HR e gestione del dato del personale: "equilibrismo" tra conformità al GDPR e necessità operative

Pubblicata il 28 gennaio 2021

Tutti noi conosciamo il ruolo cruciale che assume l’Ufficio Risorse Umane all’interno delle imprese. Non sempre, però, siamo altrettanto consapevoli del livello di responsabilità e di rischio che l’amministrazione del personale comporta.

L’HR, infatti, è chiamato quotidianamente a gestire i dati personali di dipendenti e collaboratori (e talvolta dei relativi congiunti), trattando queste informazioni in ogni fase del rapporto di lavoro: dalla selezione alla rilevazione delle presenze, passando per la gestione dei turni e la localizzazione dei mezzi, la formazione e le valutazioni delle performance, sino ovviamente agli adempimenti amministrativi connessi al pagamento degli stipendi, alle certificazioni dei redditi e alle pratiche di malattia o infortuni, con relativa trasmissione a soggetti terzi.

Per fare questo, l’Ufficio Risorse Umane deve costantemente destreggiarsi tra una pluralità di normative che si coordinano ed integrano tra loro, non ultimo il Regolamento sulla protezione dei dati.

La delicatezza di questo ruolo discende anche dalla natura dei dati personali oggetto di trattamento, laddove nel corso del rapporto lavorativo le informazioni acquisite sul lavoratore si implementano costantemente di dati non soltanto meramente anagrafici, ma anche particolari (primi fra tutti, quelli sanitari), sino a quelli penali.

Ognuna di queste fasi, come ciascuna di queste categorie di dati, assume un peso diverso e richiede al contempo particolari cautele, basate sempre e comunque sul fondamentale presupposto del rispetto dei principi che regolano l’attività di trattamento.

Ecco dunque che anche la trasmissione e la condivisione dei dati dei dipendenti nei confronti di terzi, ad esempio del consulente del lavoro, non potrà prescindere dall’adeguata nomina e dal rispetto da parte di questi ultimi delle garanzie di trattamento, come previste dal GDPR.

È importante, infatti, ricordare il primato che assume l’errore umano nei data breaches, come riconosciuto dalla Conferenza Internazionale delle Autorità per la protezione dei dati (ICDPPC ora Global Privacy Assembly) del 2019, che oggi più che mai viene messo in luce dall’aumento esponenziale di attacchi informatici (+250% nel secondo semestre 2020 secondo il rapporto dell’Osservatorio sulla cybersecurity di Exprivia).

Circostanze, queste, che rendono sempre più imprescindibile un’adeguata formazione del personale, non solo al fine di soddisfare tutti i requisiti richiesti dal GDPR, ma anche per assicurare una rinnovata capacità di resilienza all’impresa stessa.

 

Per informazioni:
Tel.: 0422 916417
E-mail: privacy@unisef.it

Resta sempre aggiornato sulle ultime novità
news
UNIS&F
16-06-2022
Il DPO: una figura in continua evoluzione
Sono ormai passati quattro anni dall’entrata in vigore del GDPR e, con essa, dell’obbligo ovvero dell’opportunità, in alcuni casi, della nomina del DPO. In questo senso i dati ufficiali sono incoraggianti laddove, secondo quanto diffuso dal Garante Italiano, dal 25 maggio 2018 al 31 dicembre 2021 le comunicazioni dei dati di contatto dei DPO sono state oltre 60.000. Nel mentre, le sfide nel settore della privacy si sono fatte sempre più frequenti e pressanti, dimostrando l’indiscutibile centralità della materia nella quotidianità lavorativa e l’inevitabile integrazione in azienda come presupposto imprescindibile per la sua effettiva applicazione. In tutto questo, atteso il ruolo centrale che il Responsabile della Protezione Dati assume in tale frangente, la sua nomina rappresenta un momento di strategica rilevanza. L’evoluzione della protezione dei dati in azienda, dunque, non può che passare anche attraverso l’evoluzione del ruolo del DPO, in un’ottica di maggiore autonomia, indipendenza, effettiva competenza nonché di centralità in azienda. Qualità, queste, peraltro rimarcate tanto dal nostro Garante con il suo Documento di indirizzo (Documento di indirizzo su designazione, posizione e compiti del Responsabile della Protezione dei Dati (RPD) in ambito pubblico del 29 aprile 2021), che recentemente dal Garante Francese nelle sue Linee Guida in materia (Pratical Guide Data Protection Officer del 15 marzo 2022). La nuova sfida applicativa del GDPR passa, quindi, attraverso la capacità e necessità per le imprese di valorizzare tale figura, garantendole quei presidi e quegli strumenti necessari affinché tale ruolo possa avere contezza del contesto aziendale. Solo così, infatti, il titolare stesso potrà effettivamente beneficiare del valore aggiunto derivante da un lecito trattamento dei dati, che l’apporto di questa figura consente concretamente di realizzare.   Per informazioni: Tel.: 0422 916417 E-mail: privacy@unisef.it