GDPR e risorse umane: cosa cambia per le aziende

È appena entrata in vigore la normativa con cui l’UE mira a rafforzare la protezione dei dati di tutti i cittadini. GDPR: che impatto avrà sulle aziende e quante sono realmente pronte?

gdpr

È entrato in vigore il 25 maggio il GDPR (General Data Protection Regulation), la normativa con cui l’Unione Europea mira a rafforzare la protezione dei dati di tutti i cittadini europei. Nonostante sia stato approvato da almeno due anni (Regolamento Europeo n.679/2016) a una settimana dalla sua operatività ben il 93% delle imprese non era ancora totalmente conforme al nuovo pacchetto di norme, almeno stando ai risultati di una ricerca internazionale realizzata da SAS coinvolgendo 183 manager.

Il nuovo regolamento avrà, infatti, un impatto molto forte su tutte le aziende che forniscono beni e servizi in Europa, anche se non sono fisicamente presenti nel Vecchio Continente. Tutte sono o saranno costrette al più presto a rivedere i propri processi di gestione dei dati, anche relativi al personale dipendente. Il rischio per chi non si adeguerà è quello di incorrere in pesanti multe. A preoccupare di più le aziende (comprese quelle extraeuropee) sono proprio le sanzioni previste in violazione del GDPR, che prevedono un pagamento fino al 4% del fatturato globale annuale aziendale e fino a 20 milioni di euro. Cifre che l’Aesc  – Association of Executive Search and Leadership Consultants – ha definito “astronomiche”. Inoltre il nuovo regolamento consente ai soggetti interessati di esigere un risarcimento giudiziario per danni e presentare reclami amministrativi alle autorità di vigilanza.

Tra le novità della normativa c’è la definizione di una nuova figura: il Responsabile della protezione dei dati (Data Protection Officer, DPO). Sarà lui il riferimento per tutta l’azienda su questo delicato tema, a lui spetterà il compito di assicurare una gestione corretta dei dati personali nelle imprese e sovraintendere al Registro delle attività di trattamento. In caso di violazione dei dati personali (data breach) il DPO dovrà informare tempestivamente il Garante della Privacy.

Se le multinazionali hanno da tempo iniziato a investire somme ragguardevoli per farsi trovare pronti all’entrata in vigore della GDPR (secondo un sondaggio lanciato da PwC, oltre il 60% delle aziende americane prevedeva di spendere più di 1 milione di euro per adeguarsi al regolamento), le oltre 140 mila piccole e medie imprese italiane devono necessariamente limitarsi a un adeguamento più formale che sostanziale, affidandosi a consulenti e lavorando sul proprio sistema di Information Technology.

Il tema chiave è quello di costituire un sistema di protezione che consenta di rispettare la normativa e non rischiare sanzioni. Il DPO dovrà quindi costituire le procedure per gestire tutto il flusso di dati che riguarda dipendenti e clienti tramite informative, consensi e modalità di trattamento degli stessi. Un lavoro non semplice che implica tempo e una ridefinizione della struttura aziendale.

error

Condividi Hr Link