Data Act e HRIS migrare i dati senza lock in
Indice dei contenuti [Nascondi]
- 1 Perché il Data Act cambia davvero le regole per l HR
- 2 Cosa prevede il Data Act per chi gestisce un HRIS
- 3 Piano in 8 mosse per migrare l HRIS senza lock in
- 3.1 1 Inventario dei dataset e mappatura dei rischi
- 3.2 2 Disegna il modello dati target con standard aperti
- 3.3 3 Prepara export ripetibili e verificabili
- 3.4 4 Definisci contratti API e limiti tecnici
- 3.5 5 Scrivi l uscita nel contratto
- 3.6 6 Sicurezza e continuità operativa
- 3.7 7 Strategia di cutover e doppio esercizio
- 3.8 8 KPI di successo misurabili
- 4 Diritti pratici per dipendenti e candidati
- 5 Domande da inserire nel prossimo RFP HRIS
Perché il Data Act cambia davvero le regole per l HR
I dati HR sono tra i più sensibili in azienda. Anagrafiche, valutazioni, retribuzioni, presenze e documenti costituiscono il cuore operativo di ogni organizzazione e incidono in modo diretto sull esperienza delle persone. Con il Data Act dell Unione Europea il potere contrattuale su accesso, portabilità e migrazione dei dati si sposta in parte verso utenti e imprese clienti. Questo è particolarmente rilevante per i sistemi HRIS che in molte realtà sono ancora percepiti come difficili da migrare per il rischio di lock in.
Il contesto è maturo. Secondo Eurostat il 45 percento delle imprese europee utilizzava servizi cloud nel 2023 con un incremento di 4 punti percentuali rispetto al 2021 e con il 32 percento che adotta servizi avanzati come database e piattaforme di sviluppo fonte. Più cloud significa più cambi di fornitore e più necessità di migrazioni ordinate e verificabili. Al tempo stesso ogni passaggio di dati espone a rischi di sicurezza. Il costo medio mondiale di una violazione di dati nel 2023 è stato pari a 4,45 milioni di dollari secondo IBM fonte. Pianificare una migrazione HRIS solida è quindi una questione sia di compliance sia di continuità operativa.
Cosa prevede il Data Act per chi gestisce un HRIS
Il Data Act è il Regolamento UE 2023 2854. È entrato in vigore a gennaio 2024 e si applica in gran parte da settembre 2025 con fasi di transizione su alcuni aspetti. Il testo completo è pubblicato nella Gazzetta ufficiale dell Unione europea fonte e una sintesi è disponibile sul portale della Commissione europea fonte.
Punti chiave che impattano i sistemi HR
- Portabilità e switching di servizi di elaborazione dati. I fornitori di servizi di elaborazione dati devono rimuovere ostacoli tecnici, contrattuali e organizzativi al passaggio a un altro fornitore o al back in house. Le commissioni di uscita sono ridotte e poi eliminate lungo un periodo transitorio stabilito dal regolamento fonte.
- Interoperabilità. Il regolamento promuove formati e interfacce che facilitino il trasferimento dei dati tra servizi diversi. Per un HRIS questo si traduce nella necessità di formati documentati e nell uso di standard aperti quando disponibili fonte.
- Trasparenza contrattuale. I contratti devono chiarire dove sono conservati i dati, le modalità di esportazione, i livelli di supporto per la migrazione e i tempi di cancellazione alla cessazione del rapporto.
- Coordinamento con il GDPR. Il Data Act non sostituisce il diritto alla portabilità dei dati personali previsto dall articolo 20 del GDPR che resta pienamente efficace per dipendenti e candidati fonte. Per HR significa garantire formati strutturati e leggibili da dispositivo oltre a processi di risposta entro i termini.
Per molte aziende il 2026 sarà l anno in cui pianificare o completare le migrazioni, sfruttando le tutele del Data Act e negoziando condizioni più eque con i fornitori.
Piano in 8 mosse per migrare l HRIS senza lock in
1 Inventario dei dataset e mappatura dei rischi
- Elenca i domini principali anagrafica organigramma presenze assenze paghe performance documenti HR ticket e note disciplinari.
- Classifica la sensibilità dei dati e le basi giuridiche del trattamento per ciascun dominio GDPR art 6 e art 9.
- Individua i sistemi collegati come ATS gestione accessi BI contabilità e i relativi flussi.
2 Disegna il modello dati target con standard aperti
- Allinea entità e attributi con HR Open Standards ex HR XML per massimizzare la compatibilità tra sistemi fonte.
- Per identità e gruppi adotta SCIM come vocabolario e API di riferimento fonte.
- Definisci una tabella di mapping campo per campo con regole di trasformazione normalizzazione e gestione dei valori nulli.
3 Prepara export ripetibili e verificabili
- Chiedi al fornitore HRIS un export completo e incrementale in CSV o JSON con dizionario dei dati e checksum per ogni file.
- Richiedi pacchetti di prova su dati fittizi o pseudonimizzati per validare il flusso prima di usare dati reali. ENISA propone buone pratiche di pseudonimizzazione utili nei test fonte.
- Stabilisci un calendario di snapshot ad esempio T meno 60 T meno 30 e cutover con finestra di congelamento minima.
4 Definisci contratti API e limiti tecnici
- Documenta l elenco delle API con metodi campi limiti di richiesta e codici di errore. Pretendi un rate limit compatibile con la finestra di migrazione.
- Prevedi una sandbox con dati sintetici e chiavi dedicate alla migrazione per evitare impatti sugli ambienti di produzione.
- Richiedi log di estrazione e un report di audit firmato dal fornitore.
5 Scrivi l uscita nel contratto
- Zero oneri di uscita entro la data stabilita dal Data Act con dettaglio dei servizi di supporto inclusi. Riferimento al Regolamento UE 2023 2854 fonte.
- Exit plan obbligatorio allegato con lista dei dataset formati dei file tempi di consegna e figure responsabili.
- Certificato di cancellazione dei dati entro un termine definito e provenienza dimostrabile di eventuali copie di backup.
- Data Processing Agreement conforme all art 28 GDPR con clausole su subfornitori e localizzazione dei dati.
6 Sicurezza e continuità operativa
- Cifratura in transito e a riposo con gestione delle chiavi documentata. Valuta l uso di chiavi gestite dal cliente.
- Controlli di accesso a privilegi minimi log centralizzati e segregazione degli ambienti.
- Piani di rollback basati su snapshot e checkpoint per ripristinare rapidamente lo stato precedente al cutover.
7 Strategia di cutover e doppio esercizio
- Esegui due cicli paga paralleli vecchio e nuovo sistema con riconciliazione a livello di persona centro di costo e totale netto.
- Concorda finestre di blocco brevi e progressivamente ridotte. Comunica in anticipo ai dipendenti gli eventuali impatti di visibilità in self service.
8 KPI di successo misurabili
- Completezza dei record maggiore o uguale al 98 percento rispetto allo storico di riferimento.
- Scostamento sulla retribuzione netta inferiore allo 0,5 percento per ciclo di test.
- Tempo totale di estrazione inferiore a 24 ore per 100 mila record anagrafici come benchmark iniziale da adattare al contesto.
- Zero incidenti di sicurezza e zero accessi non autorizzati registrati nei log.
Diritti pratici per dipendenti e candidati
Il Data Act si affianca al GDPR e non lo sostituisce. Il diritto alla portabilità art 20 GDPR consente a dipendenti ed ex dipendenti di ottenere in formato strutturato e leggibile da dispositivo i propri dati personali e di trasmetterli a un altro titolare quando tecnicamente fattibile fonte. Le Linee guida del gruppo europeo dei Garanti approfondiscono i casi d uso più comuni dalla gestione dei turni alle valutazioni delle performance fonte.
- Se stai cambiando lavoro chiedi all azienda un export dei tuoi dati HR in formato CSV o JSON. Non serve motivare la richiesta.
- Verifica che siano inclusi i metadati utili storico di ruoli e inquadramenti ferie residue attestati di formazione.
- Conserva il pacchetto in modo sicuro. Le informazioni contengono dati sensibili come indirizzo stato di famiglia e coordinate bancarie.
Domande da inserire nel prossimo RFP HRIS
- Quali dataset sono esportabili nativamente e con quale frequenza massima senza costi aggiuntivi
- In quali formati sono disponibili gli export e dove è documentato il dizionario dei campi
- Quali sono i limiti di velocità e concorrenza per le API di estrazione
- Qual è il tempo massimo garantito per consegnare un dump completo su richiesta
- Quali servizi di supporto alla migrazione sono inclusi in fase di uscita e quali sono gli orari di copertura
- Che cosa prevede il piano di cancellazione dati a fine rapporto e come viene rilasciato il certificato
- Quali audit indipendenti sono disponibili per sicurezza e privacy per esempio ISO 27001 e SOC
Fonti
- Regolamento UE 2023 2854 Data Act testo ufficiale link
- Pagina di sintesi della Commissione europea sul Data Act link
- Eurostat uso del cloud da parte delle imprese edizione 2023 link
- IBM Cost of a Data Breach Report 2023 link
- GDPR testo consolidato articolo 20 portabilità link
- Linee guida su portabilità dati gruppo di lavoro articolo 29 riconosciute dall EDPB link
- HR Open Standards organizzazione e specifiche link
- IETF SCIM System for Cross domain Identity Management RFC 7643 link
- ENISA tecniche e buone pratiche di pseudonimizzazione link
Checklist tascabile per chiudere il progetto
- Dataset critici inventariati e classificati
- Mapping verso standard aperti definito e condiviso
- Export pilota riuscito con dati pseudonimizzati
- Accordi contrattuali su uscita e cancellazione firmati
- API e rate limit validati in sandbox
- Controlli di sicurezza e piani di rollback pronti
- Doppio esercizio completato con scostamenti entro le soglie
- Report finale con KPI e certificato di cancellazione archiviati