Il processo di ricerca e selezione del personale interno all’azienda (il cosiddetto recruiting), concerne tra le principali attività quella di analisi del curriculum vitae di ciascun candidato.
Tale documento, consiste in un concentrato di informazioni non solo strettamente afferenti al percorso professionale e di studi del soggetto, ma anche riferite alla persona in sé considerata quali, ad esempio, i suoi dati anagrafici o di contatto.
Tali dati identificativi devono senza dubbio essere ricompresi nella definizione di “dato personale” offerta ex art. 4, comma 1, n. 1, Regolamento (UE) 2016/679 (anche noto come GDPR)[1], con ciò che consegue nei termini degli adempimenti da porre in essere affinché venga garantita l’integrità, la riservatezza e il corretto trattamento delle informazioni sottoposte all’attenzione dell’azienda.
È innegabile, inoltre, come oltre ai dati anagrafici e di contatto, nel curriculum siano talvolta rinvenibili ulteriori informazioni relative all’individuo e che afferiscono alla sua sfera più privata, come ad esempio l’esistenza di particolari patologie o di provvedimenti giudiziari soggetti a iscrizione nel casellario giudiziale ai quali è sottoposto il soggetto. In queste ipotesi, occorre osservare come il curriculum non contenga soltanto dati personali “comuni”, ma altresì “dati particolari”, così come definiti dagli articoli 9 e 10 GDPR.
Indice degli argomenti
Recruiting e GDPR, il modello di informativa nella candidatura a una posizione aperta
In primo luogo, collocandoci nell’ipotesi di una candidatura a una posizione aperta, ossia relativa a un’offerta di lavoro pubblicata dall’azienda e alla quale sia possibile candidarsi – a prescindere che ciò avvenga tramite il conferimento di dati attraverso un form online, la registrazione alla piattaforma di recruiting, il caricamento del CV in una specifica area del sito web, etc. – è necessario che l’azienda medesima (nella sua qualità di titolare del trattamento) fornisca un apposito modello di informativa, redatto ai sensi dell’art. 13 GDPR. Dalla lettura del primo comma di quest’ultimo articolo si ricava come le informazioni relative al trattamento devono essere fornite all’interessato “nel momento in cui i dati personali sono ottenuti”, pertanto l’informativa dovrà essere rilasciata in via preliminare (es. in calce al form di raccolta; all’interno della piattaforma o dell’area del sito nella quale viene richiesto l’inserimento delle informazioni o il caricamento del CV), affinché il candidato possa implicitamente esercitare quel “diritto alla conoscibilità” a lui riconosciuto ex artt. 12 e seguenti GDPR, nonché che il trattamento avvenga sui binari della correttezza e trasparenza richiesti a norma dell’art. 5 della richiamata normativa europea.
L’informativa nella candidatura spontanea
Altra ipotesi è quella, all’opposto, della candidatura spontanea da parte del soggetto, ovvero il caso in cui sia quest’ultimo a trasmettere il proprio CV via mail o a consegnarlo brevi manu all’azienda. Anche in questo caso è previsto l’obbligo di fornire l’informativa al candidato, pur tuttavia con un diverso scarto temporale: mentre nel caso sopra esaminato ciò deve avvenire preliminarmente (o, al più tardi, al momento di raccolta dei curricula e dei dati personali ivi contenuti), in questa seconda ipotesi l’art. 111-bis del Codice privacy (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018) stabilisce come i contenuti di cui all’informativa privacy, “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo” (tale impostazione, invero, era già stata adottata attraverso le modifiche introdotte dal “Decreto Sviluppo” del 2011)[2].
L’azienda, pertanto, deve fornire apposita informativa ai soggetti richiedenti impiego “al momento del primo contatto utile” come, ad esempio, nella (eventuale) mail di risposta al candidato a seguito della ricezione telematica del suo curriculum (es. allegando direttamente l’informativa nel messaggio di risposta o trasmettendo il link dell’area privacy del sito internet aziendale nella quale è stata caricata).
Recruiting e Gdpr, la mancanza di autorizzazione al trattamento dei dati
Il comune denominatore, in entrambi i casi, è costituito dalla mancata necessità che all’interno del CV sia presente un’espressa autorizzazione al trattamento dei dati personali del soggetto. Non ci sentiamo, pertanto, di condividere l’interpretazione ancora offerta da taluni commentatori secondo cui sia precluso al recruiter il trattamento dei dati contenuti nel CV in assenza del consenso del candidato.
A indicarci come poter procedere è la lettura combinata del Codice privacy e del Regolamento europeo: l’art. 111-bis del Codice privacy, novellato ad opera del decreto legislativo 101/2018, esplicita come “nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”. La base giuridica citata nel presente articolo indica come lecito il trattamento laddove sia “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”[3].
La fattispecie dell’analisi del curriculum a seguito del suo inoltro spontaneo in azienda può decisamente farsi rientrare nelle “misure precontrattuali”, dato che le attività di trattamento connesse alla selezione sono volte a una eventuale e successiva assunzione del candidato, che avverrà tramite la stipula di un contratto di lavoro.
Dunque, ricapitolando, mentre non sarà necessaria un’esplicita autorizzazione da parte del candidato per permettere all’azienda di prendere in esame le informazioni contenute nel CV, sarà comunque indispensabile che quest’ultima fornisca al soggetto apposita informativa privacy, seppur con le differenziazioni “temporali” osservate in caso di candidatura aperta o spontanea.
Trattamento dati del CV, le indicazioni dell’art. 5 GDPR
In ogni caso, l’attività di recruiting dovrà rispettare altre indicazioni in merito al trattamento dei dati contenuti nei curricula, tra cui l’osservanza di tutti i principi di cui all’art. 5 GDPR.
In particolare, si osserva come deve essere stabilito un tempo di conservazione limitato dei CV o, comunque, che sia consentita l’identificazione dei candidati per un arco di tempo non superiore al conseguimento delle finalità del processo di selezione (“limitazione della conservazione”; art. 5, comma 1, lett. e), GDPR). Oltre che dannosa sotto il profilo della contrarietà al principio appena esposto, la conservazione dei CV per lunghi periodi di tempo o, peggio ancora, sine die, appare inutile anche alla luce dell’obsolescenza delle informazioni in esso riportate, non più attuali rispetto al profilo del candidato.
I dati, peraltro, devono risultare “esatti” e, se del caso, “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (“esattezza”; art. 5, comma 1, lett. d), GDPR).
Nel rispetto del principio di “minimizzazione” (art. 5, comma 1, lett. c), GDPR), nonché del principio di “privacy by default” (art. 25 GDPR), i dati trattati devono risultare “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Pertanto, nell’eventualità in cui l’azienda sia alla ricerca, ad esempio, di una figura che si occupa della parte contabile e amministrativa, la raccolta e la conservazione in archivio del CV del candidato pizzaiolo non pare essere propriamente pertinente all’attività di selezione e, come tale, si renderà opportuno prevedere la cancellazione o l’anonimizzazione dei dati personali del soggetto.
Anche quello dell’integrità e della riservatezza (art. 5, comma 1, lett. f), GDPR) è un principio con un valore fondamentale in ambito recruiting se si considera che, come accennato in apertura, nel curriculum sono presenti molti dati personali, anche “particolari”. Pertanto, in ottica di accountability (art. 24 GDPR) l’azienda, nella sua qualità di titolare del trattamento, deve garantire e dimostrare “la protezione [dei dati personali], mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Sotto questo profilo, particolare attenzione dovrà essere rivolta alla corretta conservazione delle informazioni inerenti ai candidati, da prevedere in appositi arredi dotati di serratura e in locali ben presidiati (in caso di curricula cartacei) o in cartelle specifiche all’interno del sistema informatico che siano accessibili al solo personale deputato a occuparsi del processo di selezione.
È molto importante, infatti – a prescindere che il trattamento abbia ad oggetto un CV su supporto cartaceo o informatico – che chiunque effettua le attività di trattamento sia autorizzato a farlo, a seguito di formale atto di nomina in cui vengano perimetrate le modalità del trattamento svolte dal recruiter. Parimenti, nel caso in cui le attività di selezione vengano esternalizzate a una società o a un soggetto al di fuori dell’organizzazione aziendale, occorrerà prevedere un apposito atto di nomina come responsabile ex art. 28 GDPR.
Tecniche di profilazione automatizzata
Infine, non possiamo non considerare, soprattutto per le aziende più strutturate, l’eventualità in cui il processo selettivo faccia ricorso a tecniche di profilazione automatizzata, all’utilizzo di chatbots durante il colloquio o di software per il riconoscimento emotivo, etc.. Come sottolineato nella Circolare n. 19 del Ministero del Lavoro e delle Politiche Sociali del 20 settembre 2022[4], in tali ipotesi, ovvero laddove il processo selettivo sia interamente rimesso “all’attività decisionale di sistemi automatizzati”[5], troverà applicazione l’art. 4, comma 1, lett. b) del “Decreto Trasparenza” (D. Lgs. 104/2022) con cui è stato introdotto il nuovo art. 1-bis all’interno del D. Lgs. 152/1997. Ciò si traduce – così come dettagliato in un precedente contributo[6], al quale si rinvia – in specifici obblighi informativi nei confronti dei candidati in ordine alle caratteristiche dei sistemi utilizzati, a obblighi di comunicazione in ambito sindacale, nonché a ulteriori obblighi in materia di protezione dei dati personali (tra i quali la redazione di apposita valutazione d’impatto ex art. 35 GDPR).
Note
[1] Per “dato personale”, ci si riferisce a “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
[2] Cfr. art. 6, comma 2, lett. a), n. 2, D.L. 70/2011, con cui era stato introdotto il comma 5-bis all’art. 13 (ora abrogato) del Codice privacy: “l’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve […]”.
[3] Con il citato art. 6, comma 2, lett. a), n. 2, D.L. 70/2011 era stata anche introdotta la lettera i-bis al primo comma dell’art. 24 (ora abrogato) del Codice privacy, che forniva l’elenco dei trattamenti che potevano essere effettuati anche senza consenso, specificando come questo non fosse necessario nei casi previsti dall’art. 13, comma 5-bis, Codice privacy, ossia per il trattamento dati contenuti nei curricola spontaneamente trasmessi.
[4] Cfr. par. 3 della Circolare.
[5] Nel recente aggiornamento introdotto ex art. 26, comma 2, lett. a) del “Decreto Lavoro” (D.L. 48/2023) i “sistemi decisionali o di monitoraggio automatizzati” devono intendersi circoscritti a quelli “integralmente automatizzati”. Occorre pertanto far riferimento ai sistemi totalmente automatizzati e non anche a quelli in cui l’automatismo, seppur presente e in misura preponderante rispetto alla componente umana, risulti soltanto parziale.
[6] www.agendadigitale.eu/cultura-digitale/sistemi-decisionali-e-di-monitoraggio-automatizzati-sul-luogo-di-lavoro-guida-pratica-alla-compliance/
