Diritto e Fisco | Articoli

Invio del CV: serve l’informativa privacy?

18 ottobre 2018


Invio del CV: serve l’informativa privacy?

> Diritto e Fisco Pubblicato il 18 ottobre 2018



Dallo scorso 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo relativo al trattamento dei dati personali. Le aziende stanno adeguando la loro documentazione alle nuove regole. Tra i trattamenti di dati di cui occorre preoccuparsi c’è, senza dubbio, la gestione dei CV inviati dagli aspiranti dipendenti.

L’entrata in vigore del nuovo Regolamento Europeo sulla privacy, meglio noto come GDPR ha messo in allarme aziende, enti e qualsiasi soggetto giuridico che viene a contatto con i dati personali. Ogni azienda, infatti, deve studiare a fondo se stessa ed individuare in quali processi aziendali si viene a produrre un trattamento di dati personali. Ogni volta che l’azienda tratta dati personali deve fornire al soggetto al quale quei dati si riferiscono una adeguata informativa su come verranno trattati i dati, come specificato dalla normativa. Ci sono dei casi in cui, però, è a dire poco difficile consegnare l’informativa ad un soggetto. In questi casi come ci si deve comportare? Uno dei casi problematici è, indubbiamente, l’invio del CV da parte di un aspirante dipendente. In questo caso ci si chiede: invio del cv, serve l’informativa privacy? Per rispondere a questa domanda è bene fare un passo indietro e chiederci quando un’azienda deve adeguarsi al GDPR e cosa significa fornire una adeguata informativa al soggetto cui si riferiscono i dati personali trattati.

Quando sorge l’obbligo di adeguarsi al GDPR?

Il GDPR [1], così come il vecchio Codice Privacy [2] che, occorre ricordare, non è stato abrogato con l’avvento del GDPR ma è stato recentemente modificato con l’obiettivo di abrogare le norme contrastanti con il GDPR e armonizzare il suo contenuto a quello del Regolamento Europeo, prevede che tutti i soggetti che trattano dati personali devono farlo seguendo le regole previste nel GDPR stesso. È dunque importante sapere che per dato personale si intende qualsiasi informazione che identifica o rende identificabile, direttamente o indirettamente, una persona. È un dato personale, ad esempio, il nome ed il cognome, la data di nascita, il codice fiscale, etc.

Il trattamento di dati è qualsiasi attività con cui un soggetto tratta i dati di una persona.

Il trattamento si ha ogni volta in cui c’è raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione di dati. Il GDPR impone a chi tratta i dati di rispettare una serie di regole tra cui il fondamentale obbligo di fornire all’interessato e, cioè, alla persona alla quale il dato si riferisce, l’informativa privacy.

Quando un individuo invia il proprio CV ad un’azienda perché vuole candidarsi a lavorare presso quella società, si realizza un trattamento di dati personali.

Nel CV, infatti, sono presenti numerosi dati personali del soggetto e, in particolare:

  • i dati identificativi (nome, cognome, data di nascita, indirizzo di residenza, recapito telefonico, indirizzo mail, etc.);
  • i dati relativi al proprio percorso di formazione;
  • i dati relativi al proprio percorso professionale;
  • le attitudini, le competenze professionali, gli hobby.

Inoltre, essendo il CV confezionato liberamente dall’aspirante dipendente, lo stesso potrebbe inserire nel testo del curriculum anche i dati particolari, ossia quei dati che rivelano l’orientamento sessuale, l’appartenenza politica e sindacale, l’etnia, lo stato di salute, etc. Nel momento in cui il dipendente della società addetto alla gestione della casella e-mail apre il CV del candidato si pone in essere un trattamento dei dati e, come regola generale, l’azienda dovrebbe fornire al candidato l’informativa privacy che, come vedremo, deve essere consegnata ogni qualvolta si pone in essere un trattamento di dati personali.

Che cos’è l’informativa privacy?

L’informativa privacy è un documento nel quale il soggetto che tratta i dati (che il GDPR definisce “titolare del trattamento”) fornisce tutta una serie di informazioni alla persona alla quale il dato si riferisce (che il GDPR definisce “interessato”) sul trattamento dei dati. Gli dice, in sostanza, chi è il soggetto che tratta i dati, per quali scopi li tratta, per quanto tempo li tratta, con quali modalità li tratta e cosa può fare per opporsi al trattamento [3].

Uno dei trattamenti di dati più diffusi per le aziende è proprio quello relativo ai dati dei dipendenti e degli aspiranti dipendenti. Il motivo è semplice. Praticamente tutte le aziende hanno almeno un dipendente e fanno recruiting.

Cosa deve contenere l’informativa privacy?

In base alle disposizioni del GDPR e del Codice Privacy, l’informativa privacy dovrebbe contenere le seguenti informazioni:

a) l’identità e i dati di contatto dell’azienda (ovvero del titolare del trattamento in base alla terminologia del GDPR);

b) i dati di contatto del responsabile della protezione dei dati (detto anche DPO- Data protection Officer), ove applicabile. Il responsabile della protezione dei dati è un professionista che l’azienda nomina e che osserva, valuta e dà consulenza sulla protezione dei dati. Non è obbligatorio per tutte le aziende ma se c’è deve essere comunicato nell’informativa;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

e) se i dati personali vengono comunicati ad altri, ad esempio al consulente del lavoro che elabora le paghe, si devono indicare gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) se l’azienda intende trasferire i dati personali a un paese terzo o a un’organizzazione internazionale questa intenzione deve essere indicata. Se il trasferimento avviene in un paese esterno all’Unione Europea l’azienda deve dire se la commissione europea ha valutato che questo paese dà opportune garanzie per la protezione dei dati e quali misure di sicurezza vengono adottate.

g) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

h) l’azienda deve far sapere all’interessato che ha diritto a chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) il diritto dell’interessato di proporre reclamo al Garante della Privacy;

e) l’azienda dovrà far presente se il conferimento dei dati è obbligatorio o facoltativo;

f) l’esistenza di un processo decisionale automatizzato.

Va consegnata l’informativa al candidato che invia il suo CV?

Il caso dell’aspirante dipendente che invia il suo CV alla casella e-mail aziendale è senza dubbio un caso particolare. In questa fattispecie, infatti, non è l’azienda a raccogliere volontariamente i dati dell’individuo ma è quest’ultimo che, per il proprio legittimo interesse di essere assunto, porta l’azienda a trattare i suoi dati. La legge si è resa conto della particolarità del caso e prevede, dunque, una eccezione alla regola che abbiamo visto sopra secondo la quale, prima di effettuare il trattamento dei dati, il titolare deve rendere all’interessato adeguata informativa.

Il Decreto di adeguamento del Codice Privacy al GDPR, entrato in vigore il 19 settembre 2018, prevede che, nel caso di invio spontaneo di CV da parte di un candidato, l’informativa privacy possa essere fornita dall’azienda all’aspirante dipendente al momento del primo contatto utile, successivo all’invio del curriculum medesimo [4].

In sostanza, se l’azienda deciderà di cestinare quel CV perché reputa il profilo professionale del candidato non interessante o perché è al completo e non ha bisogno di reclutare nuovo personale, non dovrà fornire alcuna informativa privacy al mittente. Se, invece, l’azienda decide di conoscere di persona il candidato e gli fissa un colloquio, all’inizio dell’incontro dovrà consegnargli l’informativa privacy, con tutti gli elementi ed i contenuti che abbiamo visto sopra.

La legge specifica anche che il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.

L’azienda, quindi, non dovrà far firmare ai candidati il consenso al trattamento dei dati personali perché il trattamento dei dati si basa su una diversa base giuridica ed il consenso è espressamente escluso dalla legge.

Per quanto tempo posso conservare i CV?

Un altro aspetto molto importante per garantire all’azienda il rispetto della normativa privacy è l’indicazione, nell’informativa privacy al candidato, dei tempi di conservazione dei dati personali o, in alternativa, dei criteri in base ai quali verranno stabiliti i tempi di conservazione dei dati. L’azienda, infatti, può avere interesse a mantenere, per un certo periodo di tempo, i CV inviati in una banca dati così da poter contattare i candidati quando si presenta l’opportunità, ad esempio perché un posto rimane vacante.

Il Garante Privacy ha, tuttavia, stabilito che il tempo di conservazione dei CV deve essere breve. Si consiglia, dunque, di non conservare i CV inviati per un periodo superiore ad un anno. Oltre che dal rispetto della privacy, questo accorgimento deriva anche dal fatto che la storia professionale delle persona muta rapidamente e, dopo un anno, il CV potrebbe essere desueto e non dare conto di nuovi ed ulteriori sviluppi relativi al percorso di formazione e professionale del soggetto.

note

[1] GDPR n. 2016/679.

[2] D. Lgs. n. 196/2003.

[3] Artt. 13 e 14 GDPR n. 2016/679.

[4] Art. 111-bis D. Lgs. n. 196/2003.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI