L’impatto del GDPR sulle Risorse Umane

Il GDPR sostituisce la direttiva UE sulla protezione dei dati, adottata nel 1995. Il nuovo regolamento è destinato a fornire ai cittadini dell'UE una serie di vantaggi, tra cui un più facile accesso alle informazioni personali gestite dalle società e ai dettagli sull'utilizzo dei propri dati. Dà inoltre ai cittadini il diritto alla portabilità dei dati e il diritto alla cancellazione. Inoltre il GDPR conferisce a tutti i cittadini dell'UE il diritto di sapere quando i loro dati sono stati compromessi entro 72 ore dalla violazione.

I principi del GDPR

Ai sensi del GDPR, i dati personali devono essere trattati secondo determinati principi. Sebbene questi siano sostanzialmente simili a quelli previsti dalla direttiva sulla protezione dei dati (DPD), ci sono importanti novità per quanto concerne il concetto di responsabilità. Per i team delle risorse umane le tradizionali giustificazioni per il trattamento dei dati dei dipendenti potrebbero dover essere riviste così come i processi di raccolta, utilizzo e conservazione.

Legittimità, correttezza e trasparenza

Il GDPR richiede che il responsabile del trattamento fornisca all'interessato informazioni sul trattamento dei dati personali in modo conciso, trasparente e intelligibile, ben distinto da altre tematiche che intercorrono tra il dipendente e l'azienda.

È importante ricordare che i dati non vengono sempre raccolti direttamente dalle persone ma possono arrivare da fonti terze. Il GDPR ha una lista obbligatoria delle informazioni che devono essere fornite alle persone per entrambe le tipologie di fonti.

Raccolta dei dati solo per un determinato scopo

Il trattamento dei dati personali è consentito solo se è conforme allo scopo originale per il quale sono stati raccolti. L'elaborazione "per un ulteriore scopo" richiede un'ulteriore autorizzazione. L'unica eccezione si ha quando "l'ulteriore scopo" è "compatibile" con lo scopo originale. 

Dati strettamente necessari

I responsabili del trattamento dei dati devono garantire che vengano gestiti solo i dati personali necessari per ciascuna specifica finalità. Ai sensi del GDPR, i dati devono essere "adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati". I dati potranno inoltre essere gestiti solo per un determinato periodo temporale ben definito.

​​Aggiornamento e puntualità dei dati

I dati personali devono essere accurati e aggiornati. I dati inesatti o obsoleti devono essere cancellati o modificati. Ai responsabili del trattamento dei dati è richiesto di adottare "ogni ragionevole sforzo" per adempiere a questo principio.

Eliminazione dei dati non più necessari

Nel momento in cui viene meno lo scopo di raccolta dei dati, è necessario eliminare questi ultimi, a meno che non esistano altri motivi per la conservazione. Ciò significa che dovrebbe esserci un regolare processo di revisione e di pulizia dei database delle risorse umane.

Integrità e riservatezza

Ai sensi del GDPR, come il DPD, i dati personali devono essere protetti dall'accesso non autorizzato utilizzando misure organizzative e tecnologiche appropriate. I responsabili devono valutare i rischi, attuare una serie di misure di sicurezza adeguate e verificare regolarmente che siano funzionanti. Vi sono disposizioni rigorose sulla segnalazione delle violazioni nel GDPR. Per la violazione dei dati le aziende sono soggette a multe salate (multe fino a 20 milioni di euro o il 4% del fatturato globale, a seconda di quale sia maggiore).

Responsabilità

Il principio finale del GDPR stabilisce che i responsabili del trattamento devono essere in grado di dimostrare la conformità con gli altri principi. Questa è una frase breve con importanti implicazioni. Non è sufficiente rispettare ma bisogna dimostrare di essere conformi ai principi del GDPR. La difficoltà di dimostrazione di conformità varierà in base alla complessità dei dati e dei processi di gestione.

Il GDPR si aspetta che le aziende applichino una serie di misure quali: la nomina di un responsabile della protezione dei dati, l'esecuzione (obbligatoria) delle valutazioni d'impatto sulla privacy e la consultazione (obbligatoria) con le autorità di protezione dei dati prima che vengano avviate nuove attività di trattamento dei dati, oltre a tenere registri di tutte le loro attività.

Il consenso informato del dipendente

Uno degli strumenti comunemente adottati per l'elaborazione dei dati personali da parte degli uffici HR è il consenso dei dipendenti. Per il GDPR, il consenso deve essere "liberamente sottoscritto, specifico, informato e non ambiguo". Dato lo squilibrio di potere tra dipendenti e datori di lavoro, sarà difficile poter dimostrare che il consenso sia stato fornito senza alcuna "pressione".

L'interessato ha inoltre il diritto ritirare il proprio consenso e di chiedere la cancellazione dei propri dati con il nuovo "diritto all'oblio" a meno che non vi siano altri motivi che ne impediscano la cancellazione.
Le organizzazioni, infine, devono anche essere in grado di fornire copie elettroniche dei dati privati ​​su richiesta del dipendente, specificando i dettagli sull'archiviazione e sullo scopo del trattamento.

Benefici del GDPR

L'adozione del GDPR non è tuttavia priva di vantaggi. Sarà applicabile a tutte le aziende operanti nei Paesi aderenti alla UE. La Commissione europea stima che il GDPR porterà ad un risparmio per le aziende pari a circa 2,3 miliardi di euro all'anno di costi amministrativi.

Conclusioni

Da un punto di vista pratico, con l'entrata in vigore del GDPR bisognerà garantire ai dipartimenti HR i processi e gli strumenti tecnologici adeguati per raccogliere, tracciare, gestire e aggregare in modo affidabile l'ampio volume e la varietà delle informazioni dei dipendenti. Questo potrebbe essere un obiettivo molto impegnativo per tutte quelle aziende che gestiscono i dati del personale su sistemi diversi (cartelle sul server aziendale, file excel, word, e-mail, ecc.). In queste condizioni, anche fornire una copia al dipendente dei suoi dati, può diventare un compito arduo.

Gli esperti concordano che l'uso efficace della tecnologia (software e hardware) è fondamentale per le organizzazioni per monitorare tutti i dati sensibili. I sistemi di gestione del personale sono un valido supporto per gli staff HR per la gestione quotidiana dei dati dei dipendenti e dei candidati.

Infine è necessario ricordare che il GDPR non si applica solo alle aziende che trattano i dati personali dei propri dipendenti ma anche ai fornitori di servizi HR (es. studi paghe, patronati, ecc.).