Il 25 Maggio 2018 entra in vigore il GDPR (General Data Protection Regulation) con cui l’Unione Europea rafforza la protezione dei dati di tutti i cittadini europei.
Per chi si occupa di HR in azienda è un tema da non sottovalutare, poiché impone diverse nuove attenzioni alla gestione dei dati del personale e sanzioni, per chi non adempia agli obblighi, fino al 4% del fatturato aziendale mondiale annuo.
Ma cerchiamo di comprendere un po’ meglio di cosa si tratta.
Il GDPR si occupa di tutelare i dati personali di tutti i cittadini UE e coinvolge quindi chiunque abbia a che fare con questo genere di dati, indipendentemente dal settore di business e dalla tipologia di organizzazione.
Un articolo del GDPR è dedicato specificamente alla gestione dei dati dei dipendenti. È facile comprendere quindi come le risorse umane rivestano un ruolo importantissimo nella strategia di compliance al GDPR.
Ma cosa si intende per dati personali?
In relazione ai dipendenti di un’azienda, sono considerati dati personali tutte le informazioni riguardanti una persona fisica identificata (il cosiddetto “interessato”). Vi sono poi alcune tipologie di dati, i dati sensibili, che non possono essere raccolti dal datore di lavoro, fatto salvo in alcuni casi specifici, come la medicina del lavoro.
Che cos’è il principio di portabilità?
Con il GDPR viene introdotto il principio di portabilità dei dati: viene cioè esplicitato che ciascun dipendente interessato potrà richiedere in qualunque momento al datore di lavoro i dati personali che lo riguardano e che questo è tenuto a fornirglieli in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.
Che cos’è il principio di integrità e riservatezza?
Chiunque si occupi di Risorse Umane sa bene quanto sia fondamentale assicurarsi che i dati gestiti siano sempre sicuri ed accessibili solo a chi interessato. Anche il GDPR naturalmente sottolinea questo aspetto prescrivendo che i dati personali siano trattati in modo da garantirne un’adeguata sicurezza da trattamenti illeciti, dalla perdita o dal danno accidentale.
Ulteriori principi contenuti nel GDPR impongono inoltre che i dati personali dei dipendenti vengano trattati in modo trasparente nei confronti dell’interessato, raccolti solo per finalità determinate, esatti ed aggiornati e conservati solo per il tempo necessario al conseguimento delle finalità per le quali vengono trattati.
Chi sono i soggetti coinvolti?
Il GDPR prevede che vengano individuati 4 soggetti: titolare, responsabile, contitolari del trattamento e responsabile della protezione dei dati. Tutti i soggetti sono responsabili per il risarcimento del danno qualora non venissero rispettate le normative introdotte dal GDPR.
Cosa richiede alle aziende il GDPR?
Le indicazioni che vengono impartite in merito alla gestione dei dati dei dipendenti non sono particolarmente specifiche. Riassumendo il GDPR richiede che ciascuna impresa adotti tutte le misure necessarie per trattare correttamente i dati del personale secondo i principi di trasparenza, necessità e minimizzazione. Ciascun lavoratore deve essere informato sulle modalità in cui vengono trattati i suoi dati e sulle possibili violazioni che potrebbe trovarsi a commettere nella gestione dei dati. I dati dei lavoratori devono essere utilizzati solo per finalità aziendali secondo regolamenti e policy ad hoc, anche in merito agli strumenti tecnologici utilizzati.
Cosa richiede il GDPR ai responsabili HR?
Chiunque si occupi di Risorse Umane in azienda, deve mettere tutto lo staff nella condizione di poter sempre accedere ai propri dati personali in modo semplice e tempestivo. Ogni dipendente può chiedere informazioni in merito alla sicurezza dei suoi dati, fino a richiederne la cancellazione (diritto all’oblio) nel momento in cui non fossero più necessari per le finalità per cui erano stati raccolti. Fondamentale il principio dell’accountability, secondo cui è necessario assumere atteggiamenti proattivi per dimostrare di aver messo in pratica tutte le misure tecniche ed organizzative per dimostrare la compliance dei processi aziendali con il GDPR.
In concreto, è bene che ogni HR mappi in modo chiaro tutti i dati in possesso dell’azienda relativi a ciascun collaboratore, e comprenda come questi dati vengano utilizzati e le elaborazioni cui vengono sottoposti. Una volta creato il quadro completo, si deve analizzare il processo attivo in azienda per comprendere se rispetti gli obblighi prescritti dal GDPR.
Quali sono le sanzioni previste?
Per tutte le organizzazioni che dopo il 25 Maggio 2018 non avessero adeguato la gestione dei dati del personale alle nuove regole del GDPR, sono previste sanzioni fino a 20 milioni di euro o, se superiore, il 4% delle entrate globali annue.
Un altro aspetto cui fare attenzione è quello della compliance dei vostri fornitori al GDPR; un esempio fondamentale per l’ambito risorse umane è quello del software HR: il vostro fornitore rispetta la normativa?
Nel blog della prossima settimana vedremo proprio quali caratteristiche deve avere un sistema di gestione risorse umane per essere adeguato al GDPR e come un buon software possa aiutarvi a migliorare la gestione dei dati nel rispetto della normativa.