Privacy e Gestione delle Risorse Umane

Il Garante francese ha pubblicato le linee guida relative al trattamento dei dati personali nel contesto della gestione delle risorse umane.

Tali linee guida forniscono spunti interessanti di riflessione che si possono tradurre in comportamenti operativi utili per rendere una organizzazione compliance privacy.

Le linee guida sono rivolte sia al titolare del trattamento (azienda o ente pubblico) ma anche ai soggetti che svolgono una attività in qualità di responsabili del trattamento, come ad esempio i consulenti del lavoro che effettuano l’elaborazione delle buste paghe.

Il presente articolo evidenzia i punti salienti delle predette linee guida

Le finalità del trattamento dei dati personali dei dipendenti e collaboratori

Il trattamento dei dati personali dei dipendenti e collaboratori viene effettuato per perseguire le seguenti finalità:

  1. Il reclutamento del personale;
  2. La gestione amministrativa del personale;
  3. La gestione economica del personale;
  4. L’organizzazione dell’attività lavorativa;
  5. Il monitoraggio della carriera;
  6. La formazione;
  7. La gestione dell’assistenza sociale;
  8. Lo svolgimento di attività di audit, la gestione del contenzioso e del precontenzioso.

La base giuridica del trattamento

Una volta individuata la finalità del trattamento occorre individuare la base giuridica del trattamento, che solo raramente può essere il “consenso”, in considerazione del rapporto di dipendenza esistente fra le parti.

Può essere richiesto il consenso al trattamento al dipendente quando questo non pregiudica la possibilità di essere assunto.

Si ritiene che il consenso costituisca la corretta base giuridica per la pubblicazione di una foto del dipendente sul sito internet dell’azienda, in quanto un eventuale rifiuto non va ad incidere sulla continuazione del rapporto lavorativo o sullo svolgimento della mansione.

Di particolare interesse è la tabella che il garante francese ha elaborato che mette in relazione le finalità del trattamento con le basi giuridiche.

FINALITÀ ATTIVITÀ DI TRATTAMENTO BASE GIURIDICA ARTICOLO GDPR
Reclutamento Ricezione del CV e gestione del colloquio Esecuzione di un contratto Art. 6 lett. b)
Reclutamento Archiviazione dei CV Interesse legittimo Art. 6 lett. f)
Gestione amministrativa del personale Apertura del fascicolo dipendente Esecuzione di un contratto Art. 6 lett. b)
Gestione amministrativa del personale Predisposizione di report per gestione del personale Interesse legittimo Art. 6 lett. f)
Gestione amministrativa del personale Gestione di elenchi interni (es: autovetture in dotazione la personale) Interesse legittimo Art. 6 lett. f)
Gestione amministrativa del personale Gestione delle rappresentanze sindacali Obbligo legale Art. 6 lett. c)
Gestione economica e formalità amministrative correlate Gestione buste paghe Esecuzione di un contratto Art. 6 lett. b)
Fornitura di strumenti professionali al personale Monitoraggio dei sistemi informatici utilizzati Interesse legittimo Art. 6 lett. f)
Fornitura di strumenti professionali al personale Gestione delle autorizzazioni informatiche Interesse legittimo Art. 6 lett. f)
Fornitura di strumenti professionali al personale Gestione della posta elettronica aziendale Interesse legittimo Art. 6 lett. f)
Fornitura di strumenti professionali al personale Gestione intranet Interesse legittimo Art. 6 lett. f)
Organizzazione del lavoro Gestione di agende e progetti professionali Interesse legittimo Art. 6 lett. f)
Monitoraggio della carriera professionale Gestione delle competenze professionali Interesse legittimo Art. 6 lett. f)
Monitoraggio della carriera professionale Gestione della mobilità professionale Esecuzione di un contratto Art. 6 lett. b)
Formazione Gestione delle richieste del dipendente sulla formazione Esecuzione di un contratto Art. 6 lett. b)
Formazione Organizzazione della formazione e test di valutazione delle conoscenze Interesse legittimo Art. 6 lett. f)
Gestione degli aiuti sociali Gestione di iniziative sociali implementate direttamente dal datore di lavoro Interesse legittimo Art. 6 lett. f)

I dati personali dei dipendenti/collaboratori che possono essere raccolti

Il datore di lavoro può raccogliere solo dati personali strettamente necessari all’attività lavorativa e deve raccoglierli solo al momento in cui nasce la necessità.

Non è lecito chiedere in fase di valutazione di un candidato per l’assunzione i dati personali dei familiari, tali dati potranno essere richiesti solo quando il candidato è stato assunto.

E’ lecito richiedere la documentazione di supporto per giustificare le richieste di congedi per assistere familiari in situazione di disagio, al fine di verificare l’effettività della richiesta.

Particolare attenzione deve essere riposta al trattamento dei dati giudiziari e sensibili che hanno una loro base giuridica di trattamento.

I destinatari dei dati personali dei dipendenti

I dati personali dei dipendenti devono essere resi accessibili solo alle persone formalmente autorizzate.

Nel caso in cui un soggetto terzo effettua un trattamento per conto del titolare (es: consulente del lavoro che tiene le paghe o la società che gestisce il servizio mensa) deve essere nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Possono esservi anche altri destinatari che agiscono come titolari autonomi come ad esempio l’INPS o l’INAIL o l’Agenzia delle Entrate o il fondo di previdenza complementare.

Il periodo di conservazione dei dati personali dei dipendenti

Generalmente il periodo di conservazione dei dati dei dipendenti coincide con la durata del rapporto di lavoro, salvo quanto previsto da disposizioni di legge e regolamenti.

Si precisa che la normativa civilistica prevede la conservazione per 10 anni.

Le misure di sicurezza da applicare

Il Garante francese individua anche una serie di misure di sicurezza che il titolare/responsabile del trattamento deve implementare al fine di garantire la sicurezza dei dati personali.

CATEGORIA MISURE DI SICUREZZA
Consapevolezza dei soggetti che trattano i dati personali Informare e formare le persone che gestiscono i dati
Consapevolezza dei soggetti che trattano i dati personali Predisporre un regolamento per l’utilizzo delle attrezzature informatiche e modalità di trattamento dei dati personali con  forza vincolante
Sistemi di autenticazione Password univoca per ogni utente
Sistemi di autenticazione Adottare una policy per la password utente
Sistemi di autenticazione Obbligare l’utente a cambiare la password
Sistemi di autenticazione Limitare il numero di tentativi di accesso a un account
Gestione autorizzazioni Definire i profili di autorizzazione
Gestione autorizzazioni Rimuovere autorizzazioni di accesso obsolete
Gestione autorizzazioni Effettuare una revisione annuale delle autorizzazioni
Tracciamento degli accessi e gestione incidenti Implementare un sistema di registrazione degli accessi  
Tracciamento degli accessi e gestione incidenti Informare gli utenti dell’implementazione del sistema di registrazione
Tracciamento degli accessi e gestione incidenti Fornire procedure per le notifiche di violazione dei dati
Sistema di protezione Fornire una procedura di blocco automatico della sessione di lavoro in caso di inattività dopo un certo periodo
Sistema di protezione Antivirus aggiornato regolarmente
Sistema di protezione Installare un “firewall”
Sistema di protezione Ottenere il consenso dell’utente prima di qualsiasi intervento sulla sua postazione di lavoro
Sicurezza di tablet, portatili, smartphone Fornire mezzi di crittografia per apparecchiature mobili  
Sicurezza di tablet, portatili, smartphone Effettua backup o sincronizzazioni regolari dei dati  
Sicurezza di tablet, portatili, smartphone Richiedi un codice segreto per sbloccare gli smartphone  
Protezione rete informatica interna Limitare i flussi di rete a quanto strettamente necessario  
Protezione rete informatica interna Accesso remoto sicuro ai dispositivi di elaborazione mobile tramite VPN
Protezione rete informatica interna Implementa il protocollo WPA2 o WPA2-PSK per le reti Wi-Fi
Protezione server Limitare l’accesso agli strumenti e alle interfacce di amministrazione alle solo persone autorizzate
Protezione server Installare gli aggiornamenti critici
Salvataggio dei dati Eseguire backup regolari
Salvataggio dei dati Conservare i supporti di backup in un luogo sicuro
Salvataggio dei dati Pianificare e testare regolarmente la continuità aziendale
Archiviazione Implementare procedure di accesso ai dati archiviati
Archiviazione Distruggere in modo sicuro archivi obsoleti
Manutenzione e distruzione dei dati Registrare gli interventi di manutenzione
Manutenzione e distruzione dei dati Supervisionare gli interventi di terzi da parte di un responsabile dell’organizzazione
Manutenzione e distruzione dei dati Cancellare i dati da qualsiasi hardware prima dello smaltimento
Gestione rapporti con i terzi I rapporti con fornitori di servizi che trattano dati in nome e per conto del titolare del trattamento devono essere oggetto di un accordo scritto art. 28 GDPR
Protezione degli scambi di informazione con soggetti terzi Crittografa i dati prima che vengano inviati
Protezione degli scambi di informazione con soggetti terzi Assicurarsi che sia il destinatario giusto
Protezione degli scambi di informazione con soggetti terzi Trasmettere il codice segreto per apertura del file separatamente e tramite un canale diverso (es: telefonicamente)
Protezione dei locali Limitare l’accesso ai locali mediante porte chiuse
Protezione dei locali Installare degli allarmi antintrusione e controllarli periodicamente

Valutazione d’impatto quando è necessaria

Il Garante francese individua i seguenti trattamenti dei dati personali con obbligo di valutazione d’impatto:

  1. trattamenti che stabiliscono i profili della persona (esempi: selezione del personale affidata ad un algoritmo; trattamenti volti a proporre azioni di formazione personalizzata individuata tramite algoritmi)
  2. elaborazione di monitoraggio dei dipendenti (esempi: geolocalizzazione dei dipendenti, videosorveglianza di un magazzino con beni di valore, ecc).
Show CommentsClose Comments

Leave a comment