GDPR in chiave HR: quale impatto sulla gestione dei dati delle Risorse Umane

All’alba delle nuove e più stringenti regole sulla protezione dei dati, le organizzazioni multinazionali si stanno organizzando per mettere al sicuro il proprio sistema informativo e il flusso dei dati in entrata ed in uscita. Ma c’è il rischio che le riflessioni sull’effetto del GDPR (General data Protection Regulation) siano troppo spesso rivolte agli IT Manager in un’ottica tecnica o, al massimo, agli uffici legali, caricando queste funzioni della responsabilità di tradurre la consapevolezza della sicurezza dei dati al resto dell’organizzazione.

Ci sono indubbiamente delle considerazioni oggettive sul nuovo quadro giuridico che hanno impatti trasversali: primo, il GDPR accresce il diritto per gli individui; secondo, rafforza gli obblighi in capo alle imprese; terzo, accresce le sanzioni economiche in caso di inadempienza fino al 4% del fatturato globale. Inoltre, avrà un impatto su tutti i settori di business e, per questo, riguarderà qualunque organizzazione che ha dipendenti, anche quando non gestisce e non coinvolge dati di consumatori.

Dunque, gli impatti del nuovo regolamento si riverseranno nella gestione dei flussi di dati di dipendenti con una serie di regole a cui gli uffici HR dovranno prestare attenzione e necessariamente ripensare il loro approccio. L’ampiezza e generalità del GDPR rendono indispensabile una breve rilettura dei principali temi privacy in funzione delle competenze degli HR Manager:

1. La privacy dei dipendenti: il tecnocontrollo è il primo argomento a cui prestare attenzione per non intaccare la tutela della privacy del lavoratore. Dal concetto del “controllo a distanza” spesso associato al mero utilizzo di telecamere, il potere di controllo del datore di lavoro è stato ampliato dall’evoluzione tecnologica e dall’utilizzo di strumenti di geolocalizzazione. Ma oltre alla reperibilità geografica, i dati di navigazione in internet, l’uso delle mail etc., l’ufficio HR è a conoscenza di molte altre informazioni dei dipendenti, spesso anche sensibili: situazioni familiari, malattie, iscrizioni a sindacati, solo per citare qualche esempio. Tuttavia il GDPR rimanda alla specificità delle legislazioni nazionali su temi legati alla gestione di dati HR, accrescendo il valore dei Provvedimenti della nostra Autorità Garante, da sempre tutelante verso la privacy dei lavoratori e delle recenti modifiche legislative italiane, come il nuovo art. 4 dello Statuto dei Lavoratori.
2. L’importanza dei consensi: molte aziende attivano il trattamento dei dati sulla base dei consensi dei dipendenti rilasciati in sede di firma di contratto di lavoro, ma il valore in questi casi è compromesso dai rapporti di gerarchia organizzativa dei neoassunti. Il titolare deve dimostrare che l’interessato ha espresso il proprio consenso liberamente e può esercitare il diritto di revocarlo in qualsiasi momento. La richiesta di consenso deve essere data in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e inequivocabile. Il trattamento di dati particolari (come ad esempio l’appartenenza sindacale o i dati genetici o biometrici) è lecito solo se c’è un consenso esplicito oppure nel caso in cui questi dati siano necessari ad assolvere gli obblighi in capo al Titolare in materia di diritto del lavoro.
3. Rafforzamento dei diritti dei dipendenti: gli interessati del trattamento (per gli uffici HR tutti i dipendenti) vedono aumentare i loro diritti. Innanzitutto, devono poter accedere a dettagliate informazioni sul flusso dei loro dati, perché e come vengono trattati, sottolineando la trasparenza e la necessità di sicurezza derivanti. In secondo luogo, possono chiedere la rettifica o la cancellazione di dati non più necessari, applicando il cosiddetto diritto all’oblio. Si pensi alla conclusione di un rapporto di lavoro e alla dismissione di tutti gli account e strumenti contenenti i dati dell’ex-dipendente.
4. I rapporti con i fornitori: si dimentica spesso l’applicazione del Regolamento a tutti i fornitori e a quanto in realtà questo incida sull’infinita varietà degli HR service providers, che gestiscono i dati dei dipendenti per conto dell’azienda. Si tratta di tutti i software di gestione del personale, prodotti di Business Intelligence, sistemi di apprendimento e sviluppo (L&D: Learning and Development), basati su tecnologie cloud, che dovranno rendere evidenza dei flussi d’informazione specialmente nelle organizzazioni internazionali che impongono dei trasferimenti di dati a piattaforme di Paesi terzi. Inoltre, non vanno tralasciate le Agenzie per il lavoro, le società che svolgono recruiting, i consulenti a vario titolo che ruotano attorno ai dati dei dipendenti, che pure costituiscono un tassello nel workflow degli Uffici HR. I fornitori/subfornitori prescelti, secondo le regole del GDPR, devono garantire di aver considerato tutti gli aspetti di sicurezza dei dati e compliance normativa. Per effetto dell’armonizzazione legislativa sarà più agevole far circolare i dati dei dipendenti all’interno dell’organizzazione in Europa, ma sappiamo anche che il sistema di tutela varia totalmente dall’Europa agli USA o alla Cina, Paesi dove spesso le multinazionali hanno sedi e dipendenti. La maggior parte dei sistemi di e-learning, per esempio, si avvale di contratti Cloud (SaaS) che permettono un utilizzo da qualsiasi posto, in qualsiasi strumento e in qualsiasi orario. Questo complica di molto la tutela dei dati dei dipendenti, soprattutto se poi il lavoratore utilizza il proprio device (BYOD).
5. Organizzazione e misure di sicurezza: il GDPR prevede una serie di adempimenti in capo alle aziende per rafforzare l’effettività di queste regole. Dal prevedere strumenti atti a valutare i rischi dei dati trattati (Privacy Impact Assessment: PIA), all’obbligo di notificare le violazioni (data breaches). Se la “breccia” del sistema informativo riguarda i dati dei dipendenti, il datore di lavoro deve darne immediata comunicazione agli interessati nel caso in cui ci sia rischio elevato di compromettere i loro diritti e libertà. Inoltre, il GDPR e la designazione del DPO (Data Protection Officer), obbligatorio nelle realtà aziendali con più di 250 dipendenti, renderanno necessario un ripensamento organizzativo proprio nell’ottica di mappare i flussi informativi in entrata ed in uscita.

Nonostante la complessità del GDPR, il tema della protezione dei dati non è nuovo ed il mercato degli HR service providers sta già modificando i prodotti destinati ad un utilizzo globale in funzione delle stringenti regole europee. E’ necessario che gli HR Manager si avvicinino al GDPR per l’importanza di tutte le sfide derivanti senza delegare ad altri uffici, e al contempo comprendano che ogni dato dei dipendenti è un dato personale, compresi quelli relativi allo sviluppo di carriera e all’apprendimento.