Il Rafforzamento Della Normativa Sulla Protezione Dei Dati E Sulla Cyber Security: Cosa Significa Per Le HR?

Il regime normativo per la protezione dei dati e la sicurezza informatica è in rapida evoluzione. L’asticella si sta alzando ed è difficile tenere il passo con le nuove normative, sia locali che internazionali.

In questo articolo esaminiamo l’effetto che ciò ha sul modo in cui le organizzazioni gestiscono i dati dei dipendenti, dove si trovano i rischi più comuni e alcuni suggerimenti PRATICI su come le organizzazioni possono migliorare la loro posizione complessiva di protezione dei dati.

QUANTO VELOCEMENTE SI EVOLVE IL QUADRO NORMATIVO?

Molto rapidamente e i cambiamenti si stanno muovendo solo in una direzione, vale a dire requisiti più rigorosi, meccanismi di applicazione migliorati e sanzioni finanziarie e penali più severe.

Ecco solo alcuni esempi:

  • La direttiva NIS2 (Network Information Security 2) dell’Unione Europea, la cui scadenza nazionale per l’adozione è il 17 ottobre 2023 per tutti gli Stati membri dell’UE, ha un impatto su settori critici come l’energia, i trasporti e l’assistenza sanitaria. Impone misure di sicurezza informatica più rigorose per questi settori, una migliore segnalazione degli incidenti e una maggiore collaborazione transfrontaliera per rafforzare la resilienza dell’infrastruttura digitale europea contro le minacce informatiche.
  • La nuova legge federale svizzera sulla protezione dei dati (nFADP), entrata in vigore il 1° settembre 2023, rafforza gli obblighi dei datori di lavoro, richiedendo una gestione dei dati, un consenso e una trasparenza più rigorosi per salvaguardare la privacy dei dipendenti.
  • L’emendamento della Corea del Sud al Personal Information Protection Act (PIPA) amplia gli obblighi di protezione dei dati per i datori di lavoro, richiedendo un consenso più rigoroso e misure di sicurezza. Rafforza il diritto alla privacy degli individui e impone sanzioni più severe in caso di mancato rispetto, spingendo i datori di lavoro a migliorare le pratiche di gestione dei dati per salvaguardare le informazioni dei dipendenti.
  • Le modifiche al California Privacy Rights Act (CPRA), in vigore dal 1° gennaio 2023, hanno introdotto requisiti rafforzati di protezione dei dati per i datori di lavoro. Garantisce ai dipendenti un maggiore controllo sui propri dati personali, richiede trasparenza nella gestione dei dati e impone normative più severe alle imprese.

COSA SIGNIFICA QUESTO PER LE RISORSE UMANE?

Le risorse umane gestiscono alcuni dei dati più sensibili all’interno di un’organizzazione, inclusi i dati personali dei dipendenti, i dati familiari, i dati sanitari (ad esempio certificati medici), i dati sui compensi, i dettagli del conto bancario, i dati fiscali, ecc. Storicamente i team delle risorse umane hanno fatto affidamento sui propri dipartimenti IT per mantenere questi dati al sicuro all’interno dell’ambiente IT dell’organizzazione. Le risorse umane devono quindi semplicemente seguire pratiche lavorative quotidiane basate sul buon senso per evitare che i dati personali vengano visti dalla persona sbagliata, ad es. salva i documenti sensibili su un’unità sicura, non lasciare documenti in giro per l’ufficio e fai molta attenzione a inserire l’indirizzo email corretto quando invii un documento via email.

Nel mondo di oggi, questo è lungi dall’essere un approccio adeguato. I team HR devono fare molto di più per garantire che i dati dei dipendenti siano sicuri e per poter dimostrare che è così.

QUALI SONO I RISCHI PIÙ COMUNI?

Esistono cinque principali aree di rischio:

1. Conservazione dei dati dei dipendenti

2. Accesso ai dati dei dipendenti

3. Gestione della catena di fornitura (delle attività esternalizzate)

4. Trasmissione dei dati

5. Candidati al lavoro

Diamo un’occhiata brevemente a ciascun rischio e a come si presenta un approccio robusto.

Conservazione dei dati dei dipendenti

I dati dei dipendenti dovrebbero essere archiviati in sistemi che seguono le migliori pratiche di sicurezza del settore e sono quindi più resistenti alle violazioni e alle fughe di dati. Ad esempio, il software che memorizza i dati dei dipendenti dovrebbe essere progettato per essere sicuro (ad esempio, soddisfare gli standard architettonici di OWASP), l’hardware che supporta i sistemi dovrebbe essere sicuro e i test di penetrazione indipendenti dovrebbero essere eseguiti regolarmente. I sistemi che memorizzano i dati dei dipendenti dovrebbero essere affidabili, durevoli, regolarmente sottoposti a backup e dotati di procedure di riserva in caso di disastri.

Accesso ai dati dei dipendenti

L’accesso ai dati dei dipendenti dovrebbe essere limitato alle persone che necessitano di tali dati per svolgere il proprio lavoro o il servizio fornito. Ciò significa che deve esserci un accesso basato sui ruoli ai dati dei dipendenti e la configurazione dei sistemi deve garantire che l’accesso non possa essere compromesso. L’autenticazione a due o più fattori dovrebbe essere utilizzata per accedere ai sistemi che memorizzano i dati dei dipendenti. 

Gestione della catena di fornitura

La maggior parte delle organizzazioni esternalizza alcuni aspetti della gestione del personale, ad esempio le buste paga, i permessi di lavoro, i controlli pre-assunzione e l’amministrazione dei benefit. Le organizzazioni devono selezionare fornitori che dispongano di solide pratiche di protezione dei dati e di sicurezza IT e di pratiche efficaci di gestione del personale (inclusa la formazione dei propri dipendenti). È inoltre importante garantire che i processi end-to-end siano sicuri, ad esempio chi ha accesso ai dati personali e come vengono trasferiti per l’elaborazione.

Trasmissione dei dati

I dati dei dipendenti devono essere condivisi, sia internamente che esternamente, utilizzando piattaforme sicure. L’invio di dati personali tramite e-mail e file Excel è molto rischioso. È facile digitare l’indirizzo email sbagliato. Le e-mail possono essere facilmente inoltrate a una persona che non dovrebbe vedere i dati. I file protetti da password sono molto facili da violare. Tali file spesso finiscono per essere salvati sul disco personale di una persona sul proprio laptop. Le informazioni sono quindi spesso meno sicure e molto difficili da controllare (ad esempio cancellandole o rendendole anonime in modo permanente).

Candidati al lavoro

I candidati al lavoro devono acconsentire al trattamento e all’archiviazione dei loro dati. In molti paesi i candidati al lavoro hanno anche il diritto legale di richiedere all’organizzazione che ha presentato la loro domanda di lavoro di cancellare e rendere anonimi tutti i dati personali memorizzati su di loro o qualsiasi combinazione di dati che li renderebbe identificabili. Potrebbero anche avere il diritto di richiedere all’organizzazione di apportare modifiche ai propri dati personali in una vecchia domanda di lavoro. Pertanto, i sistemi di reclutamento devono essere in grado di gestire questi requisiti.

COME POSSIAMO VALUTARE SE LA NOSTRA ORGANIZZAZIONE È CONFORME ALLE NORMATIVE SULLA PROTEZIONE DEI DATI E SULLA CYBER SECURITY?

Anche se i requisiti variano a seconda della giurisdizione, nella maggior parte dei mercati sviluppati ci sono molti punti in comune e negli ultimi 5-10 anni c’è stato un grande allineamento internazionale delle regole.

Se non riesci a rispondere “sì” a queste 4 domande, è improbabile che tu sia pienamente conforme ai requisiti di protezione dei dati e di sicurezza informatica in molti paesi:

  1. I dati dei dipendenti sono archiviati esclusivamente in un sistema HR sicuro dal punto di vista informatico o in sistemi di cui viene eseguito il backup almeno settimanalmente, a cui si accede tramite un meccanismo di doppia autenticazione, hanno accesso basato sui ruoli e sono testati di penetrazione almeno una volta all’anno?
  2. Tutti gli scambi di dati personali con fornitori di terze parti sono gestiti tramite una piattaforma sicura anziché tramite email?
  3. Le vostre buste paga vengono gestite senza scambi di dati personali dei dipendenti o di dati sulla retribuzione (internamente o esternamente) tramite email o Excel?
  4. È possibile eliminare in modo permanente, rendere anonimi e modificare i dati personali dei candidati?

UN’OPPORTUNITÀ PER I DIPARTIMENTI HR

PeopleWeek parla spesso con i direttori delle risorse umane che lottano continuamente per avere il budget necessario per implementare i sistemi di cui hanno bisogno per gestire e sviluppare le proprie persone, nonché per aiutare i team delle risorse umane a lavorare in modo più efficiente. Anche se la maggior parte dei CEO sostiene che “le persone sono la loro risorsa più grande”, troppo spesso ciò non si estende all’investimento di denaro in sistemi per dipendenti e manager. Tuttavia, puoi essere abbastanza sicuro che quando il direttore delle risorse umane evidenzia che i loro processi attuali – e i sistemi che li sostengono – non sono conformi ai requisiti di protezione dei dati, il CEO e il CFO hanno un diverso senso di urgenza. È un peccato quando bisogna giocare questa carta ma è perfettamente legittima quando, effettivamente, l’organizzazione non rispetta i requisiti di legge.

PeopleWeek è molto felice di parlare con te se hai domande su questo argomento. Potresti anche completare il nostro sondaggio sulla maturità dei sistemi HR qui.

/da