Qual è il ruolo della GDPR privacy nelle aziende? Come influenzano il lavoro dei responsabili delle risorse umane?
Chi si occupa di gestione delle risorse umane in azienda lo sa bene: ogni giorno si ha accesso ad una grande quantità di dati sensibili e riservati relativi ai dipendenti. I responsabili HR, per la responsabilità e le funzioni stesse del proprio lavoro, hanno una visione completa dei dettagli relativi alle buste paga di tutta l’azienda, delle performance, della storia lavorativa e, a volte, addirittura delle informazioni mediche dei lavoratori.
Un responsabile delle risorse umane, quindi, ha accesso a molte informazioni personali che, nelle mani della persona sbagliata, potrebbero causare gravi danni: nomi, date di nascita, numeri di telefono personali, dati sulla retribuzione, informazioni bancarie e così via.
Gestire tutti questi dati sensibili comporta una grande responsabilità e uno fra i compiti di un responsabile HR è proprio quello di garantire la massima riservatezza a tutti i dipendenti.
Con l’entrata in vigore della GDPR nel 2018, la necessità di gestire i dati dei dipendenti con professionalità e discrezione è notevolmente aumentata. Per questo motivo, è importante che ogni addetto alle risorse umane abbia chiaro il funzionamento della GDPR e le sue implicazioni sulla privacy dei dipendenti
In questo articolo approfondiremo questo tema spiegando cos’è la GDPR, quali sono le sue implicazioni sulla privacy e come influenza il lavoro dei responsabili HR.
- GDPR privacy: cos’è e cosa significa
- Regolamento GDPR privacy: come influenza la gestione HR?
- GDPR privacy Italia: come rispettare il regolamento nel nostro Paese
- I vantaggi di rispettare il regolamento GDPR per le aziende
GDPR privacy: cos’è e cosa significa
Cominciamo come sempre dai concetti fondamentali, per poi approfondire il tema. La prima domanda che spesso viene posta a riguardo è: ma cos’è la GDPR? Cosa significa questo acronimo?
GDPR è l’acronimo dell’inglese “General Data Protection Regulation” (detta anche RGPD nella formulazione italiana) ossia il Regolamento Generale sulla Protezione dei Dati. Si tratta di un regolamento completo (il n. 2016/679) che unifica le leggi sulla protezione dei dati in tutta l’Unione Europea.
La GDPR prevede requisiti molto rigidi per le aziende e le organizzazioni in generale in tema privacy, legiferando circa l’acquisizione, l’archiviazione, il trattamento e la gestione dei dati personali. La GDPR privacy è entrata in vigore ufficialmente il 25 maggio 2018 e può essere applicato anche alle aziende che si trovano al di fuori dell’UE.
Infatti, a prescindere dal luogo della loro sede, le imprese che trattano i dati personali di persone che si trovano all’interno dell’Unione Europea col fine di offrire loro beni o servizi (indipendentemente dalla richiesta di un pagamento) o per monitorare il loro comportamento all’interno dell’Unione dovranno sottostare a questo regolamento.
👉 Qui trovi un elenco completo delle principali leggi sul lavoro che influenzano le risorse umane.
GDPR privacy e dati personali
Ma quando si parla di GDPR privacy, cosa si intende esattamente per “dati personali”? I dati personali rappresentano tutte quelle informazioni che hanno a che fare con una persona fisica, identificata o identificabile, come un nome o un cognome, un numero di identificazione, dati relativi alla geolocalizzazione, password online, o caratteristiche specifiche legate all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale una determinata persona.
I responsabili delle risorse umane, per il naturale svolgimento del loro lavoro, hanno a che fare con questo tipo di dati quasi quotidianamente: curriculum, contratti di lavoro, buste paga, documenti di identità e valutazioni delle performance sono tutti contenitori di dati personali.
👉 Potrebbe interessarti questo articolo sul riconoscimento facciale e come può ottimizzare le HR.
Regolamento GDPR: come influenza la gestione HR?
Anche in Italia, la GDPR privacy impone alle aziende di adottare le misure necessaria per ridurre al minimo la quantità di dati personali acquisiti e archiviati e garantire che non archivino nessuna informazione più a lungo di quanto necessario.
Il regolamento GDPR privacy stabilisce anche chiaramente che l’intero processo di trattamento dei dati personali deve avere una base legale, primo fra tutti il consenso esplicito della persona interessata. Anche se, effettivamente, il consenso al trattamento dei propri dati era richiesto anche prima dell’entrata in vigore del regolamento (per gestire i dati di personale e candidati) la GDPR impone ai responsabili HR di richiedere un consenso che sia “specifico, informato e inequivocabile”.
Oltre a questo, gli addetti alle risorse umane avranno l’autorizzazione a trattare i dati raccolti solo ed esclusivamente per il fine specifico per il quale sono stati dati. Per questo motivo, i dipendenti devono esplicitamente acconsentire e dare il permesso ai datori di lavoro di trattare i loro dati personali.
👉 Fai clic qui per la tua guida completa sulla gestione delle human resources in azienda.
GDPR privacy: cosa è cambiato nella gestione delle risorse umane
L’entrata in vigore della GDPR ha costituito un grande cambiamento per i responsabili HR nella gestione dei dati dei dipendenti. Volendo analizzare la situazione, possiamo delineare i principali cambiamenti apportati al settore HR dal regolamento GDPR:
- Un più ampio campo di applicazione: la GDPR privacy si applica a tutti i tipi di azienda, purché abbiano dei dipendenti operanti in UE. Come dicevamo, anche le aziende con sede fuori dall’UE devono seguire il regolamento se trattano, memorizzano, gestiscono o elaborano dati personali di residenti UE.
- Dati personali ridefiniti: la GDPR stabilisce una definizione più ampia e standardizzata di “dati personali” che è, come anticipato, “qualsiasi informazione relativa a una persona fisica identificata o identificabile”.
- Fornitori ritenuti responsabili: la GDPR impone per la prima volta un regolamento che influisce direttamente anche su chi processa i dati. Ciò include tutte le parti esterne a cui il dipartimento HR si appoggia nell’elaborazione e trattamento dei dati.
- Requisiti standard di notifica delle violazioni: le aziende hanno l’obbligo di segnalare le violazioni dei dati alle autorità di vigilanza entro 72 ore dal momento in cui vengono a conoscenza delle stesse e notificare i dipendenti interessati tempestivamente.
- Nuovi ruoli di sicurezza: se un’azienda gestisce regolarmente dati personali come parte della sua attività principale, è tenuta a nominare un responsabile della protezione dei dati (RPD).
- Nuovi diritti per i dipendenti: il regolamento GDPR privacy fornisce ai dipendenti maggior controllo su come vengono utilizzati i loro dati. Hanno il diritto di accedere, ottenere, rettificare e richiedere la cancellazione dei loro dati personali. Oltre a questo, hanno anche il diritto di essere informati sulle modalità di trattamento dei propri dati nonché di ritirare il consenso al loro trattamento.
👉 A proposito di accesso a dati e informazioni, potrebbe interessarti questa lettura sul knowledge management per scoprire perchè è così importante per la tua azienda.
GDPR privacy: le aziende sono responsabili anche del trattamento dei dati gestito da terzi?
Spesso le informazioni in possesso dei responsabili HR vengono conservate o elaborate da sistemi di terze parti, come nel caso della gestione delle buste paga, dei recruitment software o di qualsiasi altro strumento per la gestione HR.
Anche in questi casi, i professionisti delle risorse umane hanno il dovere e la responsabilità di proteggere i dati personali dei dipendenti anche se archiviati e processati tramite servizi di terze parti e devono assicurarsi che questi servizi elaborino i dati compatibilmente con i requisiti previsti dal regolamento GDPR. Per questo motivo, chi gestisce le risorse umane in un’azienda deve conoscere nel dettaglio i flussi di dati che vengono trasmessi all’esterno, affidandosi solo a terze parti che garantiscano la massima protezione.
GDPR privacy e sanzioni: cosa rischiano le aziende?
Eccoci arrivati ad uno dei temi più caldi relativamente alla GDPR privacy. La domanda classica è: cosa accade alle aziende che non rispettano il regolamento GDPR? Quali sono le sanzioni?
Le aziende che non rispettano i requisiti previsti dalla GDPR rischiano:
- Per violazioni meno gravi, relative alle modalità di esecuzione del trattamento dati: una multa fino a 10 milioni di euro o fino al 2% del fatturato globale dell’anno precedente
- Per violazioni più gravi dei principi generali stabiliti dalla GDPR: una multa fino a 20 milioni di euro o fino al 4% del fatturato globale dell’anno precedente
Partendo dal presupposto che la GDPR impone ai responsabili HR di comunicare tempestivamente la violazione dei dati personali ai diretti interessati (se è probabile che comporti un rischio elevato per i diritti e le libertà delle persone fisiche stesse) un’azienda non conforme subirà un grave danno anche dal punto di vista della propria immagine, perdendo inevitabilmente in credibilità.
👉 Se ne avessi bisogno, qui trovi un’intera guida alla digitalizzazione aziendale.
GDPR privacy in Italia: come rispettare il regolamento nel nostro Paese
Rispettare la GDPR in Italia non è diverso dal farlo in qualsiasi altro Paese dell’Unione Europea. Certamente, raggiungere la piena conformità al regolamento GDPR privacy richiede un piano d’azione ben studiato.
Per aiutarti nel processo, abbiamo messo assieme tutti gli step fondamentali affinché la tua azienda possa essere definita “GDPR compliant”.
1. Esaminare e valutare tutti i dati
La tua azienda dovrà mappare la provenienza di tutti i dati personali gestiti e documentare cosa viene fatto con quei dati. I responsabili HR dovranno identificare il luogo di archiviazione dei dati, chi può accedervi e quali sono i potenziali rischi.
2. Definire quali dati è necessario archiviare
È molto importante non conservare più informazioni del necessario: rimuovi tutti i dati che la tua azienda non utilizza. Se la tua organizzazione ha raccolto una grande quantità di dati senza ricavarne alcun beneficio reale, è fondamentale considerare quali dati sono importanti e quali no. Rispettando la GDPR le imprese sono portate ad un approccio più disciplinato verso il trattamento dei dati personali.
Nel rimuovere i dati non necessari, fatti queste domande:
- Perché stiamo archiviando questi dati anziché cancellarli?
- C’è una motivazione reale?
- Come possiamo organizzare i dati in maniera più efficace?
3. Mettere in atto delle procedure di sicurezza
Sviluppare e implementare misure di sicurezza a protezione dei dati personali dei tuoi dipendenti è importantissimo per evitare il rischio di violazione della privacy. Ciò significa mettere in atto misure di sicurezza concrete per proteggersi dalle violazioni dei dati, e agire con rapidità nell’avvertire sia i diretti interessati che le autorità competenti nel caso in cui si verifichino dei problemi.
Come dicevamo poco sopra, anche i dati condivisi con terze parti rimangono sotto la responsabilità delle imprese. Tutelati contro eventuali violazioni della privacy avvenute a causa di servizi esterni a cui ti affidi e metti in piedi un’infrastruttura di “crisis management” che possa sia prevenire che risolvere eventuali problemi tempestivamente.
4. Rivedere la procedura di acquisizione dei dati
Secondo quanto stabilito dalla GDPR sulla privacy, ogni individuo deve dare il proprio consenso esplicito ed informato riguardo all’acquisizione e al trattamento dei propri dati personali. Le classiche caselle preselezionate e il consenso implicito non vengono assolutamente accettati come validi. Nel caso in cui i tuoi sistemi di raccolta dei dati non fossero aggiornati, dovrai rivedere tutte le tue politiche e informative sulla privacy ed adeguarle se e dove necessario.
5. Stabilire procedure chiare per il trattamento dei dati personali
La tutela della privacy è il primo e fondamentale diritto tutelato dal regolamento GDPR. Per salvaguardare questo diritto dei tuoi dipendenti avrai bisogno di definire delle politiche e delle procedure chiare per gestire al meglio ogni possibile situazione.
Degli esempi di problematiche pratiche che potresti dover affrontare sono:
- Come possono ottenere il consenso di ogni individuo in modo legale?
- Qual è la procedura da seguire nel caso in cui un individuo volesse che i suoi dati vengano cancellati?
- Come posso assicurarmi che la cancellazione avvenga su tutte le piattaforme e i dati vengano davvero rimossi?
- Se, invece, un individuo desidera che i suoi dati vengano trasferiti, come posso farlo?
- Come posso assicurarmi che la persona che ha richiesto il trasferimento dei propri dati personali sia effettivamente la persona che dice di essere?
- Qual è la procedura da seguire in caso di violazione della privacy?
👉 Siamo alle porte del digital change! Fai clic qui per partecipare alla rivoluzione aziendale grazie al software risorse umane di Factorial.
I vantaggi di rispettare il regolamento GDPR per le aziende
Tutti questi requisiti e queste possibili sanzioni, per i responsabili HR può venir facile guardare con frustrazione alla GDPR. La realtà è che può rivelarsi anche un’opportunità per le risorse umane di migliorare la propria sicurezza e trasparenza e, di conseguenza, anche l’employer branding dell’azienda.
Volendo riassumere, ecco i principali benefici e opportunità della conformità alla GDPR per i datori di lavoro:
- Semplificare i processi di gestione dei dati: secondo la precedente direttiva sulla privacy, le leggi erano diverse per tutti i Paesi europei. Lavorando con dipendenti internazionali, gestire i requisiti legali diversi diventa complesso e richiede tempo. La GDPR semplifica la gestione in tutti i Paesi dell’UE, dando ai responsabili HR l’opportunità di semplificare i propri processi. Risultato? Una gestione più facile e un minor carico amministrativo per HR.
- Avere piena fiducia da nuovi assunti e dipendenti: i tuoi dipendenti si sentiranno più sicuri sapendo che i loro dati sono al sicuro nelle mani della tua azienda. Anche i nuovi assunti si sentiranno a loro agio sapendo che il loro nuovo datore di lavoro è conforme alle politiche sulla protezione della privacy in vigore.
- Differenziarsi dalle altre aziende: in un mercato sempre più competitivo, sempre più aziende soffrono di problematiche relative alla violazione della privacy. Anche per questo è importante che la tua azienda prenda sul serio la GDPR. Comunicare la propria conformità al regolamento europeo dimostrerà a clienti e investitori che la tua azienda è proattiva e attenta alla sicurezza dei propri dipendenti.
Scritto da Matteo Pizzinato