Quante informazioni è giusto – per etica e per legge – che le aziende raccolgano, custodiscano e magari trasferiscano altrove, in merito ai propri dipendenti o semplicemente a chi si candida per un posto vacante? La questione della privacy e le nuove norme europee introdotte con il Gdpr hanno risvolti particolari sul mondo delle risorse umane, vista da un lato la necessità oggettiva delle aziende di ottenere informazioni sui chi lavora al loro interno, e dall'altro il diritto alla riservatezza dei singoli. Ci aiuta a capire meglio questo tema Geoffroy de Lestrange, product marketing manager Emea di Cornerstone OnDemand spiega perché una politica di protezione dei dati attenta e trasparente può concorrere ad aumentare la fiducia dei dipendenti nei confronti dell’azienda, contribuendo a creare relazioni migliori.
Geoffroy de Lestrange, product marketing manager Emea di Cornerstone OnDemand
Per poter gestire l’iter di selezione e, successivamente il rapporto di lavoro, l’azienda richiede ai candidati, e futuri dipendenti, una serie di dati personali, non solo quelli contenuti generalmente nel CV, ma anche, ad esempio, dati sensibili come gli estremi di conto corrente. Il confine tra dati personali e dati aziendali comincia, dunque, a essere evanescente ed è per questo che il dipendente si aspetta che i propri dati vengano utilizzati in modo corretto e appropriato, nella massima tutela della privacy. Per le aziende ciò significa non solo una stretta conformità alle leggi vigenti in materia di tutela dei dati, ma anche permettere ai dipendenti di sentirsi sicuri relativamente alla gestione dei dati che li riguardano.
A partire dal 25 maggio 2018, dopo due anni di transizione, entrerà in vigore il regolamento generale sulla protezione dei dati (Gdpr, General Data Protection Regulation), che intende rafforzare e unificare la protezione dei dati personali entro i confini dell'Unione Europea e affronta anche il tema dell'esportazione di dati personali al di fuori dell'Ue. Il Gdpr ha l’obiettivo di uniformare le normative europee in materia di data privacy, migliorare le garanzie per i cittadini e modificare l’approccio delle aziende ai dati del personale, garantendo un maggiore equilibrio tra aziende e individui.
Innanzitutto, sono state introdotte sanzioni più consistenti per chi non rispetta pedissequamente la normativa o la infrange, mentre viene riconosciuto ai singoli un maggiore controllo sul modo in cui le imprese possono utilizzare i loro dati. Le aziende – o, come le definisce la legge, i “controllori” – hanno la responsabilità di garantire che i dati siano trattati secondo l’iter stabilito dalla legge, in modo trasparente e al solo scopo per cui sono stati raccolti, assicurandone la cancellazione nel momento in cui non saranno più necessari. Quindi, facendo un esempio pratico, una società può registrare i dati personali dei propri nuovi collaboratori al momento dell’assunzione, ma solo quelli strettamente necessari al processo di assunzione e di gestione del dipendente, che dovranno poi essere cancellati quando quest’ultimo non sarà più in azienda.
Per molte organizzazioni, attenersi a questo iter e porsi in condizione di assoluta conformità alla normativa in materia di riservatezza dei dati significa introdurre diversi cambiamenti nei propri processi interni. Per quanto dispendiosi in termini di tempo e oneroso dal punto di vista economico, si tratta di cambiamenti necessari che porteranno evidenti benefici a tutte le parti coinvolte.
Si potranno raccogliere ed elaborare solo alcune tipologie di dati ritenute indispensabili per l’espletamento delle normali pratiche aziendali, mentre per tutto il resto servirà il consenso esplicito dell’interessato. Il consenso è un elemento costitutivo della nuova legge sulla privacy e permetterà al personale dipendente di porre dei limiti al modo in cui l’impresa gestisce i dati. Se l’azienda dovesse elaborare informazioni raccolte con esplicita richiesta di consenso, dovrà tenere traccia di come e quando esso sia stato ottenuto, mentre il dipendente potrà, in qualsiasi momento, ritirarlo o richiedere di avere informazioni sulle modalità d’uso dei dati rilasciati.
Introdurre un certo grado di trasparenza in azienda anche per quanto riguarda l’utilizzo dei dati personali e garantire maggiore partecipazione ai singoli, riconoscendo loro il diritto di veto, contribuirà, alla fine, alla costruzione di un rapporto di crescente fiducia con il personale. Un’indagine condotta in nel Regno Unito nel 2015 indica che i dipendenti si fidano dei propri manager (55%) più che del top management (40%). Il dato è forse sorprendente, ma la verità è che, in generale, la fiducia nei confronti del management, che si tratti del superiore diretto o del top manager, è comunque relativamente bassa. Anche a livello dirigenziale o di senior management, oltre un quarto dei dipendenti coinvolti nella ricerca (28%) pensa di non potersi fidare dei propri responsabili o dei manager di linea della propria azienda: e ciò, evidentemente,, non è un bene per nessuna relazione. Quando le persone hanno un rapporto di fiducia reciproca sono più contente e, come dimostrato anche dalla nostra indagine svolta in collaborazione con IDC nel 2016, c’è una forte relazione diretta tra benessere in azienda e coinvolgimento del personale.
In realtà, la maggior parte delle imprese europee archivia già da diverso tempo i dati personali in modo sicuro. Tuttavia, il nuovo regolamento va oltre, in quanto intende dare al personale la certezza di potersi fidare della propria azienda: ogni dipendente potrà contare sul fatto che i suoi dati saranno gestiti in maniera corretta e saprà esattamente chi potrà avere accesso a che cosa. Quanto ciò sia importante per ciascun professionista varia molto a seconda del livello culturale e psicologico di ognuno, ma in generale più informazioni si rendono disponibili meglio è.
L’altro aspetto importante da considerare è che i dati più significativi per l’azienda non sono necessariamente anche quelli più importanti per i lavoratori. Pensiamo, ad esempio, alle informazioni sui compensi salariali: per l’azienda si tratta di dati amministrativi più che strategici, ma il dipendente li considera sensibili e preferisce che sia mantenuta la massima riservatezza. Le analisi predittive sulla pianificazione della successione di ciascun componente dello staff hanno un forte impatto sulle aziende e sono dati che il management preferisce mantenere riservati per motivi strategici, mentre dal punto di vista del dipendente non esiste la stessa esigenza. Un modo per venire a capo della questione consiste nel chiedersi – obblighi di legge a parte – quali siano i contenuti relativi alle HR a cui sarebbe giusto e utile avere accesso. Va notato che, ad esempio, se i dati sulla successione sono necessari, è altrettanto necessario disporre di strumenti adeguati per mantenere queste informazioni costantemente aggiornate. In molti casi, questi aggiornamenti derivano dalla valutazione delle performance. Ma una valutazione annuale è davvero sufficiente per essere sicuri di disporre sempre delle migliori informazioni sulle capacità dei nostri talenti? Non sarebbe meglio un feedback continuativo? E come organizzarlo per essere sicuri di riuscire a raccogliere i dati con la frequenza desiderata?
Analogamente, affinché le imprese siano sempre in linea con le normative vigenti e possano applicare la massima trasparenza alle modalità di conservazione dei dati, è indispensabile appoggiarsi alla lunga esperienza del team It. Infatti, in un’epoca in cui gli attacchi alla sicurezza sono sempre più frequenti, avvicinare i diversi dipartimenti e ricevere input dall’It è utile anche per migliorare la sicurezza dell’azienda nel complesso. Il cambiamento fa sempre paura, specie nelle grandi aziende, ma i benefici derivanti dal miglioramento dei processi sono di gran lunga più numerosi dei possibili effetti negativi.