Cybersecurity: tutela dei lavoratori e norme Ue, dati a confronto (1)

 

Milano – GIDP, Defensis e Orrick hanno realizzato una ricerca su un campione di HR Manager di aziende di medie e grandi dimensioni per comprendere se queste organizzazioni siano pronte all’entrata in vigore del nuovo regolamento dell’Unione europea, relativo alla protezione dei dati personali dei lavoratori. Più del 72% degli intervistati afferma che in azienda si stia lavorando in questi mesi per modificare le policy in materia privacy per adeguarle alle previsioni contenute nel GDPR al fine di rendere comprensibili le modalità con cui l’azienda effettua il trattamento dei dati. Il 12,96% degli HR manager intervistati afferma che le policy sono ferme a prima del 2015. Solo il 14,82% ha già provveduto a controllare il formato e il contenuto delle policy. In tema di Governance, il 64,81% sta lavorando per disciplinare, attraverso uno specifico contratto di nomina con il Titolare, i rapporti con i responsabili esterni (per esempio, consulenti esterni che fanno paghe e contributi), a fronte invece di un 18,52% che afferma di non essere pronto e di non averlo in programma al momento. Solo il 9,26% dei manager intervistati sostiene di aver svolto la PIA (privacy impact assessment) e di avere uno standard per tutti i nuovi progetti. Più del 50% (53,70%) invece dice di non averla mai fatta. Per quanto riguarda la nomina di un Data Protection Officer (DPO), il 24,07% dichiara di non averne bisogno, mentre il 53,70% non ha ancora affrontato il tema. In tema di Data Breach, il 70,37% dei rispondenti afferma di non aver affrontato ancora in azienda il tema della violazione di dati personali; nel 24,07% dei casi sono state stabilite delle procedure specifiche, mentre il 5,56% degli HR manager sostiene di aver creato in azienda un comitato di crisi. Il 63,64% sostiene di non aver predisposto ancora liberatorie nuove e più specifiche per il trattamento dei dati dei candidati, raccolti durante il processo di selezione; poco più del 29% dei rispondenti dice di aver già predisposto delle liberatorie di questo tipo e il 7,27% dei rispondenti dice di aver addirittura predisposto un modello di liberatoria che include anche la possibilità di richiedere referenze. In merito alla raccolta/archiviazione dei dati esistenti sui dipendenti, solo il 14,81% sostiene di aver mappato i dati e di aver elaborato procedure adeguate, ma in più del 61% dei casi le aziende stanno ancora lavorando per la gestione di tale problematica. In merito alle policy sull’utilizzo di strumenti aziendali: il 16,67% dei rispondenti ha aggiornato le policy sia per Jobs Act che per GDPR, il 12,96% dice di non avere in azienda policy per l’utilizzo di strumenti aziendali; nel 24,07% dei casi le policy sono più vecchie di 3 anni; il 5,56% dei rispondenti ha aggiornato le policy solo in ottica GDPR; la maggioranza dei rispondenti invece, il 40,74%, afferma di aver aggiornato le policy solo in ottica Jobs Act (2015 in poi).