Stefano Gazzella : 16 Agosto 2023 08:06
L’ambito HR è una delle aree sensibili dell’organizzazione, pertanto è già oggetto di attenzioni da parte di DPO, Privacy Manager o Privacy Officer in ragione dei processi che compongono la gestione dei lavoratori, dall’assunzione alla cessazione, e più in generale della sicurezza collegata al comportamento degli operatori. Spesse volte emerge un ruolo passivo o, per meglio dire recettivo, della funzione HR nella protezione dei dati personali. Questa si limita infatti a dare esecuzione alle istruzioni direzionali per conformare le attività che coinvolgono i dati personali ai requisiti del GDPR.
Ciò può trovare la propria ragion d’essere non sempre nella mancanza di un intento di coinvolgimento della funzione, bensì nel sovraccarico di compiti che è già chiamata a svolgere e il coinvolgimento in più flussi informativi. Alcuni esempi ricorrenti sono gli adempimenti di formazione obbligatoria o più in generale nelle prescrizioni in materia di salute e sicurezza dei luoghi di lavoro, nel rapportarsi con gli organismi di controllo (es. Organismo di Vigilanza o Collegio sindacale), nel contenzioso attivo e passivo, o nelle attività di internal audit. La funzione rischia spesso un sovraccarico di compiti che è conseguenza di una mancata visione d’insieme – e di integrazione – dei sistemi di gestione degli adempimenti.
Se da un lato si deve ragionare in ottica di HLS – High Level Structure, ridefinendo i processi e i flussi informativi, dall’altro è necessario considerare quali compiti siano connaturati alla funzione HR nella gestione degli adempimenti in materia di protezione dei dati personali. Il tutto in ragione della prossimità sul piano operativo, l’accesso più completo alle informazioni nonché la capacità di impattare in modo significativo sul processo.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Quali sono i principali aspetti di cui le risorse umane devono tenere conto secondo le indicazioni fornite dalla normativa? Alcuni sono già indicati dal GDPR:
a cui si aggiunge quanto prescritto dalla legislazione nazionale, talvolta anche in riferimento a specifici settori di attività e al CCNL di riferimento, che possono riguardare un ampio novero di ipotesi quali ad esempio i sistemi da cui può derivare un controllo a distanza, talune particolari indicazioni di confidenzialità, l’esigenza datoriale di fare richiesta del casellario giudiziario o altrimenti di dover conservare determinati dati personali.
Tali e tanto variegati compiti richiedono però una puntuale formazione degli uffici HR proprio sugli adempimenti specifici in materia di protezione dei dati personali, altrimenti il rischio è incorrere in errori e disattenzioni. Parimenti, è bene che l’attribuzione di responsabilità sia chiara e soprattutto coerente con un ruolo non più passivo bensì proattivo che la funzione è chiamata a svolgere.
L’adeguato coinvolgimento della funzione HR deve ovviamente seguire le logiche dell’organizzazione, in modo tale da favorire quella sinergia con altre funzioni interne e consulenti esterni per sorvegliare adeguatamente gli ambiti di gestione delegati. Se da un lato una designazione ex art. 2-quaterdecies Cod. Privacy può formalizzare questo ruolo, dal momento che consiste in un’attribuzione di specifici compiti e funzioni connessi al trattamento di dati personali, è bene verificare la sussistenza dei presupposti sostanziali. Principalmente se i soggetti designati sono stati posti nelle condizioni di esercitare quella funzione delegata. Tanto sul fronte cognitivo (e dunque: hanno contezza di ciò che è stato loro attribuito), quanto per i poteri concretamente esercitabili e coerenti con la delega.
Caso emblematico di studio per rappresentare la necessaria premessa di quel doversi organizzare che rende possibile questo tipo di empowerment è la gestione del ciclo di vita dell’utenza. Che questa sia relativa ad un lavoratore in prova, uno stagista, o un dipendente cessato, la funzione HR agisce come responsabile dell’attività (inteso secondo matrice RACI) con l’ufficio IT operante come soggetto coinvolto. Eliminare un passaggio nella richiesta di particolari autorizzazioni alla direzione è possibile solo nel momento in cui le relative procedure interne sono state definite, formalizzate e standardizzate.
Infine, non si deve sottovalutare la capacità di una funzione adeguatamente coinvolta e cruciale come quella HR di generare feedback utili non solo relativi alla gestione dei dati personali ma anche all’aspetto della sicurezza e, in particolare, all’elemento del fattore umano.
Stefano GazzellaNegli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...
Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...
