Aziende

Ufficio HR a prova del GDPR: come tutelare la privacy dei dipendenti attuali e futuri

Gli aspetti da conoscere per la gestione dei dati di dipendenti e candidati
17 Giugno 2022

Tra le varie attività e temi di cui un ufficio HR deve occuparsi, rientrano la gestione dei dati di dipendenti e candidati. Porre attenzione e attribuire importanza alle informazioni delle persone a vario titolo coinvolte nel rapporto con l’azienda, oltre che una questione necessaria, risulta un elemento di vantaggio per l’impresa, che si attesta come seria e interessata alla tutela di dipendenti e candidati.

Negli ultimi anni con l’entrata in vigore del GDPR anche le attività di recruiting hanno dovuto riservare molta attenzione al tema del trattamento dei dati dei dipendenti, attorno al quale si è generato un forte dibattito

Vediamo gli aspetti da conoscere, a partire da alcune distinzioni preliminari.

 

Cosa sono i dati personali?

Quando parliamo di dati personali ci riferiamo alle informazioni che permettono di individuare una persona fisica in maniera diretta o indiretta. Alcune, come il nome, il cognome, il numero di telefono e l’indirizzo, servono ad esempio a rimandare direttamente a qualcuno, mentre il codice fiscale o altri numeri identificativi sono informazioni che consentono di individuare una persona indirettamente.  

Il trattamento di questa tipologia di dati viene disciplinato dal cosiddetto GDPR, ovvero il regolamento in materia di privacy entrato in vigore da maggio 2018 in tutti i Paesi membri dell’Unione Europea.

Esistono poi dei dati personali che hanno un profilo di riservatezza molto alto, si tratta dei dati sensibili, che il GDPR definisce dati particolari. Questi dati rivelano ad esempio l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale della persona.

 

Di quali dati si occupa l’ufficio HR

Alcuni dati interessano maggiormente e direttamente il rapporto di lavoro: l’azienda, infatti, per gestire il dipendente e dare esecuzione al contratto di lavoro deve necessariamente trattare alcuni dati personali del lavoratore, come ad esempio nome, cognome, codice fiscale, data di nascita, indirizzo di residenza, dati relativi al percorso professionale e formativo, dati retributivi, dati relativi alle performance lavorative, Iban.

Il trattamento di queste informazioni è lecito se rientra nell’esecuzione di un contratto di cui fa parte l’interessato. Nel caso dell’azienda e di un neoassunto, per esempio, questi dati sono necessari per eseguire il rapporto contrattuale e quindi il datore di lavoro può trattare lecitamente tali dati.

Oltre a queste informazioni ci sono poi i dati sensibili, o particolari, dei dipendenti che possono interessare il rapporto di lavoro, relativi allo stato di salute, all’eventuale condizione di disabilità, all’affiliazione sindacale del dipendente, ma anche i dati giudiziari.

Per tutte queste informazioni, il nostro ordinamento vieta il trattamento, a meno che non vi sia il consenso dell’interessato oppure un’altra base giuridica. Ci sono infatti una serie di ambiti , come il diritto del lavoro e la sicurezza sociale, in cui è possibile includerli, fermo restando che la gestione deve avvenire con misure appropriate tese a garantire i diritti fondamentali dei dipendenti e quindi ponendo un’attenzione ulteriore.

In questo senso il Garante Privacy ha previsto, ad esempio, che quando viene redatta la busta paga del dipendente non si debba riportare in modo esplicito a quale sigla sindacale appartiene e alla quale devolve la trattenuta sindacale mensile ma occorre utilizzare dei codici che rendano anonimo il dato sensibile.

 

GDPR e recruiting: il trattamento dei dati dei dipendenti nel processo di selezione

Quella della contrattualistica è, però, solamente una parte della complessa mole di regole che il GDPR ha posto in essere in ambito aziendale. Un altro importante momento in cui vanno considerate le modalità di gestione dei dati è sicuramente quello in cui si conducono attività di recruiting. In questo caso infatti si maneggiano dati che non appartengono ad un membro dell’organizzazione, per questo vi sono diverse cautele aggiuntive da applicare.
Scopriamo quali.

  1. Consenso esplicito ed inequivocabile

    Quando conduciamo un processo di selezione, dobbiamo avere cura di raccogliere solo dati per i quali il titolare ci fornisca il consenso al trattamento degli stessi. Le casistiche sono molteplici: se si parte da un’autocandidatura il consenso può essere ritenuto implicito ed inequivocabile con la ricezione della candidatura stessa, se invece stiamo maneggiando dati ottenuti tramite social network od altri sistemi di raccolta delle candidature, dobbiamo sempre tenere presente che è necessaria la raccolta del consenso. Quest’ultimo va richiesto dietro presentazione della privacy policy aziendale, che rappresenta uno strumento fondamentale per far comprendere al candidato come i suoi dati verranno trattati. La privacy policy è essenziale anche per l’organizzazione e deve contemplare diverse casistiche. Se infatti è nostra intenzione contattare un candidato con ulteriori offerte di lavoro o altre tipologie di messaggi, tali finalità devono essere incluse nella privacy policy ed accettate espressamente. La privacy policy deve essere pubblicata sul sito internet dell’organizzazione e deve essere sempre facilmente accessibile per la consultazione.
     

  2. Niente dati a tempo indeterminato

    Con il GDPR viene esplicitato che la raccolta dei dati personali dei candidati ad un processo di selezione deve avere una durata limitata nel tempo. Non è esplicitato un tempo massimo di conservazione del dato, ma, in caso di controllo per segnalazioni o ricorsi, bisogna sempre essere in grado di motivare il perché i dati di un candidato siano ancora presenti nel proprio database. Gli inconvenienti, derivanti da una conservazione più lunga del dovuto di dati appartenenti ad uno o a più partecipanti di un processo di selezione, possono essere prevenuti dando informativa completa del trattamento che viene effettuato e del tempo per cui i dati verranno conservati.
     

  3. Archivia con ordine, dimentica in fretta

    Uno dei temi più delicati del GDPR è quello relativo al diritto di oblio, ovvero la possibilità per il proprietario di dati soggetti a trattamento, di richiedere la cancellazione degli stessi in modo definitivo. Per questo motivo, già a partire dal processo di selezione, è necessario avere una gestione dei dati ordinata e il più possibile standardizzata. Tanto più ci sarà possibile ricondurre un dato alla sua esatta collocazione nel nostro database, meno errori rischieremo in fase di cancellazione dei dati.

 

Il valore di tutelare i dati

Un’organizzazione che tutela i dati di chiunque vi entri in contatto, è un’organizzazione che acquisisce valore agli occhi dei propri stakeholder. Questo succede sicuramente perché gestire i dati in maniera corretta ed organizzata contribuisce alla buona reputazione aziendale, con risvolti positivi anche su processi differenti da quelli che riguardano direttamente dati personali e sensibili.
In secondo luogo, un’attenzione costante relativamente ai processi di gestione e trattamento dei dati, permette di migliorare i piani di attrazione dei candidati, utilizzando le leve tradizionalmente adottate dal marketing per la propria comunicazione employer branding. Una buona prassi è attribuire differenti proprietà  riguardo le preferenze di privacy ai candidati in database e relazionarsi ad essi con approcci coerenti a quanto hanno segnalato, allo stesso tempo evitare di avere una mole di informazioni personali che non si possono conservare, né tantomeno utilizzare.

 


 

Vuoi rimanere aggiornato sui contenuti dedicati al mondo delle imprese?

Compila il form e
iscriviti alla newsletter!