Il GDPR e le ricadute sulla funzione HR

Sono trascorsi circa 4 anni dall’entrata in vigore del GDPR del 25/05/2018 (vedi Regolamento UE 2016/679) eppure il tema della privacy in ambito HR rimane attuale sia per ciò che attiene la gestione dei processi che per la sicurezza dei dati con cui si entra in contatto.

La qualità con cui un’azienda si occupa del trattamento del dato non riguarda esclusivamente la cerchia dei propri dipendenti ma comprende, inevitabilmente, tutti quegli interlocutori esterni con i quali in misura diversa effettua un passaggio di informazioni.

In questo contributo prenderemo in considerazione:

  • Gli adeguamenti previsti in materia di privacy e gestione del dato come da normativa.
  • Le ricadute sui processi HR, e nello specifico quelle relative al recruiting.

Per concludere, una riflessione sull’aiuto che può giungerci dai software, come gli ATS, per facilitare il processo e blindarlo in termini di sicurezza nel rispetto del GDPR.

Scopriamo insieme, pertanto, il GDPR e le ricadute sulla funzione HR.

Ti aspettiamo nei commenti per continuare il confronto e condividere esperienze professionali sul tema.

Gli aspetti più rilevanti del GDPR in ambito HR

L’acronimo GDPR sta per General data protection regulation (Regolamento generale per la protezione dei dati personali) e la normativa di riferimento è contenuta nel Regolamento UE 2016/679, entrata ufficialmente in vigore nel maggio 2018.

Perché si parla spesso di “corsa all’adeguamento”?

Si usa questa espressione dal momento che qualunque persona (sia essa persona fisica o giuridica) che svolga, in proprio o per conto di altri, un trattamento dei dati personali, è tenuta ad essere in regola.

Per comprendere meglio le immediate ricadute sui processi che riguardano l’ufficio HR è utile soffermarsi su alcuni termini presenti all’interno della normativa di riferimento.

Le parole chiave del GDPR

DATI PERSONALI: si tratta di informazioni che identificano o rendono identificabile una persona fisica, sia direttamente (ad es. dati anagrafici), che indirettamente (ad es. codice fiscale o numero di targa).

Alcuni dati personali rientrano poi in particolari categorie che richiedono una maggiore cura nell’attività di trattamento, come per esempio i dati sensibili (opinioni politiche o religiose, origine razziale o etnica, salute).

TRATTAMENTO DEI DATI PERSONALI: si intende qualsiasi operazione applicata ai dati personali come ad es. raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, diffusione, cancellazione etc, compiuta con o senza l’ausilio di strumenti informatici o processi automatizzati.

Tali attività devono essere effettuate in modo lecito, trasparente, corretto, garantendo l’esattezza dei dati, per finalità determinate e per un arco di tempo non superiore al conseguimento delle predette finalità, garantendo un’adeguata sicurezza dei dati.

Ecco che alcuni strumenti, come le e-mail e i fogli Excel, sono chiaramente insufficienti ed inadeguati per la gestione della privacy e dei dipendenti e dei candidati.

Se pensiamo al recruiting il tutto si complica vistosamente.

Gestire un processo con moli discrete o importanti di cv, senza avvalersi di un ATS ovvero di un software specifico per il tracciamento e l’archiviazione corretta dei dati, aumenta di molto il rischio di non essere conformi alle normative.

Data breach

Il pericolo più temuto in materia di privacy è il cosiddetto DATA BREACH.

Con quest’ultimo termine si fa riferimento alla violazione dei dati personali, che si traducono in violazione della sicurezza e possono comportare la distruzione dei dati, l’alterazione, la diffusione, l’utilizzo da parte di soggetti non autorizzati o per finalità non autorizzate.

Ricapitolando gli aspetti su cui porre attenzione sono:

  • La raccolta del consenso informativa;
  • La politica di gestione di data retention (che non è a tempo indeterminato, quindi da monitorare ed aggiornare con ogni singolo interlocutore);
  • La sicurezza stessa dei dati personali;
  • Il pericolo di data breach;
  • I diritti di chi ci affida i suoi dati (rettifica, modifica), come parte attiva ed interlocutore del processo.

Come si traduce tutto questo nell’operatività dell’ufficio risorse umane?

In processi strutturati, strumenti funzionali ed una formazione adeguata rivolta al personale incaricato sulle procedure da adottare nel loro lavoro in materia di trattamento di dati personali.

Questo a riprova che il tema della privacy in ambito HR è estremamente attuale.

I punti critici del GDPR per il recruiting

Abbiamo rivisto poco sopra nel riepilogo i punti salienti della normativa intuendone le ricadute in ambito HR.

Adesso prendiamo in considerazione l’ambito applicativo specifico del recruiting.

Come gestire la ricezione di un cv?

Esattamente come qualsiasi altro dato sensibile che fa ingresso in azienda, va trattato con attenzione e nel rispetto delle linee guida.

Secondo il modello indicato dal GDPR un recruiter dovrebbe escludere, ad esempio, quel cv che non esplicita, con il richiamo normativo, l’autorizzazione al trattamento dei propri dati ai fini del processo di selezione.

Nell’esperienza professionale quotidiano accade spesso di trovare cv con riferimenti normativi non aggiornati, errati o assenti ma quello che fa la differenza è il canale di ricezione.

Alcuni esempi pratici

Se, infatti, i curricula giungono via e-mail o, a mano come potrebbe accadere tra dipendenti interni e conoscenti esterni all’organizzazione, l’unico modo per prenderli in considerazione sarebbe legato proprio alla presenza della dicitura di consenso inserita sul documento scritta di loro iniziativa.

Rimarrebbe, comunque in sospeso, il problema della presa visione da parte del candidato dell’informativa aziendale per il trattamento dei dati.

Questa procedura riguarda non solo i candidati gestiti, “caldi” perché parte di un processo di recruiting in corso ma chiunque invia anche spontaneamente un cui cv all’azienda.

Qualora vi fosse ancora l’abitudine di stampare i cv dei candidati in vista dei colloqui?

Il consiglio sarebbe di evitare la circolazione di formati cartacei.

Altrimenti è opportuno archiviare e conservare il documento con la stessa cura e modalità individuata in azienda per tutti gli altri dati sensibili.

Se più colleghi devono lavorare allo stesso profilo?

L’ATS rimane la soluzione perfetta per tracciare, mappare e monitorare un processo a cui partecipano più professionisti (interni ed esterni all’organizzazione, con i dovuti filtri e blocchi).

La soluzione più sicura e affidabile è quella che ci arriva in aiuto da un ATS che ci supporta nella gestione del candidato, con un unico passaggio, in ben 2 compiti di gestione del dato:

  • La raccolta del consenso del candidato al trattamento dei dati;
  • La disponibilità immediata per il candidato di visionare l’informativa aziendale.

La politica di data retention e l’aggiornamento del consenso informativo

Quando stabiliamo un arco temporale per la gestione del trattamento questo va rispettato.

La data retention riguarda anche il processo di recruiting.

Una azienda, infatti, deve provvedere periodicamente ad eliminare dal proprio archivio i dati di quelle candidature che hanno superato il tempo di conservazione.

Dovendo, pertanto, richiedere ai candidati un nuovo consenso.

Puoi immaginare quanto sia difficile monitorare queste scadenze senza l’aiuto di un ATS?!

Settando le opportune notifiche automatiche sul software, che informino i candidati sulla scadenza del consenso dato, puoi tenere sotto controllo il processo in modo ragionevole.

A quel punto la decisione passa direttamente ai candidati che in completa libertà e autonomia valuteranno se rinnovare il consenso al trattamento inviando nuovamente la loro candidatura o optare per la cancellazione automatica.

Come può un ATS semplificare il tuo lavoro

Lavorare con un ATS è sicuro e pratico.

Su di un’unica piattaforma hai la possibilità di seguire e verificare il processo di recruiting in modo analitico.

Ciò non solo per monitorare le performance HR ma anche gli adempimenti relativi al trattamento dei dati.

Può succedere, infine, che un candidato per varie ragioni possa decidere di ritirare una candidatura, rettificare l’iscrizione al portale aziendale.

Questa eventualità con un ATS può essere gestita agevolmente!

Ogni passaggio del processo può concludersi con soddisfazione di ambo le parti.

Gli aspetti da non sottovalutare sono:

La qualità della comunicazione con il candidato;

La tracciabilità dell’evento.

Credo che poter lavorare in sicurezza e nel rispetto del GDPR e dei candidati aumenti la percezione di competenza ed affidabilità di un professionista delle risorse umane.

La funzione HR è costantemente sollecitata a contribuire attivamente in azienda.

Sia per facilitare da una parte la naturale spinta al cambiamento che dall’altra parte per comunicare e garantire una corretta applicazione delle procedure.

Un’aspettativa in linea con quanto emerso nelle ricerche che abbiamo condiviso negli HR trends 2022!

Se vuoi scoprire, senza impegno, come Performa Recruit gestisce in automatico il GDPR, ti invitiamo a prenotare una demo gratuita.