Risorse Umane e GDPR: cosa cambia?

gdpr

Il GDPR (General Data Protection Regulation) porta dei cambiamenti anche nel reparto HR, in quanto considera tutti i registri dei dipendenti, dati personali protetti dalla legge.

Attualmente i datori di lavoro sono già obbligati a garantire che i dati personali dei dipendenti siano rispettati e adeguatamente protetti. Il GDPR cambia solo alcune di queste responsabilità, quali:

  • il consenso per elaborare i dati dei dipendenti
  • i diritti sui dati per i dipendenti in quanto soggetti interessati
  • le segnalazioni di violazione

Approfondiamo ciascuna di queste aree.

Il consenso per elaborare i dati dei dipendenti

Quando si vuole fare qualcosa con i dati personali di qualcuno, si deve ottenere il loro consenso. Con il GDPR, il consenso deve essere “dato liberamente, specifico, informato e chiaramente indicato”.La buona notizia per le risorse umane è che questo non si applica necessariamente ai dati dei dipendenti, perché si avrebbe un requisito legale per elaborare quest’ultimi.

Detto questo, è importante tenere presente che i dati dei dipendenti memorizzati o processati per motivi che esulano dagli obblighi legali riferiti all’azienda, richiedono comunque il nuovo, più esplicito, consenso previsto dalla GDPR.

I diritti sui dati per i dipendenti in quanto soggetti interessati

I dipendenti avranno diversi diritti sui loro dati:

  • diritto di informazione: chiarezza sul corretto utilizzo dei dati personali
  • diritto di accesso: il diritto di accesso avrà nuove regole
  • diritto alla rettifica dei dati: in caso di errori il dipendente può richiedere che vengano corretti
  • diritto all’oblio: il dipendente può richiederlo in determinate circostanze, come ad esempio il mancato rispetto della reputazione personale
  • diritto alla portabilità dei dati: i dipendenti possono ora ottenere, in specifiche situazioni, i loro dati personali e riutilizzarli per i propri scopi, attraverso diversi servizi
Le segnalazioni di violazione

In caso di violazione dei dati personali, il GDPR richiede all’utente di informare il Commissario per le informazioni entro 72 ore, se possibile. Se ciò non è possibile, è necessario fornire anche una giustificazione del motivo per cui non è stato possibile.

Una violazione dei dati personali potrebbe essere qualsiasi cosa, da un laptop perso, a un’e-mail inviata all’indirizzo sbagliato.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *