Privacy e dati personali dei dipendenti: sai come gestirli?
Nell’era digitale in cui viviamo, i dati personali sono diventati un aspetto essenziale della vita quotidiana e professionale.
Le aziende devono raccogliere, elaborare e utilizzare i dati personali dei dipendenti per gestire le risorse umane in modo efficace ed efficiente. Tuttavia, il trattamento dei dati personali deve essere effettuato in conformità con la normativa europea sulla protezione dei dati ossia al Regolamento Generale sulla Protezione dei Dati (RGPD) .
Vediamo allora come fare a gestire bene i dati dei lavoratori.
Cosa sono i dati personali
Il RGPD definisce i dati personali come qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Ciò significa che qualsiasi informazione che identifica direttamente o indirettamente una persona è considerata un dato personale. Sono quindi dati personali: il nome, l’indirizzo e il numero di telefono.
Ci sono anche categorie speciali di dati personali, come quelli relativi alla salute o alla vita sessuale, che godono di una protezione particolarmente rigorosa.
Privacy e dati personali dei dipendenti
Nella gestione delle risorse umane, le aziende devono raccogliere e trattare i dati personali dei dipendenti per una serie di scopi, tra cui la valutazione delle prestazioni, la pianificazione delle risorse, la remunerazione e l’amministrazione del personale.
Questa raccolta deve però essere preceduta da un’accurata attività di mappatura generale dei dati.
Grazie a questa scrupolosa mappatura, le aziende devono garantire che i dati personali siano trattati in modo legale, equo e trasparente. I dati devono, quindi, essere raccolti solo per scopi specifici e legittimi.
In sostanza, chi gestisce i dati deve conoscere bene quali informazioni tratta, per quali finalità le tratta, in quale contesto le tratta, come le tratta e dove le conserva.
Per questo si deve porre molta attenzione al principio di responsabilizzazione (c.d. Accountability).
Il Titolare del trattamento deve essere in grado di poter dimostrare in qualsiasi momento che le attività di trattamento rispettino gli obblighi e i requisiti della normativa. Questo obbligo si mette in atto creando e tenendo aggiornato un registro delle attività del trattamento svolte in conformità all’articolo 30 del GDPR.
La protezione dei dati
Le aziende devono anche garantire che i dati personali siano protetti da accessi non autorizzati o dalla perdita o distruzione accidentale.
Ciò significa che le aziende devono adottare misure tecniche e organizzative adeguate a proteggere i dati personali. Ad esempio attraverso l’uso di sistemi di sicurezza informatica, la formazione del personale e la definizione di chiare e condivise politiche interne sulla protezione dei dati.
Ogni operazione di trattamento dati utilizza una o più risorse (asset) di supporto. Perciò, identificare tali strumenti è di primaria importanza perché ogni risorsa può avere delle vulnerabilità che possono essere causa di violazione dei dati.
Il diritti dei dipendenti in merito ai loro dati
Le aziende, inoltre devono rispettare i diritti dei dipendenti in merito ai loro dati personali. Ciò include il diritto di:
- accedere ai propri dati personali, la loro correzione se inesatti
- chiedere la cancellazione dei propri dati personali
- opporsi al trattamento dei propri dati personali per determinati scopi.
Infine, le aziende devono nominare un responsabile della protezione dei dati (DPO) o nominare un Privacy Officer ( per entrambe le figure si può scegliere anche una figura esterna certificata) per garantire la conformità alle leggi sulla protezione dei dati e per fungere da punto di contatto per le autorità di controllo e i dipendenti.
Sempre a queste figure il Titolare potrà delegare le attività di monitoraggio periodici (audit) per la verifica e l’aggiornamento dei trattamenti dei dati personali detenuti dall’azienda.
