Perché Bisogna Adeguare la Gestione delle Risorse Umane al GDPR

La gestione delle risorse umane e dei dipendenti con il GDPR

Ben ritrovati sul blog di Archimede, fonte periodica di informazioni sul mondo del lavoro e sulle più importanti novità in ambito di gestione del personale.

Come certo avrai saputo, il 25 maggio 2018 diverrà operativo nel nostro Paese il regolamento generale sulla protezione dei dati (Regolamento Europeo 2016/679 o GDPR ): esso sarà applicabile a tutte quelle imprese (anche se non europee, e  a prescindere dal loro business) che entrano in contatto con dati dei cittadini UE.
Si tratta delle più grandi innovazioni in ambito di protezione dei dati personali degli ultimi 30 anni, improntata a garantire una maggiore trasparenza sulla gestione dei dati, e contemplerà numerose misure di tutela quali:

  • Regole più chiare sull’informativa da offrire e sul consenso da richiedere
  • Necessità di tracciare le informazioni memorizzate per poterle in ogni momento rendicontare
  • Proteggere in maniera automatica dal potenziale uso improprio dei dati
  • Introdurre misure di difesa dai tentativi di accesso non autorizzati
  • Conoscere l’impiego che verrà fatto dei dati
  • Prevedere criteri rigorosi per il trasferimento dei dati ad altri soggetti

L’adeguamento al nuovo GDPR richiede che le aziende si approccino al trattamento dei dati personali secondo principi di trasparenza, necessità e minimizzazione. I sistemi approntati dalle imprese per il trattamento e la conservazione dei dati in proprio possesso dovranno essere rivisti per omologarsi a quanto previsto dalla normativa europea.

Quello che non tutte le imprese sanno è che il nuovo regolamento si estende anche ai dati relativi ai propri dipendenti e ai fornitori di servizi HR (studi paghe, consulenti fiscali, patronati ecc.). Il personale infatti si configura al pari dei clienti e i dati che lo riguardano devono essere gestiti secondi criteri di sicurezza e conformità.

Per dati personali dei dipendenti si intende ogni informazione direttamente o meno riconducibile a un individuo (“l’interessato”). Il GDPR prevede che ciascun dipendente possa richiedere in ogni momento al datore di lavoro i dati personali che a lui riferiti e che abbia diritto a riceverli in una formato accessibile da un dispositivo automatico.

Il trattamento dati HR nell’ambito del rapporto di lavoro

La gestione delle risorse umane e del payroll richiede quindi di mappare i dati dei dipendenti come:

  • Salari e rimborsi spese
  • Dati medici
  • Fascia di reddito
  • Stato civile
  • Congedi parentali
  • Corsi di formazione
  • Rimborsi spese per viaggi
  • Situazioni familiari
  • Iscrizione a sindacati
  • Gestione dei mezzi aziendali
  • Videosorveglianza sul porto di lavoro
  • Curriculum, moduli di richiesta assunzione sottoposti durante le candidature
  • Lettere di candidatura, documenti di identità, foto e attestati forniti nel processo di selezione

per potere essere certi di poterli individuare, aggiornare e rendicontare in maniera semplice e tempestiva

Le novità introdotte dal GDPR si aggiungono a quelle già previste in merito agli altri aspetti dell’utilizzo delle informazioni come:

  • il disciplinare interno sul corretto utilizzo della posta elettronica dei dipendenti e/o dei collaboratori
  • le disposizioni dell’articolo 4 dello Statuto dei Lavoratori in ambito di controllo a distanza dei lavoratori, che prevede la necessità di fornire adeguata informazione al dipendente come condizione per effettuare i controlli

Diverrà fondamentale stabilire se l’interessato abbia fornito il consenso al loro trattamento, dove essi vengono salvati, per quanto tempo verranno conservati, le finalità per le quali saranno trattati.

Il titolare dei dati dovrà esprimere il proprio consenso liberamente con la facoltà di ritirarlo in ogni momento. Gli interessati potranno accedere alle informazioni sul flusso di dati che li riguarda, richiedere la rettifica o eliminazione dei dati non più necessari.

Come adeguare la gestione dei dipendenti al GDPR

L’evoluzione tecnologica va di pari passo con quella del mondo del lavoro: i dati delle risorse umane sono un asset strategico per le imprese, e come tali devono essere protetti.
Investire nell’adeguamento al GDPR significa puntare sulla propria competitività nel mercato internazionale, sul difendere la sicurezza di coloro che ci affidano le proprie informazioni, dimostrare di essere competenti e degni di fiducia.

Non sono rare le situazioni in cui le imprese archiviano le informazioni sul proprio staff all’interno di fogli di calcolo, documenti di testo, email db non crittografati, spesso collocati in cartelle fisiche e digitali nemmeno ascrivibili alle stesse posizioni. Senza contare inoltre il rischio di possedere versione duplicate delle informazioni sulle persone (e magari nemmeno aggiornate fra di loro).

Per quanto riguarda la gestione della privacy dei dati dei dipendenti occorrerà:

  • Realizzare quali dati del personale sono in proprio possesso
  • Stabilire dove sono memorizzati i dati relativi ai propri dipendenti
  • Provare ai dipendenti che ne facciano richiesta di avere eseguito quanto richiesto

Si tratta ovviamente di un grande volume di dati che crescono esponenzialmente con le dimensioni aziendali e con l’inspessirsi della rete di relazioni che legano alle imprese alle altre per quanto concerne lo scambio delle informazioni.

Il GDPR si estende a tutti i sistemi interni che hanno accesso ed elaborano i dati personali dei dipendenti, compresi i flussi in entrata e in uscita di informazioni sensibili.
Ogni organizzazione HR dovrà quindi mappare i dati del personale aziendale in proprio possesso, comprendere come essi vengono utilizzati ed elaborati.

Dovrà essere nominato un DPO (Data Protection Officer o Responsabile della protezione dei dati), come previsto dal GDPR all’articolo 37, per i soggetti le cui attività in primis consistono in “trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati “ (es. istituti di credito, assicurazioni, sindacati, società di fornitura servizi energetici…).
Negli altri casi il DPO non è espressamente richiesto, seppure sia consigliato per agevolare una cultura di tutela informatica.

Il responsabile della protezione dei dati agisce in maniera autonoma per quanto concerne l’esecuzione dei compiti, con risorse proporzionate all’obiettivo da raggiungere, e riferisce direttamente ai vertici direttivi. Esso può essere sia un dipendente che il titolare dell’impresa, così come un soggetto esterno appositamente individuato (anche se sarebbe preferibile non incaricare membri dell’alta direzione che potrebbero evidentemente trovarsi in conflitto di interessi).

Lo staff delle risorse umane dovrà essere in condizione di poter accedere ai propri dati personali in maniera semplice e tempestiva, di garantire ai titolari il diritto ad accedere alle proprie informazioni, a chiederne eventualmente l’integrazione o la cancellazione.

I responsabili HR dovranno quindi coordinarsi con gli uffici legali per approfondire le implicazioni della normativa vigente in fatto di sicurezza informatica delle risorse umane, per lavorare in un’ottica di qualità e accuratezza sulle informazioni sensibili dei propri dipendenti, garantendo policy attinenti e aggiornate e modelli di archiviazione in grado di agevolare la modifica e cancellazione delle informazioni quando necessario.

Gli IT Manager dovrebbero essere coinvolti nelle procedure informatiche da mettere a punto per stimolare la consapevolezza della sicurezza dei dati per le organizzazioni: a tale fine il team che supervisiona le risorse umane potrebbe dover rivedere le proprie policy di raccolta, utilizzo e conservazione delle informazioni.

Come sappiamo, secondo il GDPR il consenso deve essere “liberamente sottoscritto, specifico, informato e non ambiguo”.

La giustificazione giuridica per la conservazione delle informazioni, stando a quanto afferma il gruppo di lavoro UE Articolo 29 può trovarsi:

  • Nell’esecuzione di obblighi riconducibili a un contratto di lavoro
  • Nell’interesse legittimo alla conservazione o al miglioramento della produttività aziendale, avvalendosi di mezzi necessari per perseguire tale interesse
  • Nello svolgimento di obbligazioni previste dalla Legge

Il responsabile del trattamento deve fornire quindi all’interessato un’informativa chiara e trasparente:

  • Chiarimenti sullo scopo per il quale i dati vengono acquisiti, memorizzati e trasmessi. Eventuali utilizzi al di fuori dello scopo originale richiedono ulteriori autorizzazioni, a meno che il nuovo scopo non sia “compatibile” con il precedente.
  • Garantire di acquisire solamente i dati personali necessari per adempiere a una specifica finalità, in maniera strettamente pertinente allo scopo prefisso, e per un periodo temporale definito

Per agevolare la conservazione, la rendicontazione e l’aggiornamento dei dati sarà consigliabile generare una mappatura dei dati.
Nel caso della gestione delle risorse umane potrebbe trattarsi dei dati quali:

  • Valutazione delle performance
  • Processi di formazione
  • Buste paga
  • Processi selettivi dei candidati
  • Messaggi di posta elettronica (con il provvedimento del 22 dicembre 2016 il garante ha affermato che non sussiste il requisito di necessità, non eccedenza e pertinenza alla base della conservazione per oltre 10 anni delle comunicazioni elettroniche

Se venissero riscontrate eventuali violazioni del sistema informativo relate ai dati dei dipendenti, il responsabile del trattamento dati dovrà informare i titolari qualora ciò possa comportare i loro diritti e libertà.

Una tecnologia software appropriata è necessaria per garantire la compliance ai dettami della nuova disciplina.  La Suite Archimede che verrà rilasciata nel mese di maggio si colloca tra i sistema di gestione della forza lavoro che aiutano nella gestione quotidiana dei dati inerenti al personale.

Software per i turni di lavoro - Suite Archimede 4.0

La Suite Archimede HR mette a disposizione dei lavoratori apposite funzionalità di richiesta ferie che contribuiscono a mantenere aggiornato il quadro delle assenze programmate e della situazione dei turni di lavoro.

Le nuove funzionalità Anagrafiche vi permetteranno di gestire ulteriori informazioni associate agli operatori rispetto alle versioni precedenti: dalle certificazioni alle attività formative conseguite, dalle dotazioni aziendali assegnate al personale (mezzi di trasporto, dispositivi elettronici, vestiario…) alle visite e i certificati medici. Il tutto è finalizzato a cessare l’uso dei fogli elettronici che aumentano il rischio di perdere preziose informazioni, e soprattutto che non rispettano i dettami del nuovo GDPR.

 

Nota bene: questo articolo consiste in spunti di riflessione sull’adeguamento della gestione dei dati del personale alla nuova disciplina e non sostituisce in alcun modo una consulenza legale.

 

 

La Rivoluzione Industriale 4.0: Innovazioni e Incentivi per il Mondo del Lavoro

Rivoluzione Industriale 4.0 e lavoro

Ben ritrovati sul blog di Archimede, società specializzata nelle soluzioni per l’ottimizzazione della forza lavoro e nei software per la gestione dei turni di lavoro.

L’industria 4.0 – dicitura nata un decennio or sono in ambito tedesco – è ancora oggi un fenomeno di non completa definizione e in perenne evoluzione, ma che vedrà di certo una spinta verso una produzione automatizzata e interconnessa, un incremento di interesse nella robotizzazione, nella tecnologia in cloud, nelle grandi moli di dati e nella flessibilità del mondo del lavoro, il tutto finalizzato a una riduzione dei costi e a un’ottimizzazione delle prestazioni. Leggi il seguito

Questo sito utilizza cookie tecnici necessari per garantirne il corretto funzionamento. Per utilizzare le piene funzionalità del sito, clicca su "Accetto i cookie". Per consultare nel dettaglio i cookie impiegati da questo sito e verificare le loro modalità di cancellazione, clicca sulla nostra Privacy Policy. Privacy Policy

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi