Partiamo dalla base: che cosa è il GDPR e cosa rappresenta?

Il GDPR sostituisce la direttiva UE sulla protezione dei dati, adottata nel 1995. Il nuovo regolamento è destinato a fornire ai cittadini dell’UE una serie di vantaggi, tra cui un più facile accesso alle informazioni personali gestite dalle società e ai dettagli sull’utilizzo dei propri dati. Dà inoltre ai cittadini il diritto alla portabilità dei dati e il diritto alla cancellazione. Inoltre, il GDPR conferisce a tutti i cittadini dell’UE il diritto di sapere quando i loro dati sono stati compromessi entro 72 ore dalla violazione.

Ai sensi del GDPR, i dati personali devono essere trattati secondo determinati principi.

Sebbene questi siano sostanzialmente simili a quelli previsti dalla direttiva sulla protezione dei dati (DPD), ci sono importanti novità per quanto concerne il concetto di responsabilità.

Per i team delle risorse umane le tradizionali giustificazioni per il trattamento dei dati dei dipendenti potrebbero dover essere riviste così come i processi di raccolta, utilizzo e conservazione.

 

I principi del GDPR: Legittimità, correttezza e trasparenza

Il GDPR richiede che il responsabile del trattamento fornisca all’interessato informazioni sul trattamento dei dati personali in modo conciso, trasparente e intelligibile, ben distinto da altre tematiche che intercorrono tra il dipendente e l’azienda.

È importante ricordare che i dati non vengono sempre raccolti direttamente dalle persone ma possono arrivare da fonti terze. Il GDPR ha una lista obbligatoria delle informazioni che devono essere fornite alle persone per entrambe le tipologie di fonti.

  • Raccolta dei dati solo per un determinato scopo

Il trattamento dei dati personali è consentito solo se è conforme allo scopo originale per il quale sono stati raccolti. L’elaborazione “per un ulteriore scopo” richiede un’ulteriore autorizzazione. L’unica eccezione si ha quando “l’ulteriore scopo” è “compatibile” con lo scopo originale.

  • Dati strettamente necessari

I responsabili del trattamento dei dati devono garantire che vengano gestiti solo i dati personali necessari per ciascuna specifica finalità. Ai sensi del GDPR, i dati devono essere “adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati”. I dati potranno inoltre essere gestiti solo per un determinato periodo temporale ben definito.

 

 

“Il GDPR è da considerarsi un processo continuo e non un compito o una casella da spuntare. Maggio 2018 sarà solo il punto di partenza per un adempimento continuo. La normativa introduce un approccio di responsabilità: ogni azienda dovrà fare una valutazione delle proprie attività di elaborazione dei dati e dovrà dimostrare e documentare la propria conformità attraverso la registrazione precisa di tali attività, rispettando l’attuazione della protezione alla privacy secondo i principi di progettazione dettati dall’azienda stessa”,

sottolinea Cécile Georges, Global Chief Privacy Officer di ADP

 

 

Quali sono gli aspetti del GDPR che più direttamente toccano il mondo delle risorse umane?

In generale, i principi del Gdpr si applicano a tutti i tipi di dati personali, fatta eccezione per quelli particolarmente sensibili, che sono soggetti a restrizioni ancora maggiori, come il credo religioso o lo stato di salute. Proteggere i dati vuol dire proteggere le persone e poiché le risorse umane si occupano di gestire queste ultime, i dipartimenti Hr saranno ovviamente chiamati ad applicare e rispettare la nuova regolamentazione.

Per adeguarsi alla legislazione, innanzitutto, i diversi reparti aziendali sono chiamati ad approfondire la propria conoscenza in materia di data protection. Ai fini di un’efficace protezione dei dati chi si occupa di compliance dovrà, unitamente all’ufficio legale, iniziare a comprendere il funzionamento dei diversi processi di business. D’altro canto, le risorse umane non potranno astenersi dal conoscere in maniera puntuale la normativa vigente. Ecco perché è prevista l’introduzione di una nuova figura Hr specializzata nella protezione dei dati, simile a quella degli specialisti di sistemi informativi per le Hr.

Nella misura in cui gestiscono dati sensibili, i responsabili Hr dovranno poi adattare le proprie procedure interne in modo da renderle conformi agli specifici requisiti di legge sul trattamento dei dati messi in atto dal Gdpr.  Anche le informazioni sul trattamento dei dati dovranno sempre essere chiare e trasparenti nei confronti del dipendente proprietario degli stessi.

I dati trattati, inoltre, dovranno essere accurati, perciò le Hr avranno la responsabilità di lavorare sulla qualità ed estrema accuratezza dei dati rilasciati dai propri dipendenti. Infine, i dati non potranno essere conservati per sempre. Le Hr dovranno, dunque, prevedere dei modelli di archiviazione che consentano anche di cancellare o anonimizzare agevolmente i dati nel momento in cui non saranno più necessari all’azienda.