processi digitali HR e mappatura dei dati trattati

Con il progredire delle tecnologie informatiche sono sempre più numerose le organizzazioni HR che si avvalgono di strumenti digitali per raccogliere, elaborare e conservare i dati del personale. Dalle fasi di recruiting alla rilevazione delle presenze, dalla gestione turni alla localizzazione dei mezzi (… e dei collaboratori) sul territorio, dai dati sulla formazione e gli skills alle valutazioni di performance, sino ovviamente agli adempimenti amministrativi connessi al pagamento degli stipendi e delle ritenute, alle certificazioni dei redditi, alle pratiche di malattia o infortuni, sono numerosi i dati personali che l’organizzazione HR deve trattare nel corso della vita lavorativa (e oltre ?) dei propri dipendenti. Ed è prassi sempre più diffusa rilevare queste informazioni in modo digitale, comunicare con il personale tramite moduli on-line o con mobile app, usando strumentazione dell’azienda o del dipendente stesso, memorizzando i dati su server aziendali o avvalendosi di piattaforme in cloud magari gestite da terzi.

In vista dell’introduzione del nuovo GDPR è necessario per tutte le organizzazioni HR stabilire in primo luogo dove risiedono in azienda tutti i dati personali dei dipendenti e quali sono le categorie di documenti con cui raccolgono, modificano, aggiornano, processano ed archiviano questi dati.

Solo una completa mappatura dei dati permette infatti di disporre delle informazioni di base sulle attività che il titolare del trattamento deve elencate nel registro previsto dal nuovo regolamento europeo.

legittimità del trattamento dati del personale

Una volta realizzato quantomeno l’inventario dei dati grezzi e dei luoghi di conservazione degli stessi, occorre che l’azienda si domandi in base a quale titolo giuridico ha facoltà di disporre dei queste informazioni. Come sappiamo il gruppo di lavoro in ambito UE conosciuto con il nome di Articolo 29 ha emesso un parere nel giugno 2017 in cui ha escluso che, nella generalità dei casi, la fonte di legittimazione al trattamento dei dati personali nell’ambito del rapporto di lavoro possa essere costituita dal consenso dell’interessato. A causa della disparità di potere tra l’azienda ed il lavoratore, il consenso concesso da quest’ultimo non può in linea di massima essere considerato “libero”. E quindi non è ritenuto valido. Tutti i dati personali dei propri dipendenti in possesso dell’azienda devono pertanto trovare una giustificazione in una base giuridica diversa dal consenso, ovvero in:

  • esecuzione di obblighi derivanti da un contratto di lavoro (ad esempio se il dato è trattato allo scopo di elaborare le buste paga)
  • adempimento di obbligazioni previste dalla legge (ad esempio se il dato è trattato per fare un calcolo o un conguaglio di imposte)
  • interesse legittimo del datore di lavoro (quale può essere la prevenzione di danni o perdite, oppure il miglioramento della produttività aziendale).

Vale la pena di soffermarsi sull’ultimo punto, perché se un titolare intende sostenere che una o più categorie di dati personali dei propri dipendenti sono trattati per un “interesse legittimo“, il parere espresso dal gruppo di lavoro Articolo 29 precisa che la finalità deve essere legittima e che i mezzi o le tecnologie con cui viene effettuato il trattamento devono essere necessari per perseguire quel legittimo interesse che è stato posto come fondamento giuridico. Si dice inoltre che il trattamento:

  • deve essere proporzionato alle esigenze aziendali;
  • deve essere svolto in modo meno intrusivo possibile;
  • deve essere mirato allo specifico ambito di rischio;

In generale, quando è invocato l’interesse legittimo dell’azienda, devono essere presenti “misure specifiche di attenuazione che garantiscano un equilibrio tra l’interesse aziendale e i diritti e le libertà fondamentali dei lavoratori”. Garantendo sempre di non violare la vita privata dei lavoratori.

trasparenza nell’informativa ai dipendenti

Una volta stabilite le basi giuridiche su cui si fonda il trattamento dei dati personali dei propri dipendenti, l’azienda ha il dovere di “informare efficacemente i propri dipendenti su qualsiasi monitoraggio che venga attuato, sulle sue finalità e sulle circostanze nelle quali viene svolto“. Questi principi di massima trasparenza si applicano in tutte le fasi del rapporto con i dipendenti, e dunque anche nelle fasi propedeutiche all’assunzione. I candidati hanno infatti il diritto di essere informati sulle modalità di svolgimento del processo di assunzione, compreso l’esame dei propri profili pubblici sui social network. E quando è chiaro che l’offerta di impiego non verrà fatta o non sarà accettata dalla persona candidata, i dati raccolti devono essere cancellati. Allo stesso modo i dipendenti devono essere informati circa l’esistenza di sistemi di monitoraggio sugli orari, le presenze o gli accessi a specifici locali aziendali o a determinati luoghi di lavoro. Per non dire ovviamente dell’uso di sistemi di monitoraggio delle comunicazioni dei dipendenti, della loro posizione geografica, dell’uso di strumenti elettronici e di ogni altro sistema che potrebbe essere messo in atto anche in modo non del tutto trasparente.

gestione documentale HR e firma elettronica

Con l’introduzione del nuovo regolamento sulla protezione dei dati personali, in base all’ormai noto principio di “accountability”, viene lasciata alla responsabilità del titolare del trattamento, e quindi all’azienda, ogni decisione in merito a quali dati trattare, su quali basi giuridiche effettuare il trattamento e come realizzare il trattamento nel rispetto dei principi definiti nel GDPR e dunque dei diritti dell’interessato. Nella gestione complessiva dei rapporti di lavoro sotto il profilo della privacy, le aziende che hanno introdotto una gestione in tutto o in parte digitale delle informazioni relative ai propri dipendenti possono trovare nella gestione documentale informatizzata un importante supporto per organizzare con chiarezza il trattamento dei dati dei propri dipendenti. Se pensiamo che la maggior parte dei dati grezzi raccolti sono aggregati o strutturati in documenti elettronici, come una scheda in PDF che permette la visualizzazione e la stampa di dati presenti su una tabella nella base dati aziendale, l’introduzione in ambito HR di processi di gestione digitale dei documenti permetterebbe di associare a specifici workflow tutti i trattamenti dei dati personali che l’azienda attua nei confronti dei propri dipendenti. Le operazioni comunemente classificate come trattamento dei dati personali sono queste :

  • raccolta,
  • registrazione,
  • organizzazione,
  • strutturazione,
  • conservazione,
  • adattamento,
  • modifica,
  • estrazione,
  • consultazione,
  • uso,
  • comunicazione,
  • raffronto
  • interconnessione,
  • limitazione,
  • cancellazione,
  • distruzione.
In caso di gestione documentale elettronica tramite workflow, l’azienda potrebbe associare una o più di queste operazioni a ciascun documento prodotto, modificato, inviato o eliminato. Il DMS aziendale costituirebbe l’archivio corrente di tutti i fascicoli dei dipendenti e sarebbe più semplice attuare le idonee politiche di protezione dai rischi di potenziale perdita o divulgazione, così come disporre degli elementi necessari per effettuare una valutazione del danno in caso di attacchi o di eventi accidentali che possono avere causato la perdita o il sospetto di perdita di informazioni. L’uso della firma elettronica, nelle sue varianti a seconda degli effetti giuridici del documento, permetterebbe altresì di disporre dell’evidenza relativa sia all’utilizzo dei dati che l’azienda attua sia allo svolgimento dei corretti adempimenti informativi ed alla concreta messa a disposizione dei diretti interessati delle informazioni necessarie per esercitare i propri diritti individuali.

Conclusioni

L’introduzione del nuovo regolamento europeo sulla protezione dei dati personali rappresenta per tutte le organizzazioni HR un’opportunità per (ri)disegnare i flussi di processo legati alla gestione del personale. La mappatura dei dati personali, comunque necessaria sia per individuare la base giuridica del trattamento che per predisporre il registro dei trattamenti, potrebbe essere svolta in ottica di workflow documentale per costruire un modello dinamico, che a sua volta potrebbe agevolare la valutazione preliminare sulla probabilità e sul rischio per i diritti degli interessati. Un ulteriore passo avanti rispetto all’approccio di base è quello di dotarsi di un sistema di gestione documentale integrato con le principali funzioni HR che possa consentire una gestione digitale di tutti i documenti relativi ai dipendenti, con classificazione di ciascun documento in base alle operazioni di trattamento gestite. L’ulteriore introduzione della firma elettronica permetterebbe infine di considerare opponibili a terzi tutte le notifiche, le comunicazioni, le accettazioni o i rifiuti intervenuti nel corso del tempo nel rapporto tra l’azienda ed i propri dipendenti, garantendo a questi ultimi l’accesso trasparente e completo a tutti i trattamenti dei dati personali che l’azienda ha posto in essere.