Ruolo del DPO nella gestione delle risorse umane

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer 

L’apporto del DPO alla gestione delle risorse umane dell’organizzazione riguarda i lavoratori sotto un duplice aspetto: in quanto soggetti interessati al trattamento e in quanto operatori autorizzati all’accesso ai dati personali e all’esecuzione delle attività di trattamento. Questo comporta, di conseguenza, che il DPO agisca tenendo debitamente conto del proprio ruolo di garanzia della conformità dei trattamenti dell’organizzazione, ivi inclusi gli aspetti di sicurezza, considerando le istanze degli stakeholder interni ed esterni.

Tale ruolo deve essere però conosciuto - e riconosciuto - non soltanto dai vertici dell’organizzazione, ma anche dall’ufficio delle risorse umane, altrimenti verrebbe a mancare quel raccordo operativo necessario per realizzare un contributo utile e di valore. In questo ambito delicato non può infatti essere giustificata un’inerzia e il DPO non può ridursi – né essere ridotto – ad un mero spettatore.

Designazione del referente HR

È opportuno che sia individuato almeno un referente delle risorse umane per le questioni relative alla protezione dei dati personali e che venga debitamente responsabilizzato e specificamente istruito affinché possa interfacciarsi correttamente con la funzione del DPO. La misura organizzativa offerta in tal senso è rappresentata non solo dallo strumento principe della designazione ex art. 2-quaterdecies Cod. Privacy, ma anche da una coerente attività di formazione affinché si creino i presupposti per un coinvolgimento efficace e la partecipazione a tavoli di lavoro e una collaborazione efficace per la redazione e l’aggiornamento di istruzioni, procedure e disciplinari per i lavoratori.

DPO = presidio di garanzia

In questo modo, l’attività di consulenza e informazione del DPO può costituire un presidio di garanzia per dare attuazione al principio di privacy by design applicato ai processi e alle attività di trattamento che coinvolgono i lavoratori. Occorre affrontare un’inevitabile complessità che consideri l’intero ciclo di vita dei trattamenti dei lavoratori: dal processo iniziale di ricerca e selezione, alle attività di carattere routinario (quali la rilevazione presenze, l’elaborazione paghe o la formazione ad esempio) e eventuali (quali i procedimenti disciplinari, la gestione degli infortuni o malattie professionali), fino alla fase della cessazione del rapporto di lavoro in cui c’è la dismissione delle utenze e delle caselle e-mail individualizzate, nonché la conservazione documentale successiva.

Focus su

Si aggiungono poi degli ulteriori ambiti specifici da attenzionare. Alcuni, in ragione dei rischi intrinseci, come tutte le attività da cui possa derivare un controllo a distanza dei lavoratori e i monitoraggi della strumentazione di lavoro, che devono però essere coordinate con la disciplina giuslavoristica dello Statuto dei Lavoratori (L. 300/1970). Altri, perché specificamente normati: ad esempio, per quanto riguarda gli obblighi informativi di sistemi integralmente automatizzati per effetto del decreto trasparenza (d.lgs. 104/2022), o per le regole in materia di trasparenza e anticorruzione (d.lgs. 33/2013).

Disciplinari

L’attività emblematica e comune a più organizzazioni in cui c’è un coinvolgimento del DPO in un tavolo di lavoro è la redazione dei disciplinari d’impiego della strumentazione lavorativa in cui sono coniugati gli obblighi di regolamentare l’uso accettabile, fornire istruzioni e informare circa i monitoraggi e i controlli svolti. Diventa così indispensabile che il DPO sappia agire entro le questioni di propria competenza, sia di propria iniziativa che in riscontro a richieste specifiche, facendosi anche promotore di una sinergia con le ulteriori funzioni dell’organizzazione quali ad esempio risorse umane, ufficio IT e, ove presenti, l’ufficio compliance ed eventuali consulenti esterni. Ovviamente è necessario che ci sia un reciproco rispetto dei ruoli, ma soprattutto che l’azione del DPO non lo ponga in una situazione di conflitto d’interesse.

Formazione

Anche le azioni di informazione, formazione e sensibilizzazione del personale in materia di protezione dei dati personali e sicurezza delle informazioni devono essere svolte e coordinate in modo analogo dal DPO, tenendo conto della duplice esigenza di fornire consapevolezza dei diritti in quanto interessati e di attribuire le responsabilità come operatori che intervengono sui dati e tenuti al rispetto delle disposizioni di servizio datoriali. Anche la declinazione dei compiti di sorveglianza nell’ambito delle risorse umane deve avvenire seguendo i rischi di trattamento, dovendo promuovere un’interlocuzione con le funzioni esterne ed interne coinvolte a vario titolo, quali ad esempio recruiter, medico del lavoro, RSPP. Questo comporta un confronto proattivo, con l’acquisizione di informazioni e soprattutto una ricerca di evidenze a conferma del rispetto dei principi del GDPR con particolare riferimento agli aspetti fondamentali di liceità e trasparenza, entrambi valorizzati anche da parte della normativa giuslavoristica.

In ogni caso, per quanto l’organizzazione abbia l’obbligo di promuovere uno scambio di informazioni quanto più tempestivo e completo possibile, sta alla correttezza professionale del DPO essere in grado di adottare un approccio proattivo in tal senso. Questo vale ancora di più nei casi in cui emerga l’esigenza di condurre o altrimenti riesaminare una valutazione d’impatto, per cui un parere spontaneo è sempre preferibile all’inazione, dal momento che i dipendenti sono interessati emblematicamente vulnerabili in ragione dello squilibrio di potere con il datore di lavoro.