GDPR e risorse umane: cinque cose da sapere
Il regolamento generale sulla protezione dei dati (GDPR) entra in vigore oggi e, con esso, una serie di nuove regole su come le aziende raccolgono, elaborano, archiviano, proteggono e smaltiscono i dati. Queste regole si applicano a tutte le società che gestiscono i dati dei cittadini dell’Unione Europea e, in caso di mancato rispetto, sono previste sanzioni che determinano multe fino al 4% del fatturato globale annuale. In base a GDPR i diritti degli utenti sono stati rafforzati con l’obiettivo di proteggere meglio il diritto alla privacy di un individuo.
Una delle aree che verranno sottoposte al controllo più intenso con l’entrata in vigore del GDPR è quella delle risorse umane. Ecco quattro modi in cui i dipartimenti HR delle aziende saranno interessati dal nuovo regolamento.
Consenso
Mentre i professionisti delle risorse umane hanno sempre richiesto il consenso per raccogliere dati sui candidati o sui dipendenti, la definizione di consenso sta cambiando e ora deve essere “specifica, informata e non ambigua”. Inoltre, tutto ciò che costituisce il concetto di dati personali è stato ampliato e ora include informazioni come indirizzi IP, dettagli bancari, numeri di telefono, ecc.
Ci deve essere piena trasparenza per quanto riguarda il tipo di dati dei dipendenti e il loro scopo. Rientrano nella categoria degli interessi legittimi? Il trattamento dei dati è necessario per soddisfare i termini di un contratto di cui il soggetto fa parte? L’interessato ha anche il diritto di richiedere l’accesso a tutte le informazioni in possesso della società che lo riguardano. Una volta effettuata la richiesta, i dati devono essere condivisi entro 30 giorni gratuitamente.
Il candidato a un posto di lavoro ha anche il diritto di ritirare il proprio consenso in qualsiasi momento e richiedere che qualsiasi informazione personale venga rimossa dal possesso della società. Ciò significa che i responsabili delle assunzioni devono avere una chiara registrazione del consenso e delle attività di elaborazione dei dati. Devono anche essere in grado di spiegare perché determinati dati vengono raccolti e conservati e dimostrare che le informazioni vengono utilizzate in linea con lo scopo previsto.
Ad esempio, se un candidato vi invia il suo curriculum, non potete utilizzare il suo indirizzo email per inviargli materiale di marketing o di vendita. Quando si tratta di conformità, l’onere della prova tocca inoltre a chi processa i dati e a chi li controlla; pertanto i dipartimenti delle risorse umane devono avere chiaramente definito il mezzo e le motivazioni per l’acquisizione e la memorizzazione dei dati.
Reportage
Con gli attacchi informatici sempre più frequenti e sofisticati, il GDPR mira a rendere le aziende più responsabili nei confronti del furto di dati. Eventuali violazioni della sicurezza o della privacy devono essere infatti segnalate alle parti interessate entro 72 ore dalla presa di coscienza dell’incidente. I dipartimenti delle risorse umane devono perciò disporre di processi chiari e a cui sia facile e rapido accedere quando si tratta di individuare le violazioni e segnalarle entro la scadenza dei tre giorni.
Accesso
Un elemento chiave per garantire la conformità GDPR è quello di tutelare chi può accedere alle informazioni personali dei candidati o dei dipendenti. I team delle risorse umane dovrebbero quindi esplorare i modi in cui possono garantire la massima sicurezza dei dati sensibili. La crittografia è uno dei possibili mezzi, ma si potrebbe pensare anche all’introduzione di una serie di rigorose procedure di autenticazione come i sistemi di password a più livelli. In questo modo limiterete la possibilità di attacchi o di accessi non autorizzati alle informazioni.
Disposizione
I dipartimenti delle risorse umane non possono più memorizzare i dati personali a tempo indeterminato. Ci deve essere una causa ragionevole e giustificabile per conservare i dati. Devono essere stabilite policy efficaci sul motivo per cui le informazioni sui candidati possono essere archiviate dopo che un ruolo è stato assegnato. Inoltre, considerate il modo in cui comunicherete ciò ai potenziali dipendenti, che potrebbe essere attraverso un’e-mail che spieghi la vostra policy a riguardo e richieda il consenso dell’interessato.
Terze parti
Come responsabili del trattamento dei dati, potete anche essere ritenuti responsabili per chi (come un soggetto terzo) processa e gestisce dati personali per conto vostro. I professionisti delle risorse umane devono così sapere quali software o piattaforme utilizzano queste terze parti e assicurarsi che siano conformi al GDPR.
È anche importante notare come nessuna piattaforma vi renda automaticamente conforme: solo le vostre policy sono in grado di assicurare la conformità al nuovo regolamento. Quindi, mentre alcuni sistemi possono aiutarvi a gestire meglio i vostri dati, non possono rendervi conformi semplicemente utilizzandoli.