Come abbiamo detto nello scorso articolo, anche il GDPR per HR non si basa su indicazioni puntuali su cosa fare, ma su princìpi guida. Vediamoli:
- Liceità, correttezza, trasparenza: i dati devono essere trattati in maniera lecita, per scopi chiari, opportunamente e preventivamente comunicati all’interessato.
- Limitazione delle finalità: i dati vanno trattati solo per i motivi dichiarati / concordati; tali motivazioni vanno spiegate in maniera chiara, precisa e comprensibile agli interessati.
- Minimizzazione dei dati: devo raccogliere i soli dati strettamente necessari ai trattamenti previsti; non posso acquisire più dati di quanto necessario, per un eventuale utilizzo futuro.
- Limitazione del periodo di conservazione: i dati hanno una loro vita; dopo un certo arco temporale ben definito, devo procedere alla loro cancellazione/restituzione all’interessato.
- Esattezza dei dati: devo preoccuparmi di mantenere aggiornati i dati raccolti, garantendone la correttezza.
- Integrità e riservatezza: devo applicare opportune misure di protezione e controllo, per garantire che i dati restino integri (non alterati) e riservati (accessibili solo agli utenti che devono effettuare elaborazioni lecite degli stessi).
Assolutamente no, in questo il GDPR è molto chiaro: è necessario impostare opportuni accorgimenti organizzativi, oltre a quelli tecnologici. Come buona prassi, gli aspetti organizzativi DEVONO essere impostati prima e guidare le scelte tecnologiche; sovente buone pratiche organizzative sopperiscono a carenze prettamente tecniche.
Per impostare in azienda una corretta gestione del dato personale, è necessario partire dall’identificazione dei trattamenti; porsi le domande: in quali ambiti gestisco il dato personale? Per fare cosa? Chi può accedere a quei dati? Per quanto tempo li conservo? Quali sono i rischi associati a tali dati? Cosa faccio per proteggerli? Come li controllo? La risposta a queste domande andrà riportata nel “Registro dei Trattamenti”, documento chiave (e solitamente prima richiesta del Garante) nel contesto GDPR per HR.
Per il GDPR per HR, trattamento è: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali“. Quindi anche la semplice conservazione o la cancellazione di un dato è un trattamento; tenere dati personali “nel cassetto” è comunque un trattamento e va correttamente descritto e gestito.
Per data-breach si intende: una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Anche una banale cancellazione del dato o una sua temporanea inaccessibilità può quindi risultare in un data-breach, anche con possibile esigenza di pronta notifica al Garante.
Di seguito riportiamo alcuni errori, che sono purtroppo molto diffusi in azienda:
Salvataggio dati in archivi non adeguatamente protetti e controllati: Dati personali dei dipendenti vengono spesso salvati su pc del HR o in archivi accessibili a terzi, senza adeguati sistemi di tracciamento degli accessi, di salvataggio e protezione, e senza le opportune procedure di ripristino in caso di incidente.
Invio di dati personali tramite strumenti non sicuri: Informazioni personali dei dipendenti vengono inviate – a volte anche in forma massiva – tramite email o altri strumenti di condivisioni non sicure, in alcuni casi anche tramite piattaforme extra-UE (in netta violazione con le prescrizioni del GDPR).
Condivisione di informazioni personali con soggetti non autorizzati: Con una certa leggerezza, le informazioni personali possono essere condivise anche con persone – seppur interne all’azienda – che non dovrebbero avere visibilità su tali dati.
Mantenimento di dati personali oltre i tempi stabiliti: I dati personali hanno una loro vita dichiarata; passato un certo arco temporale – definito dall’azienda – dovrebbero essere cancellati, a tutela dell’interessato; sovente questa cancellazione non avviene, nonostante quanto dichiarato nel Registro dei Trattamenti.
Per supportare le aziende nel trattamento dei dati personali dei dipendenti, LegalEYE srl ha realizzato Pillow particolarmente utile per gestire il GDPR per HR. Pillow (www.pilloonline.it) è una piattaforma cloud – ospitata in Italia, nel rispetto del GDPR – che funge da “cassaforte digitale” per i dati più delicati dell’azienda, in primis i dati personali dei dipendenti.
Tutti gli aspetti di documentazione e sicurezza sono gestiti da LegalEYE stessa, inclusi backup e ripristini, tramite SLA (Livelli di Servizio) concordati con l’azienda e opportunamente documentati. All’utente resta solo da caricare i dati tramite il proprio browser, e fruirli quando ne ha bisogno.
Lo strumento consente inoltre di condividere in maniera sicura i dati con i soggetti autorizzati, anche previa firma digitale di opportuni NDA/accordi di accesso alle informazioni. Inoltre, tutte le operazioni sui dati vengono ad essere registrate e archiviate in maniera non modificabile, così da poter essere utilizzate in caso di incidente per le opportune tutele legali dell’azienda.
Salvataggio dati riservati: I dati mantenuti in PIllow sono facilmente accessibili ai soli utenti autorizzati, con le opportune misure di tracciamento e protezione degli accessi. Procedure di backup giornaliere sono applicate e monitorate, al fine di garantire il ripristino dei dati in tempi certi in caso di incidente.
Condivisione di informazioni entro e all’esterno dell’azienda: Con Pillow è possibile condividere in maniera sicura le informazioni entro l’azienda e con il mondo esterno, anche con opportune accettazioni di accordi digitali e verifiche dell’identità del soggetto che accede all’informazione, oltre al tracciamento non modificabile delle azioni effettuate sui dati a fini forensi.
Cancellazione sicura dei dati: A fine vita del dato, Pillow ne consente la cancellazione sicura e certificata, anche con procedure automatizzate e opportunamente tracciate.
Eredità dei dati: Nel malaugurato caso di abbandono dell’azienda da parte del referente operante su Pillow, i dati possono essere ereditati da altro soggetto indicato, al fine di garantire la continuità delle attività aziendali.
Prova Pillow Professional
- Fino a 3 utenti
- 10GB Disponibili
Prezzo di listino € 399,00 + iva canone annuale – scontato per gli utenti HR&O a € 330,00 + iva!
Compila il form e contatta il rivenditore.
Piero Vigutto
La tua opinione è importante, lascia un commento qui sotto o una valutazione a questo articolo oppure contattami alla mia mail. Grazie