septiembre 7, 2023
El tribunal dice que los empleadores son responsables del robo de identidad de los empleados, independientemente de los daños monetarios
Los empleadores hacen todo lo posible para proteger sus datos de filtraciones por parte de intrusos. Pero ¿qué pasa con los datos de los empleados que puedan existir en los servidores de la empresa? Ahora los empleadores también son responsables de la seguridad de esos datos.
En un caso federal reciente, Clemens contra ExecuPharm Inc., 48 F.4th 146, 157–58 (3d Cir. 2022), el Tribunal de Apelaciones del Tercer Circuito sostuvo que una empleada tenía legitimación activa para presentar demandas por negligencia e incumplimiento de contrato contra su empleador después de que su información personal fuera publicada en la web oscura. debido a una violación de datos, según una publicación del bufete de abogados Porzio, Brombert and Newman. “El empleador, una subsidiaria farmacéutica global conocida como ExecuPharm, exigió a la demandante que proporcionara información personal y financiera confidencial, incluida información sobre sus cuentas financieras y su número de seguro social, y prometió tomar 'medidas apropiadas' para proteger esta información después de que fuera almacenado en sus servidores'”.
Después de que terminó el trabajo del empleado, un grupo de piratas informáticos accedió a la información personal del demandante y la publicó en sitios web de la web oscura. ExecuPharm notificó a sus empleados actuales y anteriores sobre la infracción y les aconsejó que tomaran medidas. La demandante así lo hizo y su información personal nunca fue utilizada de forma no autorizada. Sin embargo, a pesar de no sufrir daños monetarios, el demandante presentó una demanda por negligencia e incumplimiento de contrato. Aunque el caso fue desestimado en el Tribunal Federal de Distrito, la demandante ganó el caso en apelación. El tribunal dijo que la “divulgación de información privada” por sí sola constituía un daño reconocible, junto con angustia emocional y de otro tipo:
“En un mundo cada vez más digitalizado, el deber del empleador de proteger la información confidencial de sus empleados se ha ampliado significativamente. La seguridad de la información ya no es una cuestión de mantener bajo llave un pequeño universo de documentos impresos confidenciales. Ahora, los empleadores mantienen enormes conjuntos de datos en redes digitales. Para proteger los datos, deben implementar medidas de seguridad adecuadas y garantizar que esas medidas sigan cumpliendo con los estándares industriales en constante cambio”.
Según la publicación del bufete de abogados, “La decisión del Tribunal presenta una advertencia clara a los empleadores, quienes pueden ser responsables ante sus empleados por violaciones de seguridad y datos incluso si los empleados no sufren ningún daño financiero real. La decisión crea una nueva capa de complejidad para los empleadores que enfrentan amenazas a la ciberseguridad, quienes ahora enfrentan una posible responsabilidad ante sus empleados actuales y anteriores, además de las otras numerosas consecuencias negativas que pueden derivarse de una violación de datos.
"En el futuro, los empleadores deben asegurarse de mantener medidas de seguridad apropiadas y actualizadas para brindar una protección sólida y amplia a la información confidencial almacenada en sus servidores y comprender que una violación de datos puede exponerlos a demandas de los empleados".