Iniziamo dicendo che, come è già ben noto nelle aziende, il Regolamento Generale sulla Protezione dei Dati (GDPR) prevede sanzioni severe per le violazioni delle norme sulla protezione dei dati: si va dall’avvertimento da parte dell’Autorità a, in caso di violazioni, divieti temporanei o definitivi di trattamento dei dati e sanzioni pecuniarie che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo mondiale dell’azienda. 

La determinazione degli importi comminati a titolo di sanzione deve tenere conto di elementi quali l’effettività, la proporzionalità ed il fine dissuasivo ma deve considerare fattori come la natura, la gravità e la durata della violazione, nonché il grado di cooperazione dell’organizzazione. In tali scenari, la direzione HR assume un ruolo di fondamentale responsabilità. 

Conformità e reputazione

I casi di data breach non impattano solo su questioni tecnologiche, ma possono rappresentare veri e propri test di fiducia e credibilità per le organizzazioni aziendali. Una violazione dei dati mette in discussione non solo la conformità di una società alla normativa vigente ma anche la trasparenza ed il dovere di responsabilità verso i propri clienti oltreché la sua credibilità reputazionale.

Secondo l’avvocato Vittorio De Luca, Managing Partner di De Luca & Partners: “La gestione dei dati personali è oggi un banco di prova cruciale per le organizzazioni. Un Data Breach espone le aziende non solo al rischio di incorrere nelle pesanti sanzioni previste dalla normativa ma compromette la fiducia costruita nel tempo con clienti e partner andando a minare la reputazione e la credibilità dell’azienda. La prevenzione passa anche attraverso una governance solida e dei processi trasparenti e conformi. Un approccio efficace permette di proteggere il patrimonio economico e reputazionale dell’azienda. E quest’ultimo aspetto, spesso, è molto sottovalutato”. 

Un sistema di prevenzione coerente: il ruolo dell’HR

In questo contesto, la direzione HR opera in un delicato equilibrio. Da un lato, infatti, è chiamata a garantire la protezione dei dati dei dipendenti e dei lavoratori e, dall’altro, deve assicurare che l’organizzazione, nella complessità dinamica di ruoli e responsabilità che esplica, sia articolata e strutturata nel modo più adeguato possibile per operare in conformità con le normative vigenti.

Non si tratta quindi di coordinare la raccolta delle firme dei vari delegati interni ed esterni alla gestione dei dati nel rispetto del GDPR, bensì di equilibrare il complesso sistema di deleghe effettive in riferimento ai differenti ruoli facendo attenzione che non ci siano doppiature o aree scoperte ed attivando un’attenzione meticolosa e una gestione proattiva.

Protezione dei dati dei dipendenti

La direzione HR ha il dovere fondamentale di proteggere i dati personali dei dipendenti. Questo compito non si limita alla mera conservazione dei dati presso l’azienda, ma implica una gestione consapevolmente attenta e conforme alle normative, anche quando i dati sono archiviati e processati tramite servizi di terze parti: l’HR Director deve assicurarsi che questi servizi operino in conformità con i requisiti richiesti dalla normativa. Questo significa implementare rigorose misure di sicurezza per la gestione, l’archiviazione e la conservazione dei dati, garantendo al contempo la conformità con i requisiti per i trasferimenti internazionali dei dati.

Bilanciamento dei ruoli di responsabilità e delega

All’interno dell’organizzazione, la direzione HR orchestra il bilanciamento dei ruoli di responsabilità e la delega. L’organizzazione aziendale è quel sistema strutturato, ma anche sempre in evoluzione, di risorse, processi e persone che collaborano per raggiungere obiettivi comuni. In questo l’HR e i business leader partecipano alla definizione di ruoli, responsabilità e relazioni gerarchiche all’interno dell’azienda, al fine di ottimizzare l’efficienza e l’efficacia operativa.

Tra i punti di attenzione sta anche la definizione di quei ruoli che hanno la responsabilità sui dati a cui accedono, dati che possono essere sia interni di dipendenti e collaboratori, che esterni, ad esempio clienti e fornitori, ricordando che l’azienda risponde delle violazioni dei dati  anche nel caso di fasi di processo svolte da consulenti esterni.

Formazione e sensibilizzazione

Un altro aspetto cruciale della responsabilità della direzione HR in relazione al tema è la formazione e la sensibilizzazione dei dipendenti sui principi di protezione dei dati. Questo non solo aiuta a prevenire violazioni dei dati ma anche a garantire che tutti i membri dell’organizzazione siano consapevoli delle loro responsabilità e dei loro diritti in materia di protezione dei dati. La formazione continua e la sensibilizzazione sono strumenti essenziali per mantenere un ambiente di lavoro sicuro e conforme alle normative.

Gestione delle violazioni dei dati

In caso di violazioni dei dati personali, l’HR Director ha un ruolo chiave nell’assistere il titolare del trattamento nell’adempimento dell’obbligo di notificare le violazioni all’autorità di protezione dei dati e agli interessati. Questa responsabilità richiede una risposta rapida ed efficace, nonché la capacità di gestire le conseguenze delle violazioni in modo da minimizzare i danni e ripristinare la fiducia dei dipendenti e degli stakeholder.

Collaborazione con il Data Protection Officer (DPO)

La direzione HR collabora strettamente con il Data Protection Officer (DPO) per monitorare l’organizzazione e garantire la conformità con le normative sulla protezione dei dati. Questa collaborazione è essenziale per identificare potenziali rischi e implementare misure preventive. Il DPO rappresenta e fornisce una guida esperta e indipendente, mentre l’HR assicura che le raccomandazioni e indicazioni del DPO siano integrate nelle pratiche quotidiane dell’organizzazione.

Responsabilità verso l’organizzazione e il sistema 231

Oltre alle responsabilità specifiche verso i dipendenti, l’HR Director è anche parte di un sistema più ampio di responsabilità e ruoli, incluso nel Decreto Legislativo 231/2001. Questo sistema richiede che l’HR Director adotti un approccio olistico alla gestione dei dati, integrando le pratiche di protezione dei dati nelle politiche e nei processi aziendali. La conformità con il Decreto Legislativo 231/2001 implica non solo la protezione dei dati, ma anche la prevenzione di reati e il mantenimento di standard etici elevati all’interno dell’organizzazione.

Il lavoratore infedele

Nel caso in cui un dipendente si appropri dei dati aziendali, commette un illecito disciplinare e tradisce la fiducia del datore di lavoro oltre, a seconda della tipologia e della gravità delle azioni poste in essere, ad assumere una condotta penalmente rilevante. L’accesso alle informazioni è infatti giustificato solo per svolgere le proprie mansioni; utilizzarli per scopi personali è una violazione che può portare a sanzioni disciplinari che potrebbero anche culminare nella risoluzione del contratto.

Oltre alle sanzioni disciplinari, il datore di lavoro può richiedere il risarcimento dei danni, sia per il danno diretto che per perdite subite. Il furto di dati può anche essere utilizzato per manovre concorrenziali sleali, aprendo la strada a ulteriori contestazioni legali e risarcimenti così come a condotte penalmente rilavanti – di pensi, ad esempio, al reato di accesso abusivo a sistemi disciplinari

Conseguenze per l’azienda

È fondamentale quindi per una direzione HR aver preventivamente attivato un buon sistema di gestione dei dati, con processi strutturati e regole efficaci, diffusi con percorsi di formazione continui che permettano alle persone di essere consapevoli della propria responsabilità e di quale comportamento tenere a tutela e protezione dei dati, propri e dell’azienda.