Il Regolamento UE (Unione europea), noto 2016/679anche come Regolamento generale sulla protezione dei dati (GDPR), è entrato in vigore 25 maggio 2018 dopo un periodo di transizione di due anni. Il regolamento richiede a tutte le aziende che operano nell'Unione Europea di adottare nuove politiche, processi e prassi durante la gestione dei dati personali dei propri clienti, utenti, fornitori e lavoratori.
Il GDPR ha un impatto enorme sui dipartimenti delle Risorse umane, in quanto devono adattare i loro processi per conformarsi ai requisiti di detto regolamento.
L'obiettivo del GDPR è quello di standardizzare e rafforzare i diritti dei residenti europei in relazione ai loro dati personali. Ciò significa che qualsiasi organizzazione tratta dati personali dei residenti nell'UE deve rispettare i nuovi standard di trasparenza, sicurezza e responsabilità.
In che modo il GDPR influisce sulle risorse umane?
Il GDPR richiede alle aziende di archiviare solo dati essenziali, accurati e aggiornati dei dipendenti. Inoltre, le aziende devono comunicare chiaramente come, dove e per quanto tempo verranno archiviate le informazioni personali di un dipendente. Allo stesso modo, i dipendenti possono utilizzare le loro informazioni in qualsiasi momento, nonché richiedere una copia dei dati archiviati e ordinarne la cancellazione.
I team delle Risorse umane devono comprendere il rischio e la responsabilità coinvolti nella gestione delle informazioni dei dipendenti per evitare sanzioni, poiché la mancata conformità può comportare sanzioni fino a milioni di euro20 o il 4 per cento del fatturato annuo.
Fattori chiave del GDPR nelle Risorse Umane
Per conformarsi al GDPR, i team delle Risorse umane devono adeguare e migliorare i processi di gestione dei dipendenti per garantire i diritti dei dipendenti e seguire le linee guida sulla protezione dei dati.
Ecco i fattori più critici che le risorse umane dovrebbero prendere in considerazione:
1.Raccolta dei dati personali
La raccolta e il trattamento dei dati personali sono legittimi e limitati alle informazioni rilevanti per l'adempimento del contratto di assunzione (ad esempio, sistemi di orari e presenze) o per le informazioni necessarie per l'adempimento di un obbligo legale (ad es., il libro paga).
Il consenso è necessario quando non esiste altra base giuridica che convalidi il trattamento dei dati (ad es., un account di posta elettronica personale).
2.Diritto dei dipendenti di essere informati
Le aziende sono obbligate a informare i dipendenti sullo scopo e la base giuridica del trattamento dei dati e sul periodo durante il quale i dati personali saranno conservati. Queste informazioni devono essere fornite al momento dell'ottenimento dei dati personali del dipendente.
3. Nuovi diritti per i dipendenti
Il GDPR ha introdotto nuovi diritti dei dipendenti, come il diritto alla portabilità dei dati, che consente ai dipendenti di ottenere e riutilizzare i propri dati personali per i propri scopi attraverso diversi servizi. Regola inoltre diritti specifici, come il diritto all’oblio che consente ai dipendenti di richiedere la cancellazione dei propri dati personali, e il diritto di rettifica, che concede ai dipendenti il diritto di ottenere la rettifica dei dati personali inesatti.
Il diritto di opporsi alle attività di profilazione impedisce alle aziende di prendere decisioni basate esclusivamente sul trattamento automatizzato. Ciò avrà un impatto importante sull'implementazione di software di intelligenza artificiale nel campo delle risorse umane.
4. Responsabile della protezione dei dati
Le aziende devono nominare un Responsabile della protezione (RPD) dei dati che agisca in modo indipendente potendosi avvalere delle risorse necessarie per svolgere le proprie funzioni. L’RPD è responsabile del monitoraggio della politica di protezione dei dati dell'azienda e della sua attuazione per garantire la conformità al GDPR.
5. Valutazioni d'impatto e violazioni della sicurezza
Le aziende devono effettuare valutazioni d'impatto per identificare le operazioni che rappresentano un rischio significativo per i diritti dei lavoratori o una violazione della sicurezza. In caso di violazione dei dati personali, le aziende devono informare le autorità entro e non oltre 72 ore successive all'identificazione.
6. Telematica e codici di condotta
Per adeguarsi ai nuovi requisiti di protezione dei dati, le aziende devono esaminare le loro politiche interne e i codici di condotta relativi all'uso della telematica. Inoltre, le aziende devono adattare i loro contenuti alla sentenza della Corte europea dei diritti dell'uomo (CEDU), nonché all'impatto delle nuove tecnologie sul posto di lavoro.
7. Videosorveglianza
Le aziende devono anche rivedere la loro procedura per l'installazione e l'uso della videosorveglianza. La CEDU stabilisce che per l'installazione di telecamere fisse, i lavoratori devono essere preventivamente e chiaramente informati del loro scopo, in conformità con le disposizioni del regolamento sulla protezione dei dati.
8. Trasferimento internazionale dei dati al di fuori dell'UE
Il trasferimento dei dati personali dei dipendenti in paesi al di fuori dell'UE rappresenta un rischio enorme, in quanto non vi è alcuna garanzia di protezione. Il GDPR ha imposto alcune restrizioni per limitare la capacità di un'azienda di trasferire tali dati e per far valere i diritti dei dipendenti.
9. Contratti con fornitori terzi
È necessario aggiornare i contratti con fornitori o lavoratori a contratto che hanno accesso ai dati personali dell'azienda per garantire la conformità ai requisiti GDPR. Ciò include contratti con fornitori di libro paga e selezione del personale.
A causa del volume di dati personali che un'azienda gestisce durante tutti i suoi processi, il contributo del dipartimento delle risorse umane alla conformità al GDPR è fondamentale. È quindi essenziale considerare tutti gli elementi del GDPR per attuare un piano d'azione efficace.
Cosa possono fare i team delle Risorse Umane per rispettare il GDPR?
Il GDPR richiede alle aziende di essere proattive e responsabili dell'attuazione di misure tecniche e organizzative che garantiscano il trattamento dei dati relativi ai reclami.
Le aziende sono tenute ad analizzare il tipo di dati che elaborano, lo scopo e il modo in cui lo fanno. Ecco alcuni suggerimenti per aiutare i team delle Risorse umane a conformarsi al GDPR:
1. Assunzione di un Responsabile della protezione dei dati (Data Protection Officer, DPO)
Come dettato dall'articolo 37 del GDPR, l'assunzione di un DPO è fondamentale. Un DPO è responsabile della supervisione delle strategie di protezione dei dati delle aziende e garantisce la conformità ai requisiti del GDPR.
2. Fai l'inventario del trattamento dei dati personali.
L'inventario dei dati importanti semplifica il monitoraggio e l'elaborazione e aiuta a verificare la conformità. Ecco alcune considerazioni fondamentali da tenere in considerazione nel monitoraggio delle informazioni relative alla tua azienda:
- Identificare i dati personali e i dati riservati, nonché le operazioni di trattamento esistenti e verificare la conformità.
- Scopri chi (dipendenti, lavoratori a contratto o fornitori) ha accesso ai dati e perché.
- Monitora dipendenti, lavoratori a contratto e fornitori che lavorano con i dati dell'azienda e rivedi i contratti.
- Verificare che qualsiasi trattamento dei dati completato da lavoratori a contratto e fornitori sia conforme al GDPR.
- Analizza le pratiche di archiviazione e il tempo di conservazione dei dati personali delle Risorse umane.
- Accertati che i sistemi informativi delle Risorse Umane (HRIS) e le soluzioni applicate alle Risorse umane, qualora applicabili, siano conformi al GDPR.
3. Prendi in mano la situazione!
Non appena hai predisposto un elenco e identificato le correzioni necessarie, è importante creare e implementare un piano d'azione in cui definire i passaggi da seguire.
Accertati di:
- Controllare i dati
- Effettuare valutazioni d'impatto
- Rivedere le misure di protezione e sicurezza
- Rivedere i processi e le procedure.
4.Implementare un piano di comunicazione
È importante implementare un piano di comunicazione interna affinché tutti i dipendenti sappiano come accedere alle proprie informazioni e cosa fare in caso di cambiamenti in questo processo. Ai sensi delle nuove norme è imposto alle aziende di comunicare chiaramente come, dove e per quanto tempo verranno archiviate le informazioni personali di un dipendente.
5. Assicurati che i dati memorizzati siano corretti
Le aziende devono assicurarsi di conservare solo i dati corretti e aggiornati. Devono anche identificare quali dati devono conservare e quali devono essere cancellati. Meno dati possiedi, più facile sarà rispettare il GDPR.
6. Rivedi le politiche sulla privacy
Le aziende devono essere trasparenti in relazione ai dati che gestiscono. La revisione degli accordi sulla privacy genera trasparenza e crea fiducia. Aggiorna le politiche e le procedure di sicurezza dei dati utilizzando un linguaggio chiaro e semplice e assicurati che queste politiche siano facilmente accessibili.
7. Applicare i diritti dei dipendenti
Come accennato, il GDPR stabilisce nuovi diritti per i dipendenti. È fondamentale garantire che questi diritti siano applicati al fine di evitare sanzioni.
8. Applica il GDPR come parte della cultura aziendale
È importante che le aziende diffondano le norme a tutta l'organizzazione. Integrandole nella cultura aziendale, si fa in modo che tutti i dipendenti ne siano consapevoli le comprendano.
9. Aumenta la sicurezza
Assicurati che i dati siano al sicuro ed evita eventuali perdite. In caso di violazione dei dati, le parti interessate devono essere informate entro 72 ore. Per evitare perdite è necessario assumere servizi di archiviazione dei dati affidabili, oltre a stabilire politiche di sicurezza sempre aggiornate.
10. Ottieni il consenso del dipendente
È essenziale che informi i dipendenti in merito alle misure e alle procedure in atto e che ottenga il loro consenso al trattamento e al trasferimento dei loro dati. Il consenso deve essere un'espressione libera, informata e chiara di un accordo.
Al di là dell'obbligo che rappresenta, il GDPR può contribuire a migliorare le prestazioni della tua azienda, la fiducia e il benessere dei dipendenti. Tuttavia, ciò è realizzabile solo se i tuoi dati e la sicurezza, gli strumenti, i metodi e i processi sono ottimizzati.
Queste nuove sfide stanno dando ai dipartimenti delle Risorse umane l'opportunità di essere i condottieri dell'internazionalizzazione della propria azienda, rafforzando la qualità della loro cooperazione con i loro fornitori e lavoratori a contratto. Adottare una politica chiara della gestione dei dati personali migliora anche la reputazione delle aziende e le rende datori di lavoro attraenti.
