Stefano Gazzella : 16 Agosto 2023 08:06
L’ambito HR è una delle aree sensibili dell’organizzazione, pertanto è già oggetto di attenzioni da parte di DPO, Privacy Manager o Privacy Officer in ragione dei processi che compongono la gestione dei lavoratori, dall’assunzione alla cessazione, e più in generale della sicurezza collegata al comportamento degli operatori. Spesse volte emerge un ruolo passivo o, per meglio dire recettivo, della funzione HR nella protezione dei dati personali. Questa si limita infatti a dare esecuzione alle istruzioni direzionali per conformare le attività che coinvolgono i dati personali ai requisiti del GDPR.
Ciò può trovare la propria ragion d’essere non sempre nella mancanza di un intento di coinvolgimento della funzione, bensì nel sovraccarico di compiti che è già chiamata a svolgere e il coinvolgimento in più flussi informativi. Alcuni esempi ricorrenti sono gli adempimenti di formazione obbligatoria o più in generale nelle prescrizioni in materia di salute e sicurezza dei luoghi di lavoro, nel rapportarsi con gli organismi di controllo (es. Organismo di Vigilanza o Collegio sindacale), nel contenzioso attivo e passivo, o nelle attività di internal audit. La funzione rischia spesso un sovraccarico di compiti che è conseguenza di una mancata visione d’insieme – e di integrazione – dei sistemi di gestione degli adempimenti.
Se da un lato si deve ragionare in ottica di HLS – High Level Structure, ridefinendo i processi e i flussi informativi, dall’altro è necessario considerare quali compiti siano connaturati alla funzione HR nella gestione degli adempimenti in materia di protezione dei dati personali. Il tutto in ragione della prossimità sul piano operativo, l’accesso più completo alle informazioni nonché la capacità di impattare in modo significativo sul processo.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Quali sono i principali aspetti di cui le risorse umane devono tenere conto secondo le indicazioni fornite dalla normativa? Alcuni sono già indicati dal GDPR:
a cui si aggiunge quanto prescritto dalla legislazione nazionale, talvolta anche in riferimento a specifici settori di attività e al CCNL di riferimento, che possono riguardare un ampio novero di ipotesi quali ad esempio i sistemi da cui può derivare un controllo a distanza, talune particolari indicazioni di confidenzialità, l’esigenza datoriale di fare richiesta del casellario giudiziario o altrimenti di dover conservare determinati dati personali.
Tali e tanto variegati compiti richiedono però una puntuale formazione degli uffici HR proprio sugli adempimenti specifici in materia di protezione dei dati personali, altrimenti il rischio è incorrere in errori e disattenzioni. Parimenti, è bene che l’attribuzione di responsabilità sia chiara e soprattutto coerente con un ruolo non più passivo bensì proattivo che la funzione è chiamata a svolgere.
L’adeguato coinvolgimento della funzione HR deve ovviamente seguire le logiche dell’organizzazione, in modo tale da favorire quella sinergia con altre funzioni interne e consulenti esterni per sorvegliare adeguatamente gli ambiti di gestione delegati. Se da un lato una designazione ex art. 2-quaterdecies Cod. Privacy può formalizzare questo ruolo, dal momento che consiste in un’attribuzione di specifici compiti e funzioni connessi al trattamento di dati personali, è bene verificare la sussistenza dei presupposti sostanziali. Principalmente se i soggetti designati sono stati posti nelle condizioni di esercitare quella funzione delegata. Tanto sul fronte cognitivo (e dunque: hanno contezza di ciò che è stato loro attribuito), quanto per i poteri concretamente esercitabili e coerenti con la delega.
Caso emblematico di studio per rappresentare la necessaria premessa di quel doversi organizzare che rende possibile questo tipo di empowerment è la gestione del ciclo di vita dell’utenza. Che questa sia relativa ad un lavoratore in prova, uno stagista, o un dipendente cessato, la funzione HR agisce come responsabile dell’attività (inteso secondo matrice RACI) con l’ufficio IT operante come soggetto coinvolto. Eliminare un passaggio nella richiesta di particolari autorizzazioni alla direzione è possibile solo nel momento in cui le relative procedure interne sono state definite, formalizzate e standardizzate.
Infine, non si deve sottovalutare la capacità di una funzione adeguatamente coinvolta e cruciale come quella HR di generare feedback utili non solo relativi alla gestione dei dati personali ma anche all’aspetto della sicurezza e, in particolare, all’elemento del fattore umano.
Stefano GazzellaLa frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
