Ricerca di personale secondo il GDPR

L'attività di ricerca e scelta dei candidati all'interno dell'azienda non può ignorare un approccio corretto riguardo alla protezione dei dati personali. Esaminiamo come strutturare il processo di selezione dei candidati alla luce del GDPR.

Il processo di ricerca e selezione del personale all'interno dell'azienda (comunemente noto come recruiting) include principalmente l'analisi del curriculum vitae di ogni candidato.

Questo documento contiene una serie di informazioni non solo legate alla carriera professionale e all'istruzione dell'individuo, ma anche a dati personali come, ad esempio, dati anagrafici e di contatto.

Questi dati identificativi devono sicuramente essere inclusi nella definizione di “dato personale” offerta ex art. 4, comma 1, n. 1,Regolamento (UE) 2016/679 (anche noto come GDPR). Di conseguenza, si devono adottare misure appropriate per garantire che l'integrità, la riservatezza e il trattamento corretto delle informazioni siano rispettati nell'ambito dell'attenzione aziendale.

Non si può negare che, oltre alle informazioni anagrafiche e di contatto, nel curriculum possono talvolta essere trovate ulteriori informazioni riguardanti l'individuo, che riguardano aspetti più personali della sua vita, come ad esempio la presenza di specifiche malattie o di misure giudiziarie registrate nel suo casellario giudiziale. In questi casi, è importante notare come il curriculum non contenga solo dati personali “comuni”, ma altresì “dati particolari”, come definito dagli articoli 9 e 10del GDPR.

Recruiting e GDPR, il modello di informativa nella candidatura a una posizione aperta

Prima di tutto, se stiamo prendendo in considerazione l'ipotesi di candidature per una posizione offerta, cioè un'offerta di lavoro pubblicata dall'azienda in cui è possibile candidarsi - indipendentemente dal fatto che ciò avvenga tramite l'invio di dati mediante un modulo online, registrandosi sulla piattaforma di reclutamento, caricando il proprio CV in un’area specifica del sito web, ecc.- è necessario che l'azienda stessa (nel suo ruolo di Titolare del trattamento dati) fornisca un modello apposito di informativa, redatto secondo l'art. 13 del GDPR. La lettura del primo comma di quest'ultimo articolo rivela che le informazioni relative al trattamento dei dati dovrebbero essere fornite all'individuo "nel momento in cui i dati personali sono ottenuti". Pertanto, l'informativa deve essere presentata in anticipo (per esempio, alla fine del formulario di raccolta, all'interno della piattaforma o dell'area del sito web in cui vengono richieste le informazioni o il caricamento del CV) in modo che il candidato possa esercitare quel "diritto di essere informato" che gli è riconosciuto dall'articolo 12 e seguenti del GDPR, e che il trattamento dei dati avvenga nel rispetto dei principi di correttezza e trasparenza richiesti dall'articolo 5della stessa normativa europea.

L'informativa sulla privacy nella tua candidatura spontanea

Un'altra possibilità è l'opposto di quello fino ad ora esaminato, ovvero il candidato che si propone autonomamente, inviando il proprio CV via e-mail o consegnandolo di persona all'azienda. Anche in questo scenario, l'obbligo di fornire le informazioni al candidato rimane, sebbene con una differente tempistica: mentre nel caso precedente, il candidato deve essere in formato in anticipo (o, al più tardi, al momento del ricevimento del CV e dei dati personali in esso contenuti), in questa seconda ipotesi l'art. 111-bis del Codice privacy (D. Lgs. 196/2003, come modificato dal D. Lgs. 101/2018)stabilisce che le informazioni sulla privacy, “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo” (questa impostazione era già stata adottata con le modifiche introdotte dal "Decreto Sviluppo" del 2011).

Pertanto, l'impresa è tenuta a fornire un'informativa adeguata ai candidati "al primo contatto utile", come ad esempio, in una possibile email di risposta al candidato dopo aver ottenuto il suo curriculum attraverso mezzi telematici (per esempio, allegando l'informativa direttamente nel messaggio di risposta o inviando il link dell'area privacy del sito internet dell'azienda dove è stata caricata l'informativa).

Recruiting e Gdpr, la mancanza di autorizzazione al trattamento dei dati

Il fattore comune, in entrambi i casi, è l'assenza di bisogno di un'autorizzazione esplicita per il trattamento dei dati personali del soggetto all'interno del CV. Quindi, non concordiamo con l'interpretazione che suggerisce che sia vietato al recruiter il trattamento dei dati inseriti nel CV senza il consenso del candidato.

La guida su come procedere proviene dalle indicazioni combinate del Codice della privacy e del Regolamento europeo: l'art. 111-bisdel Codice della privacy, modificato dal decreto legislativo 101/2018,chiarisce che “nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”. La base legale menzionata in questo articolo suggerisce che il trattamento è legittimo laddove è “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.

L'atto di analizzare un curriculum ricevuto spontaneamente da un'azienda può essere chiaramente considerato tra le "misure precontrattuali", poiché le attività di elaborazione associate alla selezione mirano a una possibile assunzione futura del candidato, che avverrà attraverso la firma di un contratto di lavoro.

Quindi, per riassumere, non sarà richiesto il consenso esplicito del candidato per consentire all'azienda di esaminare le informazioni nel CV, ma sarà comunque fondamentale che quest'ultima fornisca all'individuo un'informativa sulla privacy adeguata, anche con le variazioni "temporali" osservate in caso di candidatura aperta o spontanea.

Proteggere i dati personali nel curriculum vitae: l'art.5 GDPR

In ogni situazione, l'attività di reclutamento dovrà seguire ulteriori direttive relative al trattamento dei dati presenti nei curriculum vitae, compreso l'adempimento di tutti i principi citati nell'articolo 5 del GDPR.

In particolare, si nota che dovrebbe essere impostato un periodo di conservazione limitato per i CV o, in alternativa, che dovrebbe essere permessa l'identificazione dei candidati per un periodo di tempo non superiore a quello necessario per il raggiungimento degli obiettivi del processo di selezione ("limitazione della conservazione"; art. 5, comma1, lettera e), GDPR). Oltre ad essere dannoso in termini di contraddizione con il principio appena menzionato, la conservazione dei CV per periodi di tempo estesi o, peggio ancora, a tempo indeterminato, sembra inutile anche considerando l'obsolescenza delle informazioni contenute in essi, che non sono più attuali rispetto al profilo del candidato.

I dati, inoltre, devono essere "esatti" e, se necessario, “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (“esattezza”; art. 5, comma 1, lett. d), GDPR)

Nell'osservanza del principio di "minimizzazione"(art. 5, comma 1, lett. c), GDPR) e del principio di "privacy by default" (art. 25 GDPR), i dati gestiti devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Quindi, nel caso in cui l'impresa stia cercando, per esempio, un contabile e amministrativo, la raccolta e l'archiviazione del CV di un candidato pizzaiolo non sembra essere rilevante per il processo di selezione e, di conseguenza, sarà opportuno considerare l'eliminazione o l'anonimizzazione dei dati personali del candidato.

Anche il principio dell'integrità e della privacy (articolo5, comma 1, lettera f, GDPR) ha un ruolo fondamentale nel reclutamento, considerando che, come accennato in precedenza, il curriculum contiene molte informazioni personali, includendo quelle "particolari". Pertanto, dal punto di vista della responsabilità (articolo 24 GDPR), l'azienda, in qualità di Titolare del trattamento dei dati, deve assicurare e dimostrare “la protezione [dei dati personali], mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. In questo contesto, sarà necessario porre particolare attenzione alla corretta conservazione delle informazioni relative ai candidati, che devono essere custodite in specifici contenitori dotati di serratura e in spazi adeguatamente sorvegliati (in caso di curriculum informato cartaceo) o in specifiche cartelle all'interno del sistema informatico che siano accessibili solo al personale incaricato del processo di selezione.

È fondamentale - sia che si tratti di un CV cartaceo o digitale - che chiunque svolga le operazioni di gestione sia autorizzato a farlo, in seguito a un formale incarico in cui vengono definite le modalità digestione svolte dal reclutatore. Allo stesso modo, nel caso in cui le operazioni di selezione siano delegate a un'azienda o a un individuo esterno all'organizzazione aziendale, sarà necessario prevedere un incarico specifico come responsabile secondo l'art. 28 del GDPR.

Tecniche di profilazione automatizzata

Infine, dobbiamo tener conto, particolarmente per le imprese più strutturate, di situazioni nelle quali il processo di selezione possa avvalersi di tecniche di profilazione automatizzata, uso di chatbot durante l'intervista o di software per il riconoscimento delle emozioni, ecc. Come evidenziato nella Circolare n. 19 del Ministero del Lavoro e delle Politiche Sociali del 20 settembre 2022, in tali circostanze, ossia quando il processo di selezione sia totalmente affidato “all’attività decisionale di sistemi automatizzati” , troverà applicazione l’art. 4, comma 1, lett. b) del “Decreto Trasparenza” (D. Lgs. 104/2022) che ha introdotto il nuovo art. 1-bis nel D. Lgs. 152/1997. Questo si traduce in specifici obblighi informativi per i candidati riguardanti le caratteristiche dei sistemi usati, obblighi di comunicazione in campo sindacale, così come ulteriori obblighi riguardanti la tutela dei dati personali, tra cui la redazione di una valutazione d'impatto specifica ex art. 35 GDPR.

Sei interessato al mondo della privacy e/o cerchi una consulenza? Visita la nostra pagina Consulenza Privacy GDPR

‍