Cos'è il GDPR e quali conseguenze comporta per HR e payroll?

Cos'è il GDPR?

L'introduzione del regolamento generale sulla protezione dei dati (GDPR) europeo a maggio 2018 ha avuto un impatto significativo sul modo in cui le aziende che operano nell'Unione europea o trattano i dati personali di residenti dell'UE gestiscono queste informazioni.

Con sanzioni per la non conformità del 4% del fatturato mondiale o 20 milioni di euro (si considera il valore più alto) le aziende non possono permettersi di ignorare il GDPR.

 

Infographic: GDPR at a Glance

Ecco come i professionisti HR considerano i principi della privacy del GDPR.

Come vengono definiti i "dati personali" nel GDPR?

Per dati personali ai sensi del GDPR, si intende letteralmente qualsiasi informazione che possa identificare un aspetto della vita personale, pubblica o professionale di un individuo, ad esempio: il nome, l'indirizzo, il numero di telefono, l'indirizzo e-mail, l'indirizzo IP, le informazioni culturali, finanziarie e biometriche di una persona.

Il GDPR non protegge solo gli individui identificabili, ma anche gli individui che potrebbero essere "identificati" tra altre persone, anche se non identificabili direttamente.

Nuove responsabilità per i leader HR

Alcuni articoli del regolamento hanno dominato i titoli dei giornali, tra cui il diritto all'oblio degli individui, ovvero la cancellazione completa dei propri dati personali, o ad esempio, il diritto di accesso ai dati personali.

Questo comporta un maggior numero di responsabilità da parte dei responsabili HR per garantire la conformità ed evitare le sanzioni. Il GDPR richiede più tempo per la gestione delle risorse umane, più strumenti tecnologici e anche più personale.

 

Solo il 14% dei professionisti del payroll hanno ricevuto una formazione GDPR specifica per il settore del payroll.

Source: Global Payroll Association white paper: “Protecting Personal Data and Payroll Professionals”, 2018

Altri punti GDPR da considerare:

Aggiornamento del personale e dei candidati con avvisi sulla privacy

In base al GDPR, il personale e i candidati devono essere aggiornati tramite degli avvisi sulla privacy che specificano l'obiettivo del trattamento e la relativa base giuridica, e se i loro dati vengono trasferiti al di fuori dell'UE.

Trasferimento dei dati personali al di fuori dell'UE

I reparti HR devono ora implementare un meccanismo per lo Stato di diritto per trasferire i dati personali al di fuori dell'UE. Ad esempio, adottando il Regolamento Aziendale BCR (Binding Corporate Rules), utilizzando delle clausole contrattuali standard o solo trasferendo dati a destinazioni "adeguate" o ai sensi dello scudo per la privacy USA.

Notifica alle autorità competenti per la protezione dei dati entro 72 ore

I titolari del trattamento, ovvero le persone o aziende che prendono la decisione di avviare il trattamento dei dati e che vigilano sul modo in cui i dati personali vengono trattati, devono notificare le autorità competenti per la protezione dei dati entro 72 ore dalla segnalazione di una violazione di dati personali, a meno che non ci siano rischi per i diritti e le libertà degli individui. La mancata segnalazione entro questi termini può comportare sanzioni.

Documentazione e dimostrazione della conformità al GDPR

Il reparto HR è tenuto a documentare e dimostrare la conformità al GDPR, ad es. fornendo un registro di richieste, procedure e categorie dei dati trattati dalla vostra organizzazione.

I vantaggi di una soluzione HCM esternalizzata

Data la complessità della conformità, non c'è da stupirsi se oltre tre quarti dei leader HR stanno utilizzando il GDPR e altre normative sulla privacy dei dati come incentivi per cercare una soluzione HCM esternalizzata.

Perché esternalizzare? La vostra azienda potrebbe non avere l'esperienza e le risorse tecniche per svolgere le attività richieste dal GDPR, e l'esternalizzazione del trattamento dei dati HR a un fornitore HCM basato sul cloud come ADP può essere molto utile al fine di ridurre il peso di questa responsabilità. ADP è pronta per il GDPR da molto prima della sua implementazione, ed è in grado di aiutare i clienti a trovare la posizione giusta per soddisfare i requisiti di questo nuovo e impegnativo periodo a livello di protezione della privacy in Europa.

A partire da marzo 2018, ADP fa parte di un gruppo prestigioso di aziende di tutto il mondo che ha ricevuto l'approvazione dei regolatori per implementare BCR come responsabile del trattamento (per il trattamento dei dati dei clienti) e titolare del trattamento (per i dati dei nostri dipendenti e altri associate aziendali).

Soddisfate i requisiti del GDPR con la suite di ADP di PRODOTTI PER IL GLOBAL PAYROLL

La protezione della privacy dei dati personali dei nostri clienti e dipendenti è la nostra priorità in ogni fase: durante la definizione, lo sviluppo e il perfezionamento dei nostri prodotti e la definizione delle policy che regolano il modo in cui raccogliamo e gestiamo i dati ogni singolo giorno. L'implementazione di Binding Corporate Rules dimostra il nostro impegno verso la protezione dei dati personali in linea con gli standard richiesti nell'UE, a prescindere da dove i dati europei vengono trattati, consultati o ospitati.

Carlos Rodriguez, presidente e CEO

Informazioni aggiuntive sul GDPR

Inizia ora. Contattaci

Trova la soluzione giusta per la tua azienda

800 180 959

La tua privacy è al sicuro.