Le risorse umane sono un aspetto particolarmente sensibile di cui tenere conto, sia per la tutela dei dati personali dei lavoratori, che per l’impatto di una corretta gestione nei confronti del GDPR.
Le risorse umane
Un ambito comune a tutte le organizzazioni, siano private o pubbliche, che ogni DPO si ritrova a dover analizzare e sorvegliare, riguarda la gestione delle risorse umane, a prescindere dalla forma contrattuale del rapporto di lavoro instaurato.
Per poter svolgere al meglio le proprie mansioni, è importante che il DPO abbia cognizione degli ambienti di trattamento svolti, per individuare conseguentemente i soggetti coinvolti.
E’ possibile differenziare le categorie di attività a seconda che siano svolte:
- esclusivamente all’interno dell’organizzazione;
- in regime di contitolarità (nei gruppi o nelle reti d’impresa);
- facendo ricorso a responsabili del trattamento (es. un centro di elaborazione paghe);
- con il coinvolgimento di terze parti (es. medico del lavoro).
Già attraverso un controllo documentale si può riscontrare la capacità dell’organizzazione di rendicontare gli adempimenti normativi.
Attraverso il registro delle attività di trattamento e le informative emerge la presenza dei soggetti individuati a sostegno del GDPR, nei casi di contitolarità e contrattualizzazione dei rapporti con i responsabili del trattamento.
Una particolare attenzione deve essere necessariamente posta sull’individuazione della corretta base giuridica delle attività che prevedono comunicazioni dei dati dei lavoratori e all’eventualità che siano svolti trasferimenti verso paesi terzi come nelle ipotesi di impiego di alcuni servizi cloud anche da parte dei responsabili del trattamento.
Per quanto riguarda le attività di sorveglianza che possono essere oggetto di programmazione, nell’ipotesi in cui siano stati individuati dei responsabili del trattamento è necessario che il DPO sappia indicare all’organizzazione l’opportunità di svolgere degli audit, la loro cadenza, ampiezza e profondità.
Una volta circoscritto così il perimetro dell’area della gestione risorse umane, gli approfondimenti da svolgere devono riguardare prima di tutto l’asseto organizzativo di cui si è dotato il titolare del trattamento al fine di valutare l’efficacia delle misure predisposte per la conformità normativa e la sicurezza dei trattamenti.
Il DPO nei processi che coinvolgono i lavoratori
I processi che è possibile individuare in via generale devono essere riferiti al ciclo di vita dei dati dei lavoratori, caratterizzato dalle seguenti fasi:
- selezione del personale;
- gestione del rapporto di lavoro;
- cessazione del rapporto di lavoro;
- conservazione e archiviazione.
da cui è possibile specificarne di ulteriori, a seconda della complessità o dell’esigenza di raggruppare trattamenti analoghi. Il DPO deve informare il titolare o il responsabile circa gli obblighi relativi a ciascuno dei processi individuati avendo cura di precisare anche le intersezioni con la normativa giuslavoristica soprattutto per quanto riguarda limiti e divieti.
Alcuni esempi possono essere la predisposizione di sistemi per il controllo dei lavoratori o il monitoraggio della strumentazione lavorativa, o altrimenti le modalità di svolgimento del colloquio di lavoro e le informazioni che è possibile acquisire.
L’azione di controllo del DPO all’interno di una porzione così sensibile per l’organizzazione, deve essere in sintonia con l’assetto organizzativo, pena che ne sia compromessa l’efficacia o che si creino situazioni in grado di generare un conflitto di interessi.
Ad esempio attraverso la verifica delle modalità mediante le quali i lavoratori sono informati, è possibile verificare il principio di trasparenza, così come il modo in cui gli operatori che accedono ai dati sono autorizzati, istruiti e formati, consente di verificare il principio di integrità e riservatezza.
La verifica delle misure organizzative
Il contratto con il DPO deve essere reso disponibile e diffuso a tutti gli operatori dal momento che sono soggetti interessati al trattamento, ma anche in considerazione di dare definizione ai flussi informativi.
Un ulteriore passaggio rilevante nel controllo del rispetto dei principi del GDPR consiste necessariamente nella verifica delle misure di sicurezza applicate e della loro adeguatezza sia in relazione ai database dei lavoratori sia per quanto riguarda l’aspetto della gestione del rischio connesso al fattore umano che riguarda anche tutte le altre attività di trattamento svolte.
Il controllo del fattore umano
È fondamentale che il DPO vada a valutare le modalità di autorizzazione e accesso ai dati soprattutto in considerazione dei cambi di mansione, delle diverse modalità di svolgimento del lavoro (smart working o telelavoro) e della sospensione o cessazione del rapporto di lavoro. Pur agendo principalmente all’interno della gestione delle risorse umane, il controllo di autorizzazioni, utenze e privilegi non può essere svolto senza coinvolgere anche l’ambito IT dell’organizzazione.
Le politiche di formazione e sensibilizzazione in ambito di sicurezza, alla pari delle misure tecniche, non possono essere verificate solamente per via documentale ma occorre che il DPO svolga degli approfondimenti specifici al fine di verificarne l’efficace attuazione. E a rigor di logica tali approfondimenti devono riguardare un’interazione con tutto il personale.
Diventa così di particolare importanza che gli operatori possano fare riferimento al DPO in modo riservato e senza il timore di ricevere conseguenze negative come conseguenza per eventuali richieste o segnalazioni. Di conseguenza è rilevante il metodo di acquisizione di informazioni o di reporting ai vertici dell’organizzazione.
Comments are closed for this article!