Come deve porsi l’HR di fronte a situazioni di data breach e comportamenti che fanno capire che il dipendente è “infedele”? L’articolazione normativa e le possibilità che tali situazioni si verifichino richiedono all’HR un approccio che tuteli l’azienda, i dipendenti ed il proprio team di lavoro.
Iniziamo dicendo che, come è già ben noto nelle aziende, il Regolamento Generale sulla Protezione dei Dati (GDPR) prevede sanzioni severe per le violazioni delle norme sulla protezione dei dati: si va dall’avvertimento da parte dell’Autorità a, in caso di violazioni, divieti temporanei o definitivi di trattamento dei dati e sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo mondiale dell’azienda.
La determinazione degli importi comminati a titolo di sanzione deve tenere conto di elementi quali l’effettività, la proporzionalità ed il fine dissuasivo ma deve considerare fattori come la natura, la gravità e la durata della violazione, nonché il grado di cooperazione dell’organizzazione. In tali scenari, la direzione HR assume un ruolo di fondamentale responsabilità.
I casi di data breach non impattano solo su questioni tecnologiche, ma possono rappresentare veri e propri test di fiducia e credibilità per le organizzazioni aziendali. Una violazione dei dati mette in discussione non solo la conformità di una società alla normativa vigente ma anche la trasparenza ed il dovere di responsabilità verso i propri clienti oltreché la sua credibilità reputazionale.
Secondo l’avvocato Vittorio De Luca, Managing Partner di De Luca & Partners: “La gestione dei dati personali è oggi un banco di prova cruciale per le organizzazioni. Un Data Breach espone le aziende non solo al rischio di incorrere nelle pesanti sanzioni previste dalla normativa ma compromette la fiducia costruita nel tempo con clienti e partner andando a minare la reputazione e la credibilità dell’azienda. La prevenzione passa anche attraverso una governance solida e dei processi trasparenti e conformi. Un approccio efficace permette di proteggere il patrimonio economico e reputazionale dell’azienda. E quest’ultimo aspetto, spesso, è molto sottovalutato”.
In questo contesto, la direzione HR opera in un delicato equilibrio. Da un lato, infatti, è chiamata a garantire la protezione dei dati dei dipendenti e dei lavoratori e, dall’altro, deve assicurare che l’organizzazione, nella complessità dinamica di ruoli e responsabilità che esplica, sia articolata e strutturata nel modo più adeguato possibile per operare in conformità con le normative vigenti.
Non si tratta quindi di coordinare la raccolta delle firme dei vari delegati interni ed esterni alla gestione dei dati nel rispetto del GDPR, bensì di equilibrare il complesso sistema di deleghe effettive in riferimento ai differenti ruoli facendo attenzione che non ci siano doppiature o aree scoperte ed attivando un’attenzione meticolosa e una gestione proattiva.
La direzione HR ha il dovere fondamentale di proteggere i dati personali dei dipendenti. Questo compito non si limita alla mera conservazione dei dati presso l’azienda, ma implica una gestione consapevolmente attenta e conforme alle normative, anche quando i dati sono archiviati e processati tramite servizi di terze parti: l’HR Director deve assicurarsi che questi servizi operino in conformità con i requisiti richiesti dalla normativa. Questo significa implementare rigorose misure di sicurezza per la gestione, l’archiviazione e la conservazione dei dati, garantendo al contempo la conformità con i requisiti per i trasferimenti internazionali dei dati.
All’interno dell’organizzazione, la direzione HR orchestra il bilanciamento dei ruoli di responsabilità e la delega. L’organizzazione aziendale è quel sistema strutturato, ma anche sempre in evoluzione, di risorse, processi e persone che collaborano per raggiungere obiettivi comuni. In questo l’HR e i business leader partecipano alla definizione di ruoli, responsabilità e relazioni gerarchiche all’interno dell’azienda, al fine di ottimizzare l’efficienza e l’efficacia operativa.
Tra i punti di attenzione sta anche la definizione di quei ruoli che hanno la responsabilità sui dati a cui accedono, dati che possono essere sia interni di dipendenti e collaboratori, che esterni, ad esempio clienti e fornitori, ricordando che l’azienda risponde delle violazioni dei dati anche nel caso di fasi di processo svolte da consulenti esterni.
Un altro aspetto cruciale della responsabilità della direzione HR in relazione al tema è la formazione e la sensibilizzazione dei dipendenti sui principi di protezione dei dati. Questo non solo aiuta a prevenire violazioni dei dati ma anche a garantire che tutti i membri dell’organizzazione siano consapevoli delle loro responsabilità e dei loro diritti in materia di protezione dei dati. La formazione continua e la sensibilizzazione sono strumenti essenziali per mantenere un ambiente di lavoro sicuro e conforme alle normative.
Continua a leggere la versione integrale pubblicata su HR Link
L’Autorità Garante della protezione dei dati, con la newsletter 472 del 25 gennaio 2021 ha comunicato che il precedente 14 gennaio, l’EDPB (l’“European Data Protection Board”) ha adottato delle nuove Linee Guida (“Guidelines 01/2021 on Examples regarding Data Breach Notification”, le “Linee Guida”) volte a supportare imprese e pubblica amministrazione nell’affrontare correttamente le violazioni dei dati e nel definire i processi di gestione del rischio.
Il documento si aggiunge alle precedenti linee guida del Gruppo di Lavoro 29 (“Guidelines on Personal data breach notification under Regulation 2016/679”) che, invece, comprendono una analisi tecnico-teorica di quanto prescritto dal Regolamento (UE) 2016/697 (il “Regolamento”) in tema di violazioni dei dati personali (o “Data Breach”).
Alla luce dei principi di sicurezza delle informazioni, richiamando l’”Opinion 3/2014” e le “Guidelines WP 250”, L’EDPB fornisce una classificazione della tipologia di violazioni attuabili, ossia:
Le Linee Guida, avendo l’obiettivo di fornire indicazioni utili ai Titolari e ai Responsabili del trattamento per gestire correttamente una violazione di dati personali, illustrano i comportamenti da evitare (ad es. l’omessa cifratura dei dati) e contengono numerose casistiche pratiche che hanno visto coinvolti, in diversi paesi europei, ospedali, banche, imprese e società di servizi online di vario genere.
Tali casistiche descrivono le misure preventive adottabili e suggeriscono le modalità di svolgimento del risk assessment in riferimento alla violazione subita, le potenziali misure adottabili per ridurre i rischi e gli obblighi ex lege che devono essere rispettati.
L’EDPB ha avviato una consultazione pubblica europea sul documento che terminerà il 2 marzo 2021.
Altri insights correlati:
Con Provvedimento 157 del 30 luglio 2019, che sostituisce integralmente tutti i precedenti provvedimenti in materia, il Garante per la protezione dei dati personali ha fornito il modello per la segnalazione degli incidenti informatici.
Data Breach
Ai sensi dell’art. 33, par. 1, del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”), il titolare del trattamento, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, è tenuto a notificare la violazione all’Autorità di controllo a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Inoltre, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.
Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di controllo di effettuare eventuali verifiche sul rispetto della normativa.
Contenuto della notifica al Garante
Ai sensi dell’art. 33, par. 3, del GDPR, la notifica al Garante deve contenere le seguenti informazioni:
Le summenzionate informazioni sono indicate nel modello allegato al Provvedimento del 30 luglio 2019 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501&zx=3v0y3s4rzznn)
La notifica va effettuata via PEC all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente ad una copia del documento di identità del firmatario. L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.
In caso di violazione delle procedure di notifica si applica una sanzione pecuniaria che può arrivare fino a 10 milioni di euro oppure, nel caso di imprese, fino al 2% del fatturato annuo totale mondiale.
