Funzione HR e protezione dei dati personali: ruolo e responsabilità

Stefano Gazzella : 16 Agosto 2023 08:06

L’ambito HR è una delle aree sensibili dell’organizzazione, pertanto è già oggetto di attenzioni da parte di DPO, Privacy Manager o Privacy Officer in ragione dei processi che compongono la gestione dei lavoratori, dall’assunzione alla cessazione, e più in generale della sicurezza collegata al comportamento degli operatori. Spesse volte emerge un ruolo passivo o, per meglio dire recettivo, della funzione HR nella protezione dei dati personali. Questa si limita infatti a dare esecuzione alle istruzioni direzionali per conformare le attività che coinvolgono i dati personali ai requisiti del GDPR.

Ciò può trovare la propria ragion d’essere non sempre nella mancanza di un intento di coinvolgimento della funzione, bensì nel sovraccarico di compiti che è già chiamata a svolgere e il coinvolgimento in più flussi informativi. Alcuni esempi ricorrenti sono gli adempimenti di formazione obbligatoria o più in generale nelle prescrizioni in materia di salute e sicurezza dei luoghi di lavoro, nel rapportarsi con gli organismi di controllo (es. Organismo di Vigilanza o Collegio sindacale), nel contenzioso attivo e passivo, o nelle attività di internal audit. La funzione rischia spesso un sovraccarico di compiti che è conseguenza di una mancata visione d’insieme – e di integrazione – dei sistemi di gestione degli adempimenti.

Se da un lato si deve ragionare in ottica di HLS – High Level Structure, ridefinendo i processi e i flussi informativi, dall’altro è necessario considerare quali compiti siano connaturati alla funzione HR nella gestione degli adempimenti in materia di protezione dei dati personali. Il tutto in ragione della prossimità sul piano operativo, l’accesso più completo alle informazioni nonché la capacità di impattare in modo significativo sul processo.

Compiti della funzione HR nella protezione dei dati personali

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Quali sono i principali aspetti di cui le risorse umane devono tenere conto secondo le indicazioni fornite dalla normativa? Alcuni sono già indicati dal GDPR:

• Trasparenza informativa nei confronti dei lavoratori (artt. 12, 13 e 14 GDPR);
• Gestione delle richieste dei lavoratori in qualità di soggetti interessati (art. 12 GDPR);
• Autorizzazione ed istruzione degli operatori per l’accesso ai dati personali (art. 29 GDPR);
• Sicurezza e autenticazione dei soggetti che hanno accesso ai dati personali (art. 32 par. 4 GDPR);
• Gestione e documentazione di una violazione di dati personali (art. 33 GDPR);
• Formazione e sensibilizzazione del personale che partecipa alle attività di trattamento (art. 39 par. 1 lett. b) GDPR);

a cui si aggiunge quanto prescritto dalla legislazione nazionale, talvolta anche in riferimento a specifici settori di attività e al CCNL di riferimento, che possono riguardare un ampio novero di ipotesi quali ad esempio i sistemi da cui può derivare un controllo a distanza, talune particolari indicazioni di confidenzialità, l’esigenza datoriale di fare richiesta del casellario giudiziario o altrimenti di dover conservare determinati dati personali.

Tali e tanto variegati compiti richiedono però una puntuale formazione degli uffici HR proprio sugli adempimenti specifici in materia di protezione dei dati personali, altrimenti il rischio è incorrere in errori e disattenzioni. Parimenti, è bene che l’attribuzione di responsabilità sia chiara e soprattutto coerente con un ruolo non più passivo bensì proattivo che la funzione è chiamata a svolgere.

Un ruolo proattivo della funzione HR

L’adeguato coinvolgimento della funzione HR deve ovviamente seguire le logiche dell’organizzazione, in modo tale da favorire quella sinergia con altre funzioni interne e consulenti esterni per sorvegliare adeguatamente gli ambiti di gestione delegati. Se da un lato una designazione ex art. 2-quaterdecies Cod. Privacy può formalizzare questo ruolo, dal momento che consiste in un’attribuzione di specifici compiti e funzioni connessi al trattamento di dati personali, è bene verificare la sussistenza dei presupposti sostanziali. Principalmente se i soggetti designati sono stati posti nelle condizioni di esercitare quella funzione delegata. Tanto sul fronte cognitivo (e dunque: hanno contezza di ciò che è stato loro attribuito), quanto per i poteri concretamente esercitabili e coerenti con la delega.

Caso emblematico di studio per rappresentare la necessaria premessa di quel doversi organizzare che rende possibile questo tipo di empowerment è la gestione del ciclo di vita dell’utenza. Che questa sia relativa ad un lavoratore in prova, uno stagista, o un dipendente cessato, la funzione HR agisce come responsabile dell’attività (inteso secondo matrice RACI) con l’ufficio IT operante come soggetto coinvolto. Eliminare un passaggio nella richiesta di particolari autorizzazioni alla direzione è possibile solo nel momento in cui le relative procedure interne sono state definite, formalizzate e standardizzate.

Infine, non si deve sottovalutare la capacità di una funzione adeguatamente coinvolta e cruciale come quella HR di generare feedback utili non solo relativi alla gestione dei dati personali ma anche all’aspetto della sicurezza e, in particolare, all’elemento del fattore umano.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore