Gdpr Privacy

L’impatto del Gdpr sulle risorse umane

Al di là degli aspetti tecnologici e legali, il Regolamento Generale sulla Protezione dei Dati impone attività di adeguamento anche ai dipartimenti Hr. Le analizza José Alberto Rodriguez Ruiz, Data Protection Officer di Cornerstone OnDemand.
Pubblicato il 19 ottobre 2017 da Roberto Bonino
I dati delle risorse umane sono strategici per le imprese, soprattutto per quanto riguarda quelli personali legati ai collaboratori e che devono essere protetti. Il tema diventerà ancor più rilevante con l’entrata in vigore in Europa del Regolamento Generale sulla Protezione dei Dati (Gdpr) il prossimo 25 maggio. Pertanto, i dipartimenti Hr sono chiamati ad adeguarsi, al pari di altre funzioni aziendali coinvolte dalla nuova normativa. Ne abbiamo parlato con José Alberto Rodriguez Ruiz, data protection officer di Cornerstone OnDemand.

 

José Alberto Rodriguez Ruiz, data protection officer di Cornerstone OnDemand

 

Quali sono gli aspetti del Gdpr che più direttamente toccano il mondo delle risorse umane?

In generale, i principi del Gdpr si applicano a tutti i tipi di dati personali, fatta eccezione per quelli particolarmente sensibili, che sono soggetti a restrizioni ancora maggiori, come il credo religioso o lo stato di salute. Proteggere i dati vuol dire proteggere le persone e poiché le risorse umane si occupano di gestire queste ultime, i dipartimenti Hr saranno ovviamente chiamati ad applicare e rispettare la nuova regolamentazione.

Per adeguarsi alla legislazione, innanzitutto, i diversi reparti aziendali sono chiamati ad approfondire la propria conoscenza in materia di data protection. Ai fini di un’efficace protezione dei dati chi si occupa di compliance dovrà, unitamente all’ufficio legale, iniziare a comprendere il funzionamento dei diversi processi di business. D’altro canto, le risorse umane non potranno astenersi dal conoscere in maniera puntuale la normativa vigente. Ecco perché prevedo l’introduzione di una nuova figura Hr specializzata nella protezione dei dati, simile a quella degli specialisti di sistemi informativi per le Hr.

Nella misura in cui gestiscono dati sensibili, i responsabili Hr dovranno poi adattare le proprie procedure interne in modo da renderle conformi agli specifici requisiti di legge sul trattamento dei dati messi in atto dal Gdpr. Anche le informazioni sul trattamento dei dati dovranno sempre essere chiare e trasparenti nei confronti del dipendente proprietario degli stessi.

I dati trattati, inoltre, dovranno essere accurati, perciò le Hr avranno la responsabilità di lavorare sulla qualità ed estrema accuratezza dei dati rilasciati dai propri dipendenti. Infine, i dati non potranno essere conservati per sempre. Le Hr dovranno, dunque, prevedere dei modelli di archiviazione che consentano anche di cancellare o anonimizzare agevolmente i dati nel momento in cui non saranno più necessari all’azienda.

Intermezzo promozionale ... continua la lettura dopo il box:

 

Quali sono i passi fondamentali che i direttori Hr devono compiere per adeguarsi?

Le authority per la protezione dei dati di tutta Europa stanno definendo delle specifiche linee guidaper prepararsi a recepire il nuovo Gdpr. In breve, a mio parere, il primo passo è rappresentato dalla nomina di un data protection officer (o Dpo), una figura che, sebbene non obbligatoria in tutti i contesti, è sempre raccomandabile prevedere. In secondo luogo, bisogna comprendere di quali dati l’azienda è in possesso e a chi appartengono: a tal fine suggerisco di mappare in modo chiaro e intuitivo tutti i dati disponibili collegandoli ai diretti proprietari (dipendenti, fornitori, candidati o altri).

A questo punto, occorre capire come vengono utilizzati tutti questi dati e a quali tipi di elaborazioni e processi sono soggetti. Per tenerne traccia nelle mappe precedentemente create, il consiglio è di indicare per ogni tipologia di dati i vari processi a cui sono sottoposti (valutazioni delle performance, formazione, gestione delle candidature, libri paga e così via). Per finire, è necessario confrontare la realtà così tracciata con gli obblighi prescritti dalla nuova normativa (ad esempio, le notifiche relative al trattamento dei dati ai dipendenti proprietari degli stessi o la cancellazione dei dati) e adeguare le procedure alle disposizioni del Gdpr.

 

 

A quale livello siamo nelle aziende italiane sui processi di digitalizzazione essenziali per raggiungere un adeguato livello di compliance?

Il livello di digitalizzazione delle aziende è in genere particolarmente difficile da misurare e può variare anche di molto tra un’azienda e l’altra. Nella classifica del Global Information Technology Report del 2016, elaborato dal World Economic Forum, l’Italia si piazza al 45esimo posto e non compare neppure nella Top Ten europea (al primo posto svetta la Finlandia, seguita da Svezia e Norvegia – che occupano invece la seconda, terza e quarta posizione a livello globale). Tra i paesi europei, la Gran Bretagna guadagna l’ottavo posto, mentre la Germania è al quindicesimo.

 

Quali sono le criticità per le aziende che hanno esternalizzato in tutto o in parte la gestione Hr?

La cosa più importante quando si sceglie la strada dell’outsourcing è selezionare un buon partner. In base alla nuova normativa fissata dal Gdpr, l’azienda è sempre responsabile rispetto alla conformità agli obblighi di legge in materia di protezione dei dati, sia che i dati vengano gestiti direttamente sia che se ne appalti all’esterno la gestione, specie se il partner prescelto è un fornitore cloud, una strada che oggi sta diventando sempre più comune. Il partner scelto è pronto per accogliere il Gdpr? È prevista la figura di un Dpo? Può assicurarvi un adeguato livello di compliance? Il suo sistema ha un modello flessibile per il trattamento dei dati in grado di adattarsi alle vostre esigenze (supporta, ad esempio, il principio della minimizzazione dei dati)? Quali misure di sicurezza applica e quali certificazioni possiede in materia di sicurezza? Queste sono solo alcune delle considerazioni che è necessario fare.

 

Secondo voi, le aziende italiane hanno già in casa gli strumenti tecnologici necessari ad adeguarsi al Gdpr e devono solo capire come utilizzarli allo scopo oppure occorre fare investimenti in ogni caso?

Credo che il problema non sia tanto legato agli strumenti quanto ai processi. Ad esempio, un’indagine condotta in Italia alla fine del 2016 da EuroPrivacy e Gcsec rivelava che più del 60% delle aziende non aveva una figura equivalente al Dpo e di queste il 22% non sapeva se fosse chiamata a introdurla o meno. Un altro 40% delle aziende dichiarava inoltre di non avere ancora incorporato i principi della privacy by design. Comunque, in generale, molti analisti concordano sul fatto che circa la metà delle aziende europee non sia ancora pronta per la nuova normativa.

Gli stessi strumenti e sistemi tradizionalmente utilizzati per la gestione dei dati non possono dirsi conformi al Gdpr: molti non supportano modelli flessibili, altri presentano delle limitazioni nell’elaborazione o nella cancellazione degli stessi, altri ancora non dispongono di adeguati livelli di sicurezza.

 

Quale può essere il ruolo di partner come Cornerstone OnDemand in supporto alle aziende su questo fronte?

Cornerstone OnDemand supporta i propri clienti su più livelli. Innanzitutto con l’esempio: io sono stato nominato Dpo nel 2016 con l’approvazione del Gdpr, ma stavamo lavorando già da diverso tempo per non farci cogliere impreparati dagli importanti cambiamenti che la nuova legislazione avrebbe introdotto. In secondo luogo, abbiamo aggiornato tutti i processi interni al fine di incorporare la privacy by design e la privacy by default e abbiamo rinforzato la sicurezza dei sistemi, ottenendo, ad esempio, la certificazione Iso 27018.

Inoltre, abbiamo migliorato le funzionalità dei nostri sistemi per quanto riguarda la cancellazione dei dati e l’anonimizzazione o aggiungendo, ad esempio, la possibilità per il cliente di personalizzare la propria policy per la privacy. Infine, abbiamo creato un canale per aiutare i clienti a orientarsi con le nuove disposizioni di legge, offrendo diversi servizi, dall’assistenza nell’esecuzione del Dpia (Data Protection Impact Assessment) fino alla consulenza sulle strategie di approccio alla privacy.

http://www.ictbusiness.it/cont/news/l-impatto-del-gdpr-sulle-risorse-umane/40311/1.html#.WetYy2i0O70