Il ruolo del DPO nella gestione delle risorse umane con i sistemi di intelligenza artificiale

La gestione delle risorse umane rientra tra le funzioni di un’impresa a maggiore impatto sotto il profilo della tutela dei dati personali. Oltre alle attività ordinarie - quali, a titolo esemplificativo, l’elaborazione delle buste paga, la gestione delle richieste di permessi e malattie e la gestione dei procedimenti disciplinari – se ne aggiungono ogni giorno di nuove anche per via del ricorso, sempre più dilagante, ai sistemi di Intelligenza Artificiale (“AI”) nei processi aziendali.

In questo contesto, il Responsabile della Protezione dei Dati (RPD o DPO) assume un ruolo cruciale, chiamato a verificare la conformità al GDPR e alle normative vigenti di ogni trattamento dei dati personali effettuato, mantenendo impregiudicata la tutela dei diritti dei lavoratori.

Nell'ambito delle attività aziendali di gestione del personale, le funzioni che il Data Protection Officer è chiamato a svolgere sono principalmente le seguenti:

- formazione e sensibilizzazione del personale sui principi del GDPR e sulle best practice relative al trattamento dei dati personali;

- consulenza e supporto al titolare del trattamento in merito alle attività di gestione del personale che implicano il trattamento di dati personali;

- pareri sulla valutazione d'impatto;

- controllo e monitoraggio delle attività di trattamento dei dati personali svolte nell'ambito della gestione del personale e verifica della conformità aziendale (es. attraverso audit periodici finalizzati al monitoraggio dei trattamenti e delle misure di sicurezza adottate a tutela degli stessi).

Il “risk-based approach”

Fondamentale per la corretta esecuzione dei compiti del DPO è il c.d. “risk-based approach” o “approccio basato sul rischio”. In tal senso, l’art. 39, par. 2, impone al DPO di considerare «debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo».

Di fatto, il DPO è tenuto a impostare l’esecuzione del proprio incarico definendo un ordine di priorità nelle attività da compiere, dedicando primaria attenzione alle circostanze che presentino rischi più elevati nell’ambito della protezione dei dati personali, senza trascurare gli ulteriori trattamenti caratterizzati da rischi inferiori.

Adottando tale approccio, il DPO è quindi in grado di ottenere un quadro completo delle attività da compiere per ogni trattamento, di definire le risorse necessarie, nonché di focalizzarsi sui settori maggiormente a rischio organizzando specifici interventi quali audit esterni o interni e giornate di formazione a vantaggio del personale coinvolto.

Antonio Valentini - Avvocato, co-fondatore Opera Professioni, Membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale - prosegue questa interessante analisi nel suo articolo.

Il link per la lettura del testo integrale