Uffici Risorse Umane e GDPR. Manager a confronto durante il Colin Focus Day
Si è svolto il Colin Focus Day orientato alle finalità e alla gestione dei dati negli Uffici Risorse Umane, realizzato da Colin & Partners e In2law in qualità di partner organizzativo. Poche ore dopo la pubblicazione in Gazzetta Ufficiale del testo definitivo, l’evento è stato l’occasione per veicolare nelle aziende l’importanza del momento e l’opportunità da cogliere per ristrutturare l’organizzazione dei processi interni.
L’organizzazione dei processi
I relatori, Valentina Frediani ed Alessandro Cecchetti, hanno cercato di leggere il testo della GDPR secondo i flussi di informazione di dipendenti e fornitori che si muovono nell’ufficio HR. Necessarie le premesse in continuità con il Codice Privacy italiano: mappatura, elenco delle banche dati ed identificazione dei flussi di lavoro. In particolare, l’Ufficio risorse umane deve monitorare i processi che riguardano i dati in uscita, ovvero le informazioni dei dipendenti che fuoriescono verso soggetti esterni, ad esempio per l’elaborazione di buste paghe o per il funzionamento di sistemi di apprendimento.
Data retention e consensi
La prima domanda da porsi in veste di HR Manager è “Quanto si stanno controllando i dati e i flussi di processo dei dipendenti”? Un altro punto debole riguarda la Data Retention, ovvero la conservazione dei dati a conclusione di un rapporto o di un processo di selezione, per mettere un punto ed evitare di trattenere dei dati non più necessari.
Questa criticità risulta rilevante quando le raccolte di dati avvengono attraverso piattaforme elettroniche che gestiscono anche l’acquisizione del consenso: quando i dati sono necessari ad instaurare il rapporto contrattuale non serve un consenso ma ci possono essere dati ulteriori rispetto alla prestazione lavorativa (si pensi per attribuire premi o assegni familiari) il cui trattamento richiede il consenso: il Titolare deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali.
Se invece si tratta di un richiedente impiego, l’azienda deve ottenere il consenso al primo contatto utile (il colloquio) e concedere a quel candidato la possibilità di revocarlo o aggiornare le sue informazioni in possesso dell’azienda.
Il principio dell’accountability per gli HR
Il principio dell’accountability fortemente rafforzato nel Regolamento Europeo stabilisce che spetta al titolare dimostrare l’aderenza dell’azienda alle disposizioni. Mentre è impegnativo ma teoricamente efficace prevedere ogni tipo di processo e di documentazione, è il dipendente la variabile più difficile da gestire: come dimostrare di aver messo in atto misure tecniche ed organizzative adeguate?
Si aggiungono alle Responsabilità del Titolare, che fanno dell’ufficio HR il nodo nevralgico della compliance del fattore umano.
- Procedure: quando proporzionato al trattamento, si deve prevedere l’implementazione di policy relative alla tutela dei dati personali da tradurre a tutta la popolazione aziendale.
- Formazione: diventa uno strumento dirimente come prova della compliance normativa, dimostrando di aver messo le persone in grado di capire quali sono i rischi che si corrono nella gestione dei dati.
Il tecnocontrollo
Di particolare interesse per gli Uffici Risorse Umane, sono gli aspetti collegati al nuovo art.4. Con l’evoluzione tecnologica vi è la necessità di ampliare i casi e dare garanzia che non si superi i limiti posti a tutela della libertà dei dipendenti.
Nella nuova definizione dell’art.4, la tutela del patrimonio riguarda tutto il know how aziendale e sappiamo quanto il secondo comma sugli strumenti per rendere la prestazione lavorativa ha suscitato interpretazioni e sollevato questioni: richiamando la nota del Ministero del Lavoro resa pubblica a Giugno 2015, precedentemente al Decreto Attuativo del Jobs Act, sembra che l’accordo sindacale vincoli solo le applicazioni successive installate su pc e tablet, non in dotazione di fabbrica degli strumenti. Ad esempio un proxy istallato sul pc, che permette la tracciabilità della navigazione, tecnicamente deve funzionare in un certo modo ed il dipendente deve esserne cosciente.
Molte domande hanno comprovato l’interesse dei partecipanti, soprattutto rispetto ai gestionali e software in dotazione nelle loro aziende che potenzialmente possono prevedere un controllo capillare e continuativo. Per questo, i fornitori dei servizi e dei software sono i principali destinatari della compliance normativa richiesta dal nuovo Regolamento.
DPO
Per quanto le aziende abbiano due impegnativi anni di adeguamento verso la nuova disciplina, per gli HR Manager l’individuazione e la formazione della figura deputata alla protezione dei dati in azienda (DPO- data protection officer) suscita molte domande. Per l’Avv. Valentina Frediani è l’ultimo passaggio nella lista di adempimenti da compiere nel prossimo anno e mezzo: serve capire quali siano le reali necessità dell’azienda e successivamente individuare una risorsa, interna, esterna o collegiale che abbia un peso effettivo e che conosca bene la realtà operativa.
Realtà multinazionali
Il regolamento impatta particolarmente sulle aziende multinazionali, sia per quelle che avendo solo filiali in Europa vedono armonizzarsi il quadro giuridico di riferimento, sia per quelle che hanno l’Head Quarter fuori dall’Europa, ma le cui attività di trattamento riguardano l’offerta di beni o prestazione di servizi ai suddetti interessati nell’Unione. La ratio è che i dati di cittadini europei e dei dipendenti portatori di diritti che circolano liberamente nel mondo siano soggetti alle stesse politiche individuate in Europa.