José Alberto Rodríguez Ruiz, data protection officer di Cornerstone OnDemand, sottolinea la correlazione tra l’imminente entrata in vigore del GDPR e le HR. Tra circa 6 mesi, il 25 maggio 2018, entrerà in vigore il GDPR (General Data Protection Regulation). Parecchia strada è stata fatta da quando la normativa è stata approvata dal Parlamento europeo e, se da un certo punto di vista, il nuovo regolamento può spaventare, le organizzazioni devono prepararsi per tempo, pena pesanti sanzioni una volta che il regolamento sarà entrato in vigore. L’aspetto positivo è che in fin dei conti il GDPR richiede l’implementazione di buone pratiche per la gestione dei dati e aiuta a limitare o diminuire i rischi sia in caso di cyber attacco sia obbligando a migliorare la qualità dei dati e di conseguenza il valore degli stessi.
Scopo del GDPR è proteggere i cittadini europei quando i loro dati personali vengono elaborati, sia garantendone la sicurezza e la protezione sia evitandone usi impropri. Finora le aziende hanno puntato essenzialmente a proteggere i dati dei loro clienti, ma non bisogna dimenticare che le stesse regole andranno applicate anche ai dati sui dipendenti, compresi quelli sui candidati.
Cosa comporta tutto questo per le HR? Quando il GDPR sarà entrato in vigore, le aziende potranno raccogliere dati personali sui candidati, ma esclusivamente quelli strettamente necessari al processo di selezione. Per ogni altro dato, le aziende dovranno chiedere il consenso esplicito e qualunque informazione fornita potrà essere utilizzata esclusivamente per il motivo per cui è stata richiesta. Se la persona non viene assunta, tutte le informazioni dovranno essere cancellate. Analogamente, tutti i dati raccolti e archiviati sui dipendenti esistenti dovranno essere giustificati e rilevanti relativamente alla gestione o al ruolo del dipendente. Le aziende dovranno ricevere il consenso per tutti i dati che richiedono il permesso esplicito da parte dei dipendenti (i quali potranno ritirarlo in qualunque momento) e se un dipendente per qualunque ragione lascia l’azienda anche i suoi dati personali dovranno essere cancellati.
Nelle aziende che trattano migliaia di data point, la compliance comporta una preparazione meticolosa. Può sembrare un lavoro immane, ma non è mai troppo tardi per cominciare. Raccomandiamo alle aziende di affrontare la compliance al GDPR, per la parte relativa ai dati dei dipendenti, in tre semplici passi. Naturalmente, è chiaro che nella maggior parte dei casi non si partirà da zero, molte aziende hanno già implementato precise policy di gestione dei dati.
Step 1: Privacy by design Privacy by design significa essenzialmente prendere in considerazione i requisiti di protezione dei dati già nelle fasi di progettazione dei sistemi e dei processi. Per essere conformi al GDPR, è più semplice creare un nuovo sistema o processo e progettarlo già tenendo in considerazione i requisiti anziché adattarli successivamente.
Il mio consiglio è di iniziare dai dati, non dal processo, e documentare la giustificazione per questi data point. Diverse aree geografiche richiederanno diversi data point, pertanto è importante essere consapevoli dei diversi requisiti culturali nei vari Paesi. Quindi, analizzate i processi che hanno a che fare con i dati realmente necessari e incorporate i requisiti di privacy e i diritti dell’utente all’interno di tali processi.
L’operazione sarà più semplice se avete una immagine chiara di tutti i vostri dati. E’ più efficiente costruire e disegnare i processi attorno ai dati necessari anziché adattare vecchi processi ai nuovi regolamenti. Questa è anche un’ottima opportunità per fare pulizia, con l’effetto collaterale di poter dimostrare la compliance con il principio di minimizzazione dei dati.
Step 2: La privacy impatta sull’analisi Il concetto di privacy by design può comportare molto lavoro: da dove cominciare? Effettuate un audit del processo e dei dati che raccogliete e del trattamento di questi, quindi eseguite una gap analysis per capire dove siano i maggiori rischi. Ad esempio, in caso di violazione del sistema quali insiemi di dati comporterebbe le peggiori conseguenze? I dati sulla formazione o quelli sui salari? Bisogna partire da qui.
Considerate Inoltre i dati che possono essere raccolti automaticamente in quanto sarete responsabili delle azioni risultanti tanto da un processo automatico quanto da quelli manuali.
Un audit aiuterà a identificare tutti i punti di debolezza e le aree di rischio, ma non è tutto. E’ importante continuare a effettuare questi audit regolarmente per garantire la qualità e la compliance dei processi, oltre che per adattarli a future modifiche delle normative.
Step 3: Definire le responsabilità Il terzo passo è la chiusura del cerchio. Le aziende devono garantire trasparenza totale, anche riguardo a dove i dati dei dipendenti sono archiviati e come sono processati, chiarendo chi è abilitato ad accedere a questi dati. Una volta che i dataset sono ripuliti e i processi revisionati e adattati, il tutto dovrà essere documentato per dimostrare il grado di compliance. Questo è quello che viene definito principio di responsabilità, che essenzialmente si traduce nel documentare i dataset (e come questi sono conformi al principio di minimizzazione), e nel documentare i processi (e come questi implementano i principi della privacy e permettono agli utenti di esercitare i loro diritti).
Step 3 e mezzo: Chi deve fare tutto ciò? Molte aziende hanno scelto di nominare un responsabile generale della sicurezza dei dati che dovrà lavorare con tutti i dipartimenti. Oggi, vediamo emergere un nuovo ruolo anche all’interno delle HR. E’ nell’interesse delle HR avere uno specialista della protezione dei dati al proprio interno, che lavori a stretto contatto con il responsabile generale per garantire la compliance. Gestire la riservatezza dei dati richiede conoscenze legali, tecniche e di business e una figura che riunisca queste competenze dovrebbe garantire la conoscenza tanto delle normative locali quanto dei processi HR dell’azienda.
Il GDPR non è una normativa semplice ed è importante che le HR si preparino per tempo, se già non lo hanno fatto. Richiede di ripensare alcuni processi e le modalità di trattamento e archiviazione dei dati personali. Anche applicando i tre passi appena descritti, mettere in moto il processo può essere complicato. Tuttavia, ho la convinzione che lo sforzo sarà ripagato dalla maggiore qualità dei dati, dalla maggiore efficienza dei processi e dalla diminuzione dei rischi di sanzioni, oltre che da una migliore immagine dell’azienda e dalla maggiore motivazione dei dipendenti. È sicuramente tra le priorità delle aziende il fatto che i dipendenti si sentano sicuri e si focalizzino sul loro lavoro, di conseguenza è necessario fare in modo che le loro informazioni personali siano sicure e protette.
La compliance è un processo e la protezione dei dati una cultura: una volta realizzata si rivelerà uno strumento estremamente potente ed efficace.
