más.
Como puede imaginar, estas tecnologías pueden evolucionar muy rápidamente y usarse con fines de monitoreo, ya sea de manera deliberada o accidental, todo lo cual podría beneficiar a la organización pero a costa de la privacidad.
Cuando busque recopilar datos e implementar un método para hacerlo, asegúrese de recopilar solo lo que necesita. El rastreo de contactos simple no necesita rastrear todas las cosas posibles, hacerlo solo aumentará la complejidad de la administración y los riesgos involucrados; mantener las tecnologías de datos enfocadas y funcionales es clave.
Transparencia e igualdad
No hagas nada en la oscuridad. Sea muy claro para el personal qué datos recopila, con qué fines y quién tiene acceso a ellos.
Si ha revisado sus políticas de protección de datos a la luz de Covid, compártalas con los empleados y el público. Esto no solo hará que la organización sea responsable de sus usos de nuevos datos personales, sino que también aumentará la conciencia entre los empleados y abrirá la discusión sobre privacidad para preguntas y escrutinio.
Aplicar medidas por igual para todo el personal para prevenir la discriminación y proteger la autonomía. Trabaje con RR.HH. para comprender las posibles sensibilidades culturales a los diferentes procedimientos para asegurarse de que las tecnologías de seguridad y privacidad sean accesibles para todos los que las necesiten.
Decisiones basadas en riesgos
Tome decisiones a la luz de los riesgos que intenta mitigar y reconozca, y comunique, que las decisiones están sujetas a cambios. No dude en volver sobre los pasos dados al principio y realizar los ajustes necesarios a medida que las cosas cambien para mantener o mejorar la seguridad.
Cuando se trata de regresar al lugar de trabajo, cada decisión conlleva cierto riesgo. Seguir estos principios proporciona a los empleadores un marco para evaluar y mitigar el riesgo de privacidad al tomar decisiones basadas en la situación actual y continuar midiendo la relevancia de las decisiones a medida que cambian las condiciones.
Bart Willemsen es vicepresidente de investigación de Gartner