Tempo scaduto: Risorse Umane alla prova del GDPR

, ,

Cecile Georges
Cécile Georges

Partiamo dalla base: che cosa è il GDPR e cosa rappresenta? Il GDPR (General Data Protection Regulation) è la modifica delle leggi sulla protezione dei dati più significativa degli ultimi 30 anni. La Direttiva esistente risale infatti al 1995 ed è stata creata prima dell’affermazione dei social network e del cloud, quindi non è più adatta a proteggere i dati personali degli individui in un mondo in cui lo scambio di informazioni personali online è all’ordine del giorno. La Direttiva europea unifica la legislazione nei 28 Stati membri ed è quindi un notevole passo avanti per l’unificazione e la modernizzazione delle leggi sulla protezione dei dati in Europa.

Il GDPR è da considerarsi un processo continuo e non un compito o una casella da spuntare. Maggio 2018 sarà solo il punto di partenza per un adempimento continuo. La normativa introduce un approccio di responsabilità: ogni azienda dovrà fare una valutazione delle proprie attività di elaborazione dei dati e dovrà dimostrare e documentare la propria conformità attraverso la registrazione precisa di tali attività, rispettando l’attuazione della protezione alla privacy secondo i principi di progettazione dettati dall’azienda stessa”, sottolinea Cécile Georges, Global Chief Privacy Officer di ADP.

 

Perché il GDPR è così importante e, potremmo dire, anche temuto?

Non si tratta di una direttiva, ma appunto di un regolamento, il che significa che contribuirà ad armonizzare lo standard di protezione dei dati personali in tutta Europa, non lasciando spazio a interpretazioni o variazioni locali per gli Stati membri.

A livello legislativo è davvero un cambiamento molto importante, perché tiene conto dell’evoluzione dell’economia e del mercato in cui i dati vengono utilizzati, condivisi ed elaborati. Al giorno d’oggi lo scambio e la diffusione dei dati avviene così facilmente e velocemente che l’Unione europea ha per forza di cose visto la necessità di aumentare la protezione delle persone contro l’uso non corretto di tali informazioni personali, che potrebbero in qualche modo essere violate o abusate.

Potremmo dire che lo scopo del GDPR è proteggere le persone contro il potenziale uso improprio dei loro dati. Questo è avvenuto perché le nuove tecnologie consentono un più ampio sfruttamento dei dati personali, come l’utilizzo di informazioni biometriche, processi decisionali automatizzati basati esclusivamente su algoritmi, strumenti di social media…

La legge avrà comunque un impatto positivo per le aziende che operano in Europa, fornendo uno standard più coerente in tutti gli Stati membri, che raggiungeranno così in questo importante campo una politica comune e conseguentemente una maggiore chiarezza.

 

Chi verrà coinvolto nel GDPR e cosa comporterà? In che modo il GDPR avrà un impatto su aziende, privati e professionisti delle Risorse Umane?

La legge si applicherà ai dati personali relativi ai residenti (nazionali o non) dei Paesi dell’Unione europea, indipendentemente da dove tali dati vengono elaborati, archiviati o consultati. Ciò significa che qualsiasi azienda che intrattiene rapporti commerciali con una società europea o nell’Ue sarà interessata dal GDPR, al di là che l’azienda si trovi o meno in Europa, e quindi subirà l’impatto della nuova normativa che dovrà essere rispettata e applicata.

Gli obiettivi principali del GDPR sono armonizzare i principi di protezione dei dati personali in tutta l’Ue e offrire conseguentemente alle persone un maggiore controllo sul modo in cui vengono utilizzati. I dati personali sono un termine molto ampio, quindi a meno che i dati non siano completamente anonimi, è molto probabile che saranno coperti dal GDPR.

Si tratta davvero di dare alle persone una voce in più su come le organizzazioni raccolgono, archiviano e proteggono i loro dati. L’obiettivo è prendere in considerazione la medesima tecnologia Internet e cloud che ha generato nuovi modi di sfruttarli, migliorando al tempo stesso la fiducia delle persone nell’economia digitale.

 

Il 33% dei dirigenti HR è preoccupato riguardo ai dati sulla privacy
Il 33% dei dirigenti HR è preoccupato riguardo ai dati sulla privacy

Cosa possono fare le aziende per prepararsi al meglio e non farsi trovare impreparate al GDPR?

Per quel che concerne i team HR, mi sento di dire che è assolutamente ora di mettersi al lavoro: il tempo rimasto è davvero poco e il carico di lavoro non deve essere affatto sottovalutato. È bene agire per punti.

Per prima cosa l’ufficio HR deve analizzare e studiare i nuovi requisiti richiesti dal GDPR e determinare in che modo applicarli nell’azienda.

Occorre poi rivedere i processi esistenti e mappare il flusso dei dati che sono già in gestione; tale procedimento consente l’individuazione delle lacune che si andranno progressivamente a colmare.

A questo punto è fondamentale redigere un preciso piano di azione, coinvolgendo tutte le parti interessate, il che significa probabilmente chiamare in causa chi nell’azienda si occupa di privacy, Legale, HR, IT, Vendite e Marketing… Una parte fondamentale di questo piano sarà documentare e confermare il completamento delle azioni stabilite, per poi passare alla fase successiva.

Dopodiché occorrerà progettare un buon programma di governance, dal momento che in qualsiasi momento la capacità di ciascuna società di dimostrare la conformità con il GDPR sarà fondamentale: la legge concede infatti molto potere alle autorità di regolamentazione di ciascuno Stato membro per controllare, indagare e potenzialmente applicare sanzioni severe.

 

Quali sono le conseguenze di non conformità? A quanto possono ammontare le sanzioni?

Il mancato rispetto del GDPR può provocare indagini sul posto eseguite dalle autorità di controllo (autorità di protezione dei dati). Una società può essere multata fino a 20 milioni di euro o fino al 4% del suo fatturato mondiale per determinati tipi di infrazioni, a seconda di quale delle due cifre sia più elevata, mentre per altre tipologie di infrazioni le multe possono arrivare a 10 milioni di euro o al 2% delle entrate mondiali.

Le società potrebbero anche dovere far fronte a richieste di risarcimento da parte di individui colpiti dal mancato rispetto del regolamento.

 

Oltre alla conformità con il quadro normativo del GDPR e la privacy dei dati, su quali aree devono intervenire le Risorse Umane?

Le Risorse Umane devono al più presto rivalutare il loro attuale processo, per esempio nel reclutamento, e devono assicurarsi di avere l’appropriato controllo degli accessi in atto e il giusto livello di sicurezza commisurato al tipo di dati che vengono elaborati, al fine di soddisfare i requisiti del GDPR.

 

In caso di violazione dei dati, come dovrebbero comportarsi l’HR team e l’azienda?

Innanzitutto, la creazione di un piano di risposta agli incidenti è fondamentale per proteggere i dati personali e rispettare i requisiti legali. Nel caso in cui la violazione dei dati sia considerata un incidente da segnalare, l’organizzazione dovrà denunciare tale violazione all’autorità di vigilanza pertinente entro 72 ore dall’accaduto.

Inoltre, se la violazione dei dati personali innesca un alto rischio per i diritti delle persone colpite, allora l’organizzazione potrebbe essere costretta a dover notificare a questi individui tale violazione.

 

Cosa potranno chiedere i dipendenti al proprio team HR con l’avvento del GDPR?

I dipendenti saranno considerati soggetti interessati dal GDPR e godranno del beneficio dei diritti delle persone. Alcuni di questi diritti erano già in vigore ai sensi della vigente legge sulla privacy dei dati in Italia.

Il GDPR sta migliorando i diritti individuali e ne ha creati di nuovi. Gli HR team devono essere consapevoli di quali sono questi diritti, in modo da assicurarsi di avere già in atto un processo appropriato in grado di soddisfare le richieste che i dipendenti stessi potranno avanzare.

 

Se un ex dipendente chiede di essere dimenticato, sfruttando il cosiddetto ‘diritto all’oblio’?

In linea di principio, i dati personali non dovrebbero essere trattati più a lungo del necessario, considerando lo scopo del trattamento.

Tuttavia, il datore di lavoro deve verificare che le condizioni stabilite dal GDPR per il diritto all’oblio siano soddisfatte, perché questo diritto non è un assoluto.

Nel contesto del libro paga e delle Risorse Umane, un datore di lavoro può avere altre prescrizioni e termini di conservazione obbligatorie da rispettare.

 

Il 76% dei dirigenti HR utilizza il GDPR e altre norme relative alla privacy dei dati come guida per l'acquisto di una soluzione HCM
Il 76% dei dirigenti HR utilizza il GDPR e altre norme relative alla privacy dei dati come guida per l’acquisto di una soluzione HCM

Come ADP sostiene i suoi clienti nel GDPR?

Abbiamo lavorato in Europa per lungo tempo, quindi abbiamo familiarità con gli elevati standard di protezione dei dati previsti nell’Ue. Inoltre, ci impegniamo ad aiutare i nostri clienti a conformarsi a qualsiasi nuova normativa che incida sul loro libro paga o sui processi delle Risorse Umane.

Abbiamo iniziato il nostro percorso verso la conformità con il GDPR diversi anni fa implementando iniziative di mappatura dei flussi di dati all’interno del nostro gruppo, introducendo la privacy secondo la metodologia di progettazione nel nostro ciclo di sviluppo ed eseguendo valutazioni dell’impatto sulla privacy di nuovi progetti.

Attualmente stiamo procedendo ad allineare le nostre piattaforme e processi con i requisiti specifici richiesti dal GDPR. In qualità di responsabili del trattamento dei dati, assisteremo i nostri clienti in conformità con i requisiti della nuova legge, aiutandoli a gestire l’impatto che la nuova normativa avrà sull’intero ciclo aziendale.

 

Si sente talvolta parlare di Binding Corporate Rules (BCR): di cosa si tratta?

Le BCR sono politiche sviluppate internamente da un gruppo di società e forniscono un insieme coerente di regole sul trasferimento dei dati personali a livello internazionale, indipendentemente dal luogo in cui tali dati vengono elaborati.

Le BCR sono espressamente riconosciute dal GDPR come un meccanismo legale per il trasferimento di dati personali residenti nell’Ue con l’aggiunta di chiarezza e coerenza derivanti dall’adozione di un’unica politica globale.

ADP ha appena ricevuto l’approvazione dei suoi BCR sia come Data controller (per l’utilizzo dei propri dati), sia come elaboratore dati (per l’elaborazione dei dati dei propri dipendenti cliente) ed è una delle pochissime aziende al mondo (a oggi soltanto 20) a disporre di un processore BCR. Ciò aggiungerà un grande valore ai nostri clienti perché abbiamo deciso di allineare il nostro programma sulla privacy al più alto standard di protezione dei dati.

 

Per concludere, come possiamo riassumere in punti le tappe imprescindibili che un’azienda deve attraversare per affrontare correttamente il GDPR?

  1. Eseguire un’analisi dei requisiti GDPR e determinare come applicarli nella propria azienda.
  2. Esaminare i processi esistenti e identificare le lacune presenti in modo che possano essere risolte.
  3. Sviluppare un piano d’azione da rispettare diligentemente.
  4. Fare tutto ciò che è stato stabilito nel piano, coinvolgendo tutte le funzioni della propria organizzazione, incluse le operation.
  5. Progettare un preciso programma di governance, in quanto il GDPR è incentrato sulla responsabilità e sulla capacità di dimostrare la conformità su base continuativa.

 

 

Il presente articolo è stato pubblicato sul numero di Aprile di Persone&Conoscenze.
Per informazioni sull’acquisto di copie e abbonamenti scrivi a daniela.bobbiese@este.it (tel. 02.91434400)

Cookie Policy | Privacy Policy

© 2018 ESTE Srl - Via A. Vassallo, 31 - Milano - TEL: 02 91 43 44 00 - FAX: 02 91 43 44 24 - info@este.it - P.I. 00729910158
logo sernicola sviluppo web milano