L’articolo 4 comma 7 del GDPR stabilisce che il titolare del trattamento dei dati personali all’interno di un’azienda è la persona fisica a cui competono le decisioni in ordine alle finalità e modalità del trattamento di dati personali. Il data controller è dunque colui che ha la facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri e che decide le ragioni e le modalità del trattamento dei dati.
Il primo trattamento di dati effettuato verso una persona fisica all’interno di un’azienda avviene in occasione della ricerca e assunzione del personale, un’attività che accomuna tutte le imprese e che in molti casi risulta ancora non compliant rispetto alla normativa vigente. Il consenso al trattamento, che solitamente viene apposto in calce a un curriculum vitae, non è necessario e nella quasi totalità dei casi questo “consenso al trattamento” non è adeguato, in quanto si tratta di “esecuzione di misure precontrattuali” (Art. 6 par. 1. lett. b) del Reg. Eu 2016/679).
Quando un candidato invia il curriculum vitae a un’azienda, infatti, non può decidere se permettere a terzi di trattare o meno i suoi dati. Questi ultimi, infatti, sono necessari per assolvere alla funzione per la quale vengono inviati, ovvero una valutazione ai fini dell’assunzione.
Quando un’azienda si sta attivando per una selezione del personale, a sua volta, deve redigere un’informativa idonea, all’interno della quale viene esplicitato l’intero flusso del trattamento di quei dati: da chi vengono trattati, le operazioni di trattamento consentite, gli ambiti di comunicazione a terzi, la durata del periodo di conservazione delle informazioni (non deve mai essere violato il principio di proporzionalità, di pertinenza e non eccedenza del trattamento).
Assunzione, contrattualistica e creazione folder dipendente: come comportarsi
Quando un candidato viene assunto, le aziende sono tenute a creare la relativa documentazione che verrà gestita, aggiornata, conservata e archiviata. All’interno del folder dipendenti sono contenuti svariati file, i quali contribuiscono alla creazione di un profilo trasversale e completo delle sue competenze, del suo pregresso e delle sue attività.
- Dati anagrafici e contrattuali
- Formazione e info curriculari
- Dati retributivi, premi e indennità
- Assenze e straordinari
- Performance e valutazioni
- Comunicazioni centro per l’impiego
- Comunicazioni di varia natura
- Lettere fringe benefit
La compliance al GDPR per gli HR: piano d’azione e rischi
L’HR Manager ha una grande responsabilità nei confronti di una mole rilevante di dati sensibili e deve garantire la massima riservatezza a tutti i suoi dipendenti, soprattutto con l’entrata in vigore nel 2018 del GDPR che non lascia dubbi su questo tema.
Per questo motivo, è importante che ogni addetto alle risorse umane abbia chiaro il funzionamento del Regolamento e le sue implicazioni sulla privacy dei dipendenti.
Essere totalmente compliance al GDPR richiede un piano d’azione ben studiato e applicato con altrettanta attenzione e di cui vi riassumiamo i principali step:
- Mappare la provenienza dei dati raccolti e i fini per cui vengono trattati
- Definire quali dati archiviare, eliminando quelli non trattati
- Sviluppare e implementare le misure di sicurezza di tali informazioni
- Rivedere, eventualmente, la procedura di acquisizione dati personali
- Definire policy e procedure chiare per gestire dati e informazioni
Qualora avvenisse una violazione della privacy dei dati personali, è necessario che i responsabili HR del trattamento dei dati comunichino tempestivamente ai diretti interessati tale incidente di mancata sicurezza delle informazioni.
A seguito dei controlli effettuati, se un’azienda risulterà non-conforme al GDPR, rischierà:
- Per violazioni meno gravi, relative alle modalità di esecuzione del trattamento dati una multa fino a 10 milioni di euro o fino al 2% del fatturato globale dell’anno precedente
- Per violazioni più gravi dei principi generali stabiliti dalla GDPR una multa fino a 20 milioni di euro o fino al 4% del fatturato globale dell’anno precedente
Oltre a tali danni economici, vanno aggiunti i rischi di danni di immagine e della perdita, inevitabile, di credibilità, talvolta amplificata dai media.
I vantaggi per le aziende conformi al GDPR
Le aziende saranno portate a migliorare la propria sicurezza delle informazioni. La trasparenza dimostrata e il livello di ingaggio delle proprie risorse garantiranno anche un relativo employer branding verso i candidati.
Le risorse di un’azienda si sentiranno più sicure sapendo che il proprio datore di lavoro è pienamente conforme al Regolamento sulla Privacy in vigore. In un mercato sempre più competitivo per qualsiasi settore, sono sempre più numerose le aziende che sperimentano episodi di violazione della privacy dei dati trattati. Comunicare, invece, la propria conformità al GDPR dimostrerà a clienti e stakeholder di avere un partner solido, che valuta con serietà la sicurezza delle informazioni.
Trattamento dei dati e risorse umane: è più facile con i servizi di Gi HR Services!
Il GDPR, non ultimo e al contrario di quanto viene percepito, ha portato con sé un elevato grado di semplificazione di tutti i processi di gestione e amministrazione dei dati, ma i responsabili HR sono chiamati a mantenersi costantemente aggiornati e ad impegnarsi nell’applicazione e rispetto di tutti i requisiti imposti dal Regolamento.
Gi HR Services offre la risposta ideale alle aziende che vogliono affrontare e vincere con successo questa sfida. Affidando ad un Partner ed esternalizzando, quindi, l’amministrazione di attività HR come la creazione e gestione del folder dipendente con relativi dati sensili ma anche il payroll, il rilevamento presenze, l’analisi performance e valutazione delle tue risorse, avrai la certezza di affidarti ad un HR Service Partner 100% compliant al GDPR, che tutte le informazioni dei tuoi dipendenti saranno al sicuro e, non ultimo, permettendo al tuo team HR di risparmiare tempo e dedicarsi ad attività prettamente core e strategiche.