hronline
     n. 17 anno 2018

Il GDPR (General Data Protection Regulation) istituisce un nuovo quadro a tutela della privacy, introducendo nuovi obblighi e nuove tutele

di Monica Lucci

Il GDPR sarà direttamente applicabile a partire dal 25 maggio 2018 ed è entrato in vigore il 25 maggio 2016.

Cosa cambia in particolare per la Direzione Risorse Umane?

Dalle fasi di selezione alla rilevazione delle presenze, dalla gestione turni alla localizzazione dei mezzi (... e dei collaboratori) sul territorio, dai dati sulla formazione e gli skills alle valutazioni di performance, sino ovviamente agli adempimenti amministrativi connessi al pagamento degli stipendi e delle ritenute, alle certificazioni dei redditi, alle pratiche di malattia o infortuni, sono numerosi i dati personali che l'organizzazione HR deve trattare nel corso della vita lavorativa (ed anche oltre la vita lavorativa del dipendente. Ed è prassi sempre più diffusa rilevare queste informazioni in modo digitale, comunicare con il personale tramite moduli on-line o con mobile app, usando strumentazione dell'azienda o del dipendente stesso, memorizzando i dati su server aziendali o avvalendosi di piattaforme in cloud magari gestite da terzi.

Tutte le organizzazioni HR hanno dovuto quindi individuare in primo luogo dove i dati dei dipendenti risiedono in azienda e quali sono le categorie di documenti con cui raccolgono, modificano, aggiornano, processano ed archiviano questi dati.

Solo una completa mappatura dei dati permette infatti di disporre delle informazioni di base sulle attività che il titolare del trattamento deve elencate nel registro previsto dal nuovo regolamento europeo.

Quindi nei mesi precedenti al maggio scorso hanno dovuto procedere ad una mappatura by design e by default dei dati personali o particolari dei propri dipendenti.

Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l'adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.

L'articolo 25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.

Privacy by design

Il concetto di privacy by design risale al 2010, già presente negli Usa e Canada e poi adottato nel corso della 32ma Conferenza mondiale dei Garanti privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell'Ontario (Canada).

I principi che reggono il sistema sono i seguenti quelli della LEGITTIMITÀ DEL TRATTAMENTO DATI DEL PERSONALE

Una volta realizzato quantomeno l'inventario dei dati grezzi e dei luoghi di conservazione degli stessi, occorre che l'azienda si domandi in base a quale titolo giuridico ha facoltà di disporre di queste informazioni. A causa della disparità di potere tra l'azienda ed il lavoratore, il consenso concesso da quest'ultimo non può in linea di massima essere considerato "libero". Tutti i dati personali dei propri dipendenti in possesso dell'azienda devono pertanto trovare una giustificazione in una base giuridica diversa dal consenso, ovvero in:

  • Esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga)
  • Adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per fare un calcolo o un conguaglio di imposte)
  • Interesse legittimo del datore di lavoro (quale può essere la prevenzione di danni o perdite, oppure il miglioramento della produttività aziendale).
Vale la pena di soffermarsi sull'ultimo punto, perché se un titolare intende sostenere che una o più categorie di dati personali dei propri dipendenti sono trattati per un "interesse legittimo ", la finalità deve essere legittima e che i mezzi o le tecnologie con cui viene effettuato il trattamento devono essere necessari per perseguire quel legittimo interesse che è stato posto come fondamento giuridico. Si dice inoltre che il trattamento:
  • deve essere proporzionato alle esigenze aziendali;
  • deve essere svolto in modo meno intrusivo possibile;
  • deve essere mirato allo specifico ambito di rischio;
In generale, quando è invocato l'interesse legittimo dell'azienda, devono essere presenti "misure specifiche di attenuazione che garantiscano un equilibrio tra l'interesse aziendale e i diritti e le libertà fondamentali dei lavoratori". Garantendo sempre di non violare la vita privata dei lavoratori.

Privacy by default

Il principio di privacy by default stabilisce, invece, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

L'introduzione di tali due principi obbliga, ovviamente, le imprese a predisporre una valutazione di impatto privacy ogni volta che avviano un progetto che prevede un trattamento di dati.

TRASPARENZA NELL'INFORMATIVA AI DIPENDENTI

Una volta stabilite le basi giuridiche su cui si fonda il trattamento dei dati personali dei propri dipendenti, l'azienda ha il dovere di "informare efficacemente i propri dipendenti su qualsiasi monitoraggio che venga attuato, sulle sue finalità e sulle circostanze nelle quali viene svolto ". Questi principi di massima trasparenza si applicano in tutte le fasi del rapporto con i dipendenti, e dunque anche nelle fasi propedeutiche all'assunzione. I candidati hanno infatti il diritto di essere informati sulle modalità di svolgimento del processo di assunzione, compreso l'esame dei propri profili pubblici sui social network. E quando è chiaro che l'offerta di impiego non verrà fatta o non sarà accettata dalla persona candidata, i dati raccolti devono essere cancellati. Allo stesso modo i dipendenti devono essere informati circa l'esistenza di sistemi di monitoraggio sugli orari, le presenze o gli accessi a specifici locali aziendali o a determinati luoghi di lavoro. Per non dire ovviamente dell'uso di sistemi di monitoraggio delle comunicazioni dei dipendenti, della loro posizione geografica, dell'uso di strumenti elettronici e di ogni altro sistema che potrebbe essere messo in atto anche in modo non del tutto trasparente.

Con l'introduzione del nuovo regolamento sulla protezione dei dati personali, in base all'ormai noto principio di "accountability", viene lasciata alla responsabilità del titolare del trattamento, e quindi all'azienda, ogni decisione in merito a quali dati trattare, su quali basi giuridiche effettuare il trattamento e come realizzare il trattamento nel rispetto dei principi definiti nel GDPR e dunque dei diritti dell'interessato. Nella gestione complessiva dei rapporti di lavoro sotto il profilo della privacy, le aziende che hanno introdotto una gestione in tutto o in parte digitale delle informazioni relative ai propri dipendenti possono trovare nella gestione documentale informatizzata un importante supporto per organizzare con chiarezza il trattamento dei dati dei propri dipendenti. Se pensiamo che la maggior parte dei dati grezzi raccolti sono aggregati o strutturati in documenti elettronici, come una scheda in PDF che permette la visualizzazione e la stampa di dati presenti su una tabella nella base dati aziendale, l'introduzione in ambito HR di processi di gestione digitale dei documenti permetterebbe di associare a specifici workflow tutti i trattamenti dei dati personali che l'azienda attua nei confronti dei propri dipendenti.

Le operazioni comunemente classificate come trattamento dei dati personali sono queste:

raccolta,registrazione,organizzazione,strutturazione,conservazione,adattamento,modifica,estrazione,consultazione,uso,comunicazione,raffronto, interconnessione,limitazione,cancellazione,distruzione.

In caso di gestione documentale elettronica tramite workflow, l'azienda potrebbe associare una o più di queste operazioni a ciascun documento prodotto, modificato, inviato o eliminato. Il DMS aziendale costituirebbe l'archivio corrente di tutti i fascicoli dei dipendenti e sarebbe più semplice attuare le idonee politiche di protezione dai rischi di potenziale perdita o divulgazione, così come disporre degli elementi necessari per effettuare una valutazione del danno in caso di attacchi o di eventi accidentali che possono avere causato la perdita o il sospetto di perdita di informazioni.

CONCLUSIONI
L'introduzione del nuovo regolamento europeo sulla protezione dei dati personali rappresenta per tutte le organizzazioni HR un'opportunità per (ri)disegnare i flussi di processo legati alla gestione del personale. La mappatura dei dati personali è comunque necessaria sia per individuare la base giuridica del trattamento che per predisporre il registro dei trattamenti e potrebbe essere svolta in un ‘ottica di workflow documentale per costruire un modello dinamico, che a sua volta potrebbe agevolare la valutazione preliminare sulla probabilità e sul rischio per i diritti degli interessati.

Monica Lucci, Direttore Risorse Umane, Milano Ristorazione