Fin dall’introduzione della prima Legge n. 675/1996 sulla protezione dei dati personali, nella maggior parte delle aziende la più grande mole di informazioni da tutelare riguardava la gestione del personale. All’epoca, individuarne il perimetro e adottare le misure di sicurezza richieste era un compito di relativa difficoltà, perché i dati si presentavano perlopiù in forma cartacea, spesso riposti in archivi fisici.
(Nella foto: Nicola Bernardi, presidente di Federprivacy, curatore del libro “Privacy e gestione del personale” e coordinatore scientifico insieme al Prof. Andrea Sitzia del Corso di alta formazione “Privacy e gestione del personale” organizzato da Federprivacy e l’Università degli Studi di Padova)
Nella società digitalizzata di oggi, invece, molti dati vengono trattati in modalità telematica, più velocemente rispetto al passato, ma non senza criticità. Inoltre, la disciplina attuale ha addossato molte responsabilità ai titolari del trattamento con il principio di “accountability”, e il GDPR prevede pesanti sanzioni che possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato dei trasgressori.
Oltre a ciò, gli scenari della privacy nella gestione dei dati del personale si sono ulteriormente complicati con lo scoppio della pandemia da Covid-19, e negli ultimi tempi molte aziende pubbliche e private hanno dovuto affrontare molte questioni riguardanti il trattamento di informazioni riguardanti la salute dei dipendenti come mai era accaduto in passato.
Per tali motivi, chi gestisce i dati del personale deve resistere alla tentazione di ricorrere a una gestione approssimativa o meramente burocratica dei temi della protezione dei dati, e purtroppo si osserva che molte imprese hanno abbassato la guardia su questi delicati temi: lo dimostra il fatto che negli ultimi tempi numerosi provvedimenti prescrittivi e sanzionatori delle autorità di controllo hanno riguardato proprio data breach e violazioni della privacy dei dipendenti commesse dai loro stessi datori di lavoro, e da inizio dell’anno solo in Italia l’ammontare delle sanzioni per infrazioni riguardanti la protezione dei dati personali dei dipendenti ha superato i 5 milioni di euro.
Giusto per fare un esempio su questo preoccupante fenomeno, basti pensare all’emblematico caso di Ikea, che di recente è stata condannata in Francia a pagare una multa da un milione di euro per il fatto di aver spiato per anni i suoi dipendenti e anche alcuni sindacalisti.
Responsabili delle Risorse Umane, Consulenti del Lavoro, addetti all’amministrazione del personale, e naturalmente i Data Protection Officer come ogni altro professionista che si occupa di tutelare la privacy dei lavoratori hanno perciò una seria responsabilità che non può essere presa sotto gamba, perché il loro operato incide direttamente sul rispetto dei diritti fondamentali dell’individuo.
Anche se farsi carico di assolvere queste responsabilità può comportare uno sforzo non indifferente, occorre tuttavia ricordare che si tratta di una medaglia con due diverse facce contrapposte: da una parte, professionisti e consulenti sono chiamati ad approfondire meticolosamente tutte le prescrizioni della normativa per essere in grado di rispettarle, e se già faranno questo in modo diligente potranno risparmiare molti grattacapi e potenziali sanzioni alle imprese che seguono; ma d’altra parte le conoscenze che essi acquisiscono li rendono più qualificati e più richiesti nel mercato, che richiede sempre più professionisti e figure, come il Data Protection Officer, che possiedano competenze sulla protezione dei dati personali e che siano in grado di assicurare un elevato livello di conformità al GDPR e alla normativa correlata, perché le imprese hanno sempre più bisogno di veri esperti della materia e non di azzeccagarbugli della privacy.
di Nicola Bernardi, presidente di Federprivacy (Nòva Il Sole 24 Ore)