NY richiederà ai datori di lavoro di fornire un avviso di monitoraggio dei dipendenti Leave a comment

I datori di lavoro che monitorano le attività elettroniche dei propri dipendenti devono tenere presente che lo Stato di New York richiederà presto ai datori di lavoro di (i) fornire un avviso scritto o elettronico ai dipendenti al momento dell’assunzione di tale monitoraggio sul posto di lavoro e (ii) dopo l’avviso di tale monitoraggio. Qualsiasi avviso di questo tipo deve essere pubblicato in modo ben visibile. Sebbene molti datori di lavoro forniscano già un avviso di monitoraggio come parte dei loro programmi di sicurezza informatica e privacy e/o attraverso i loro manuali o altre politiche autonome, e alcuni datori di lavoro forniscono anche tale avviso ai propri dipendenti per limitare asserzioni e affermazioni che i dipendenti hanno qualche aspettativa della privacy nell’utilizzo dell’e-mail del datore di lavoro e di altri sistemi elettronici, lo Stato di New York sta sollevando lo spettro dell’attività esecutiva e delle sanzioni civili se l’avviso del datore di lavoro non descrive il monitoraggio utilizzato nei sistemi del datore di lavoro in modo appropriato e cospicuo.

La nuova legge sul monitoraggio elettronico di New York

L’8 novembre 2021, il governatore Kathy Hochul ha firmato una legge e atto che modifica la legge sui diritti civili e richiede ai datori di lavoro nello Stato di New York di informare un dipendente al momento dell’assunzione nel caso in cui il datore di lavoro “sorveglia o intercetta in altro modo” telefonate, e-mail o l’utilizzo di Internet o l’accesso utilizzando “qualsiasi dispositivo o sistema elettronico” (il “Atto”).^[1] L’avviso deve essere in forma scritta o inviato elettronicamente e il dipendente deve accusare ricevuta per iscritto o elettronicamente. Inoltre, il datore di lavoro deve affiggere l’avviso “in un luogo ben visibile”.^[2] La legge entra in vigore il 7 maggio 2022. A partire da tale data, l’avviso dovrebbe essere fornito ai nuovi assunti e l’avviso dovrebbe essere pubblicato in modo ben visibile in un luogo fisico o nell’intranet aziendale, ad esempio.^[3]

I datori di lavoro che violano la legge, che il procuratore generale è autorizzato a far rispettare, possono essere soggetti a sanzioni civili fino a un massimo di $ 500 per il primo reato, $ 1.000 per il secondo reato e $ 3.000 per il terzo e ogni successivo reato.^[4] Non esiste un diritto privato di azione. I dipendenti che fanno valere altri tipi di rivendicazioni basandosi in tutto o in parte sulla loro aspettativa di privacy sul posto di lavoro, tuttavia, potrebbero cercare di rafforzare le loro affermazioni in caso di mancato rispetto della legge. Sebbene lo Stato di New York non riconosca attualmente un atto illecito di diritto comune basato sull’invasione della privacy dei dipendenti, è probabile che i dipendenti che fanno valere pretese o difese in controversie sul lavoro possano cercare di sfruttare eventuali inadempienze (ad esempio, quando vengono scoperte prove di cattiva condotta dei dipendenti attraverso monitoraggio per il quale non è stato fornito alcun avviso).

La legge prevede anche un porto sicuro, per cui “[t]Le disposizioni della presente sezione non si applicano ai processi destinati a gestire il tipo o il volume della posta elettronica o della segreteria telefonica o dell’utilizzo di Internet in entrata o in uscita, che non sono destinati a monitorare o intercettare la posta elettronica o la segreteria telefonica o Internet uso di un particolare individuo, e che vengono eseguiti unicamente ai fini della manutenzione e/o protezione del sistema informatico.”^[5] Pertanto, alcune attività basate sul sistema come il filtro antispam, i server proxy o le protezioni firewall che si limitano a scansionare o bloccare determinate trasmissioni elettroniche non sarebbero coperte da attività che attiverebbero i requisiti di notifica della legge. Tuttavia, i datori di lavoro dovrebbero fare un inventario di tali sistemi, come gli strumenti di prevenzione della perdita di dati, per determinare se svolgono funzioni aggiuntive che potrebbero attivare un obbligo di notifica.

Sono evidentemente assenti dalla legge le definizioni dei termini “monitor”, “intercetta”, “trasmissione” e “sistemi fotoelettronici o foto-ottici”. Alcune definizioni di alcuni di questi termini sono incluse in altri statuti, ad esempio il Federal Wiretap Act (18 USC §§ 2510-2522), l’Electronic Communications Privacy Act (18 USC §§ 2510-2523) e lo Stored Communications Act ( 18 USC §§ 2701-2712). Tuttavia, ci sono questioni aperte su come i termini legali potrebbero essere applicati nel particolare contesto della legge.

Inoltre, la legge non è, a prima vista, limitata ai sistemi o alle applicazioni dei datori di lavoro. Pertanto, ci sono questioni aperte riguardanti l’applicabilità e l’attuazione di eventuali requisiti di avviso in cui l’utilizzo di un dipendente può essere monitorato quando il dipendente accede al sistema o al dispositivo del fornitore del datore di lavoro.

Sebbene la legge possa essere considerata un nuovo onere per i datori di lavoro di New York, alcuni altri stati hanno già in vigore leggi simili.^[6] In effetti, i datori di lavoro che monitorano regolarmente l’utilizzo di telefono, posta elettronica e Internet per scopi normativi potrebbero già disporre di un qualche tipo di avviso. Anche così, la legge può richiedere a un datore di lavoro di aggiornare tale avviso o disposizione applicabile nel manuale del dipendente o altrimenti disponibile in formato elettronico e di pubblicare di conseguenza l’avviso modificato.

Cosa dovrebbero fare ora i datori di lavoro di New York

• Verifica i sistemi e i dispositivi elettronici e le pratiche informatiche relative a sicurezza, esigenze normative, perdita di dati e conformità per assicurarti di avere una comprensione completa di tutti i modi in cui l’utilizzo elettronico dei dipendenti può essere monitorato o intercettato.

• Redigere un avviso che sia coerente con, e rifletta accuratamente, le pratiche relative al monitoraggio o all’intercettazione di e-mail e altri sistemi elettronici, comprese chiamate telefoniche e utilizzo di internet, e fornire lo stesso, con una sezione di presa d’atto, ai nuovi dipendenti ai sensi della legge.

• Integrare il requisito di riconoscimento nel processo di onboarding o in un altro processo standard entro il 7 maggio 2022 o prima, per garantire che un riconoscimento sia firmato (su carta o in formato elettronico) o altrimenti evidenziato elettronicamente all’inizio del rapporto di lavoro e prima dell’inizio di qualsiasi monitoraggio o intercettare.

• Tenere conto aggiornamento dei manuali e di qualsiasi altra politica pertinente fornire una guida chiara e continua sui tipi di monitoraggio o intercettazione che si verificano e confermare che vi sia una sezione di riconoscimento per il manuale o la politica.

• Pubblica avviso di monitoraggio elettronico in un luogo (fisico o online, o entrambi) che sia visibile per i dipendenti soggetti a tale monitoraggio.

^[1] A.430/S.2628, NY Civ. Legge sui diritti § 52-c.2.(a). “Datore di lavoro” include “qualsiasi individuo, società, partnership, azienda o associazione con una sede di attività nello stato” ma non include “lo stato o qualsiasi suddivisione politica dello stato”. NY Civ. Legge sui diritti § 52-c.1.

^[2] ID.

^[3] Lo scopo dichiarato della legge è “[t]o richiedere ai datori di lavoro che si impegnano nel monitoraggio della posta elettronica dei dipendenti di informare i propri dipendenti in merito a tale monitoraggio. S.2628. Come notato in precedenza, le disposizioni di legge riguardano il monitoraggio dei sistemi elettronici oltre alla posta elettronica.

^[4] NY Civ. Legge sui diritti § 52-c.3.

^[5] ID. § 52-c.4. (enfasi aggiunta).

^[6] Vedi, ad es, Codice Del. tit. 19, § 705(b) (che vieta il monitoraggio o l’intercettazione del datore di lavoro di comunicazioni telefoniche ed e-mail e l’utilizzo di Internet e l’accesso senza preavviso ai dipendenti di tale pratica o politica).