Management

La nuova privacy riporta al centro la gestione delle risorse umane

  • Abbonati
  • Accedi
La check list per i manager hr

La nuova privacy riporta al centro la gestione delle risorse umane

L’entrata in vigore, il 25 maggio scorso, del regolamento europeo sulla protezione dei dati personali (Gdpr) ha segnato una tappa importante nella vita delle aziende italiane.

Il regolamento ha impattato su tutta la vita dell’impresa: è una norma che sovrappone e incrocia ambiti diversi e, per funzionare, deve tenere conto di tutti. Information technology, vendite, compliance, commerciale, marketing: tutte le funzioni aziendali trattano dati e devono, dal 25 maggio scorso, farlo secondo le indicazioni del regolamento. È quindi legittima, a questo punto, una domanda: quale è la funzione aziendale che si candida a gestire l'incrocio detto sopra? Quale la funzione più adatta a fungere da raccordo tra le altre funzioni in materia di privacy?

Privacy, come mettersi in regola con la Gdpr

La risposta dipende da una serie molto ampia di variabili. Tuttavia, non sarebbe sbagliato rispondere: la funzione Hr. Infatti, i responsabili del personale sono tradizionalmente al centro della vita aziendale e, in aggiunta, riforme di impianto e impatto paragonabile al Gdpr hanno trovato in passato negli Hr i gestori ideali, basti pensare alla sicurezza sul lavoro e alle sue procedure, o ai requisiti introdotti dal Jobs act per il controllo a distanza dei dipendenti. Tutte norme che presuppongono una solida struttura di procedure e documenti e un’attenzione costante per organizzazione e dinamiche tra soggetti e uffici.

Per valutare questa ipotesi, è utile passare in rassegna le principali novità introdotte dal regolamento e analizzare i punti di contatto con la funzione di responsabile del personale. In primo luogo il Gdpr impone chiarezza di ruoli e organizzazione: per funzionare correttamente la privacy in azienda necessita di un organigramma e delle relative nomine e incarichi; questi nuovi requisiti possono essere gestiti in parallelo a organigrammi e funzionigrammi già in atto. Medesimo discorso, di organizzazione e monitoraggio, si può applicare al registro dei trattamenti della società, il documento che anche la nostra Autorità garante indica come modalità regina per dimostrare il rispetto dei requisiti Gdpr. La funzione di gestione del personale, con la sua conoscenza di ruoli, responsabilità e job description si candida immediatamente alla tenuta e all’aggiornamento del registro stesso, con il ruolo di collettore e custode del medesimo.

Al di là, infatti, dell’opera di adeguamento nell’immediatezza dell’entrata in vigore del provvedimento, il modo di operare prescritto dal regolamento dovrà diventare la modalità automatica (privacy by default) di ogni procedura aziendale. La comunicazione (a tutti i dipendenti) e la formazione (di tutti i soggetti interessati) in materia di corretto trattamento dei dati rientra, o almeno così pare logico pensare, nella più ampia tenuta di registri e attività di formazione già demandata alle risorse umane. A ciò si aggiunga che solo con una gestione centralizzata e precisa dei processi sarà possibile mettere in atto efficaci rimedi in caso di data breach o ispezioni, evitando così le sostanziali e temute sanzioni previste dal Gdpr.

Le attività che abbiamo citato fino ad ora costituiscono aree di intervento compatibili ma nuove per i responsabili Hr. Tutti i requisiti visti fin qui, infatti, nascono con il regolamento e costituiscono attività inedite, finora, all’interno delle aziende. Pure inedita è la tenuta dei rapporti con il Dpo: ove sia nominato (non è un obbligo per tutti) sarà utile individuare all’interno dell’azienda un interlocutore abituale, capace di instaurare con lui, o lei, una relazione costante e fruttuosa, per approfittare al meglio dei nuovi strumenti del regolamento. A questo si aggiunge, sin da ora, la gestione dei dati Hr propriamente detti (paghe, presenze, procedure disciplinari, investigazioni interne) da effettuarsi secondo i nuovi requisiti e con attenzioni finora sconosciute, chiudendo il cerchio della proceduralizzazione da cui siamo partiti.

La centralità del ruolo degli Hr con riferimento ai nuovi obblighi imposti dal Gdpr sembra poi confermata anche da alcune disposizioni del decreto legislativo 101 del 10 agosto 2018, di adeguamento della normativa nazionale al Gdpr stesso, pubblicato sulla Gazzetta ufficiale pochi giorni fa. L’articolo 17 del decreto, infatti, impone l’applicazione generale (salvo eccezioni) del rito lavoro alle controversie in materia di protezione dei dati. Se è logico pensare che, per le peculiarità del rito e la conoscenza dello stesso, le controversie in questo ambito verranno affidate prevalentemente ad avvocati giuslavoristi, diventa altrettanto logico e naturale che tali soggetti, necessariamente esterni, vengano supportati da chi nelle aziende è abituato a farlo e conosce a sua volta il rito: gli addetti alle risorse umane, appunto.

In tal senso, poi, depongono anche le disposizioni del decreto che pongono una particolare attenzione sui trattamenti svolti nell’ambito del rapporto di lavoro: si vedano a tal proposito gli articoli 9 e 21. Il primo prevede la promozione da parte del Garante di regole deontologiche ad hoc per tali trattamenti, con possibilità di individuare anche specifiche modalità per le informazioni da rendere ai lavoratori.

Il secondo, poi, cita espressamente l’autorizzazione generale del Garante relativa al trattamento di dati sensibili nell’ambito del rapporto di lavoro tra i provvedimenti di cui lo stesso Garante dovrà, nel corso dei novanta giorni successivi all’entrata in vigore del decreto, individuare ed eventualmente aggiornare le disposizioni compatibili con la nuova normativa.

Insomma, è evidente che le nuove disposizioni in materia di privacy (Gdpr e Codice privacy così come modificato dal recente decreto) portano con sé, per chi vorrà coglierla, una sfida per rinnovare il ruolo della funzione Hr nelle aziende, restituendo quella centralità che, forse, altre e passate riforme hanno messo in ombra.

© Riproduzione riservata