LA GUIDA PRATICA

DPO in pratica: la gestione delle risorse umane

La gestione delle risorse umane è un’area strategica dell’organizzazione, ma per ogni DPO rappresenta un aspetto particolarmente sensibile di cui tenere conto sia per la tutela dei dati personali dei lavoratori che, più in generale, per l’impatto che una corretta gestione del fattore umano ha nei confronti della compliance GDPR

03 Ago 2022
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Il DPO (o RPD, responsabile della protezione dei dati) nell’eseguire i propri compiti è tenuto a considerare debitamente i rischi del trattamento[1], pertanto diventa particolarmente importante essere in grado di individuare quali aree dell’organizzazione devono essere oggetto di maggiore attenzione al fine di prioritizzare gli interventi e gli approfondimenti da svolgere.

Un ambito comune a tutte le organizzazioni appartenenti tanto al settore pubblico quanto al settore privato che ogni DPO si trova a dover analizzare e sorvegliare riguarda la gestione delle risorse umane, a prescindere dalla forma contrattuale del rapporto instaurato con i lavoratori.

Organigramma e funzionigramma privacy: come gestire la “responsabilità generale” dei trattamenti dati

La gestione risorse umane come area sensibile dell’organizzazione

Avendo considerazione delle attività di trattamento svolte, infatti, i database e i flussi dati che riguardano i lavoratori sono tipicamente caratterizzati da una particolare sensibilità delle informazioni e dalla vulnerabilità degli interessati coinvolti in ragione dello squilibrio di potere nei confronti del titolare del trattamento sia nel caso in cui questi abbia il ruolo di datore di lavoro che di committente.

WEBINAR
20 Settembre 2022 - 12:00
Principali minacce digitali: quali sono e come proteggerci per il nuovo anno 2023
Sicurezza
Storage

Gli operatori autorizzati all’accesso ai dati personali e ai sistemi compongono l’elemento del fattore umano rilevante sia per la gestione degli adempimenti degli obblighi in materia di protezione dei dati personali sia per l’aspetto di sicurezza delle informazioni.

Poste così queste premesse di ordine generale e accertato che in ogni caso le risorse umane sono valutabili come un’area sensibile delle organizzazioni, è opportuno che il DPO abbia innanzitutto cognizione degli ambiti di trattamento svolti per individuare conseguentemente i soggetti coinvolti.

È possibile differenziare le categorie di attività secondo questo criterio a seconda che siano svolte:

  1. esclusivamente all’interno dell’organizzazione (ad esempio: la valutazione della performance);
  2. in regime di contitolarità (ad esempio: nei gruppi societari o nelle reti d’impresa);
  3. facendo ricorso dei responsabili del trattamento (ad esempio: un centro di elaborazione paghe);
  4. con il coinvolgimento di terze parti (ad esempio: il medico del lavoro).

In tale modo già attraverso lo svolgimento di un’attività di verifica meramente documentale si può riscontrare la capacità dell’organizzazione di rendicontare gli adempimenti normativi.

Da un controllo dei registri delle attività di trattamento e delle informative occorre che emerga la presenza dei soggetti individuati per la ricerca delle ulteriori evidenze a sostegno della compliance GDPR quali la presenza, se del caso, degli accordi di contitolarità[2] e una contrattualizzazione dei rapporti con i responsabili del trattamento in conformità con le previsioni dell’art. 28 GDPR.

Una particolare attenzione deve essere necessariamente posta sull’individuazione della corretta base giuridica delle attività che prevedono comunicazioni dei dati dei lavoratori e all’eventualità che siano svolti trasferimenti verso paesi terzi come nelle ipotesi di impiego di alcuni servizi cloud anche da parte dei responsabili del trattamento.

Per quanto riguarda le attività di sorveglianza che possono essere oggetto di programmazione, nell’ipotesi in cui siano stati individuati dei responsabili del trattamento è necessario che il DPO sappia indicare all’organizzazione l’opportunità di svolgere degli audit[3], la loro cadenza, ampiezza e profondità.

Una volta circoscritto così il perimetro dell’area della gestione risorse umane, gli approfondimenti da svolgere devono riguardare prima di tutto l’asseto organizzativo di cui si è dotato il titolare del trattamento al fine di valutare l’efficacia delle misure predisposte per la conformità normativa e la sicurezza dei trattamenti.

Il DPO nei processi che coinvolgono i lavoratori

I processi che è possibile individuare in via generale devono essere riferiti al ciclo di vita dei dati dei lavoratori, caratterizzato dalle seguenti fasi:

  1. selezione del personale;
  2. gestione del rapporto di lavoro;
  3. cessazione del rapporto di lavoro;
  4. conservazione e archiviazione;

da cui è possibile specificarne di ulteriori, a seconda della complessità o dell’esigenza di raggruppare trattamenti analoghi. Il DPO deve informare il titolare o il responsabile circa gli obblighi relativi a ciascuno dei processi individuati avendo cura di precisare anche le intersezioni con la normativa giuslavoristica soprattutto per quanto riguarda limiti e divieti.

Alcuni esempi possono essere la predisposizione di sistemi per il controllo dei lavoratori o il monitoraggio della strumentazione lavorativa[4], o altrimenti le modalità di svolgimento del colloquio di lavoro e le informazioni che è possibile acquisire[5].

Per quanto riguarda l’inserimento di nuovi strumenti o metodi che coinvolgono il trattamento di dati personali dei lavoratori, è opportuno badare già nella pianificazione non soltanto al principio di privacy by design e privacy by default ma anche a considerare se ricorrano i presupposti per cui sussiste o meno un obbligo circa lo svolgimento di una valutazione di impatto privacy e per cui il DPO deve essere in grado di esprimere un parere a riguardo.

Inoltre, al fine di poter adempiere correttamente il compito di informare e fornire consulenza ai dipendenti che eseguono il trattamento[6], il DPO deve inserirsi all’interno dei flussi informativi ed agire in coordinamento strategico ed operativo anche in collaborazione con il referente privacy e il referente per le risorse umane ove siano stati designati ai sensi dell’art. 2-quaterdecies Cod. Privacy.

L’azione di controllo del DPO all’interno di un’area così sensibile per l’organizzazione deve infatti necessariamente essere in sinergia con l’assetto organizzativo, altrimenti il rischio è che ne venga compromessa l’efficacia o – ancor peggio – che si creino situazioni in grado di generare un conflitto d’interessi.

All’interno di tale ambito può avvenire ad esempio un controllo delle politiche adottate in materia di protezione dei dati personali in ragione della prossimità delle loro declinazioni attuative.

Ad esempio, attraverso la verifica delle modalità mediante le quali i lavoratori sono informati è possibile verificare il principio di trasparenza, così come il modo in cui gli operatori che accedono ai dati sono autorizzati, istruiti e formati consente di verificare il principio di integrità e riservatezza.

La verifica delle misure organizzative

Grazie all’accesso all’area della gestione delle risorse umane è possibile per il DPO pianificare un’azione di controllo delle procedure interne e delle istruzioni operative adottate per garantire ed essere in grado di dimostrare gli adempimenti alla normativa in materia di protezione dei dati personali e segnalare l’eventuale esigenza di sottoporle a riesame.

È bene ricordare che l’inserimento del DPO all’interno delle matrici RACI per l’attribuzione di ruoli e responsabilità all’interno delle procedure (quali ad esempio: la procedura di data breach, il riscontro alle richieste degli interessati o lo scarto documentale) non è previsto da alcun obbligo ma buona prassi vuole che lo stesso figuri all’interno delle stesse, nonché nelle istruzioni operative e nella modulistica dedicata.

La ragione è reperibile nell’esigenza di avere traccia del coinvolgimento effettivo del DPO nelle questioni riguardanti la protezione dei dati personali, ed un esempio a riguardo può consistere nella previsione all’interno del registro di data breach di una sezione per la raccolta del parere del DPO.

In ogni caso, il contatto del DPO deve essere diffuso e reso disponibile a tutti gli operatori dal momento che sono soggetti interessati al trattamento, ma anche in considerazione della citata esigenza di dare definizione ai flussi informativi.

Un ulteriore passaggio rilevante nel controllo del rispetto dei principi del GDPR consiste necessariamente nella verifica delle misure di sicurezza applicate e della loro adeguatezza sia in relazione ai database dei lavoratori sia per quanto riguarda l’aspetto della gestione del rischio connesso al fattore umano che riguarda anche tutte le altre attività di trattamento svolte.

Sensibilizzare alla cyber security: l’approccio richiesto dal GDPR

Il controllo del fattore umano

Mentre il controllo della sicurezza dei trattamenti dei dati personali dei lavoratori non ha elementi di differenziazione o specificazione per quanto riguarda le previsioni dell’art. 32 GDPR, l’aspetto relativo al fattore umano merita invece alcuni approfondimenti e cautele anche perché è in grado di impattare sulla sicurezza di tutta l’organizzazione.

È fondamentale che il DPO vada a valutare le modalità di autorizzazione e accesso ai dati soprattutto in considerazione dei cambi di mansione, delle diverse modalità di svolgimento del lavoro (smart working o telelavoro) e della sospensione o cessazione del rapporto di lavoro.

Ovviamente, pur agendo principalmente all’interno della gestione delle risorse umane, il controllo di autorizzazioni, utenze e privilegi non può essere svolto senza coinvolgere anche l’ambito IT dell’organizzazione.

Le politiche di formazione e sensibilizzazione in ambito di sicurezza, alla pari delle misure tecniche, non possono essere verificate solamente per via documentale ma occorre che il DPO svolga degli approfondimenti specifici al fine di verificarne l’efficace attuazione. E a rigor di logica tali approfondimenti devono riguardare un’interazione con tutto il personale.

Diventa così di particolare importanza che gli operatori possano fare riferimento al DPO in modo riservato e senza il timore di ricevere conseguenze negative come conseguenza per eventuali richieste o segnalazioni.

Di conseguenza, è rilevante il metodo di acquisizione di informazioni e di reporting ai vertici dell’organizzazione.

Nella raccolta delle informazioni attraverso audit, interviste o ogni altra modalità è necessario che il DPO sappia fare propri gli spunti forniti dalla ISO 19011:2018, soprattutto per quanto riguarda le fasi di preparazione e conduzione dell’audit.

L’enfasi deve essere posta sulle criticità di sistema e sulle conseguenti possibilità di risoluzione o miglioramento individuate, in modo tale che gli interlocutori non possano avere resistenze nel rendere informazioni al DPO.

Per questo motivo è fondamentale che nella fase di report, in cui ovviamente devono essere indicate le evidenze riscontrate, è bene comunque avere tutela degli operatori che hanno inteso segnalare situazioni di non conformità, rischio o pericolo.

 

NOTE

  1. Come da art. 39 par. 2 GDPR.

  2. Previsti dall’art. 26 GDPR.

  3. Previsti dall’art. 28 par. 3 lett. h) GDPR.

  4. Rispettivamente, ai sensi dell’art. 4 parr. 1 e 2 L. 300/1970 (Statuto dei Lavoratori).

  5. “È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 L. 300/1970).

  6. Previsto dall’art. 39 par. 1 lett. a) GDPR.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5