Il trattamento dei dati personali del curriculum è uno step inevitabile del processo di ricerca e selezione del personale, in particolare nell’ambito della valutazione del candidato finalizzata all’organizzazione di un colloquio e dell’assunzione. Spesso ci si chiede, da un lato, in che modo debbano essere trattati i dati personali presenti nei cv da parte di coloro che lo ricevono e dall’altro lato se vi sono degli obblighi in capo ai candidati affinché la propria posizione venga valutata dal recruiter, ad esempio se è necessario inserire il proprio Consenso privacy nel curriculum.
A primo impatto sembra un argomento scontato e di facile gestione, ma così non è. Inevitabilmente l’analisi dei curriculum comporta la gestione di dati personali che devono essere trattati nel rispetto della normativa vigente in materia di data protection, la cui gestione non può essere lasciata al caso.
Questo articolo fornirà una guida dettagliata sulla tipologia di dati che possiamo trovare all’interno dei cv, sulle modalità di raccolta da parte dell’ente che effettua la selezione e sugli obblighi privacy in capo al candidato e all’ente stesso.
Privacy cv: quali dati personali sono presenti nei curriculum?
Il primo passo è quello di comprendere quale tipologia di dati è presente all’interno dei cv. Infatti, diverse sono le informazioni contenute al suo interno, come ad esempio la carriera professionale, l’istruzione, la formazione, ma anche i dati anagrafici e di contatto. Prima di entrare nel merito è opportuno ripassare la definizione di dato personale individuata dall’art. 4 par. 1 del GDPR: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
Quindi, quando si parla in generale di dati personali ci si riferisce sia alle informazioni che identificano direttamente una persona (nome, il cognome, il numero di telefono, l’indirizzo e-mail, il codice fiscale, la fotografia) sia quelle informazioni che, anche indirettamente, rendono possibile l’identificazione di una persona.
Il curriculum è quindi un vero e proprio contenitore di dati personali del candidato, i quali devono essere trattati nel rispetto della normativa vigente in materia di privacy. Infatti, nello specifico sono presenti numerose informazioni che consentono di identificare la persona del candidato e che quindi possono, sulla base della definizione del GDPR essere considerati dati personali.
I principali dati personali contenuti in un cv sono quelli identificativi e di contatto, ad esempio il nome; cognome; data di nascita; indirizzo di residenza; numero di telefono cellulare; indirizzo e-mail; ma anche la propria foto o informazioni relative al proprio percorso formativo e professionale.
Il curriculum vitae può inoltre contenere i cosiddetti dati particolari, ex art. 9 GDPR, (ex dati sensibili) che riguardano tutte le informazioni che possono rivelare questioni più private relative all’individuo, tra cui i dati relativi alla salute (es. appartenenza a categorie protette).
Informativa privacy curriculum: come gestirla
L’informativa è un documento rivolto alle persone fisiche di cui si raccolgono, trattano e conservano i dati (interessati) con la funzione di informarli sulle modalità e sulle finalità di trattamento dei propri dati personali. Il Titolare del trattamento, ogni qualvolta vi sia un trattamento di dati personali, deve fornire all’interessato un’idonea informativa ex art. 13 e 14 GDPR, volta a rappresentare le modalità con cui i suoi dati verranno trattati. L’informativa, in generale, deve essere resa prima dell’inizio del trattamento, quindi prima della raccolta dei dati.
Fornire l’informativa privacy è necessario anche per il trattamento del curriculum; essa deve contenere finalità e modalità di trattamento dei dati del soggetto che vuole concorrere alla selezione per una posizione lavorativa aperta.
In linea generale, le modalità di candidatura possono essere diverse. Il candidato, infatti, può rendere il proprio cv tramite candidatura spontanea, oppure candidandosi per un’offerta di lavoro pubblicata dall’azienda, tramite form on line, registrandosi sulla piattaforma di reclutamento oppure caricando il proprio cv in un’area specifica del sito web.
In entrambe le circostanze, sorge un medesimo obbligo in capo al recruiter, ovvero di fornire l’informativa al candidato, ma con tempi diversi.
Nel caso in cui il datore di lavoro pubblichi un annuncio online per segnalare l’apertura di una posizione, oppure la stessa sia presente ad esempio nella sezione “lavora con noi” nel sito web aziendale, l’informativa ex art. 13 deve essere subito disponibile all’interessato, ad esempio si può inserire un link di collegamento al testo dell’informativa sotto l’annuncio o sotto al form di inserimento dei dati personali nella sezione dedicata in modo che il candidato possa esercitare quel “diritto di essere informato” che gli è riconosciuto dall’articolo 12 e seguenti del GDPR.
Sorgono invece dei dubbi, circa il momento cui fornire l’informativa ex art. 13 GDPR, nel caso in cui il cv venga trasmesso dall’interessato spontaneamente al fine della instaurazione di un rapporto di lavoro. Al chiarire tale dubbio, interviene l’art. 111-bis del D.Lgs 196/2003, il quale stabilisce che l’informativa privacy deve essere fornita al momento del primo contatto utile, successivo all’invio del curriculum, per esempio nella e-mail di risposta al fine dell’organizzazione di un colloquio, oppure consegnata in formato cartaceo al primo colloquio con il candidato.
Autorizzazione al trattamento dei dati personali nei curriculum vitae
Un altro tema che merita attenzione riguarda la necessità o meno di dover esprimere il consenso per consentire all’azienda di eseguire il trattamento del curriculum.
Se si effettua una ricerca sul web, si trovano molti modelli standard di cv, nei quali è prevista una frase in calce relativa al consenso del trattamento dati dell’interessato. Ma non solo, anche nei più comuni social network o motori di ricerca rivolti al mondo del lavoro (es. Linkedin, Indeed ecc.) a pena l’esclusione dalla selezione, viene richiesto di inserire nel curriculum la dicitura “acconsento al trattamento dei miei dati personali contenuti in questo curriculum vitae”. Di fronte a tale richiesta, la maggior parte dei candidati si trova costretta, per timore di venire scartati durante il processo di selezione, ad autorizzare il trattamento dei propri dati.
Questa dicitura privacy nel curriculum è davvero legittima?
Ai sensi del GDPR il trattamento dei dati è legittimo solo se ricorre una delle basi giuridiche di cui all’art. 6.
Se si inerisce o si richiede l’autorizzazione al trattamento dei dati personali significa che implicitamente la base giuridica del trattamento è il consenso del candidato all’assunzione. In realtà per poter attribuire la corretta base giuridica è necessario effettuare delle valutazioni specifiche e analizzare la tipologia di trattamento.
Se esaminiamo il codice privacy, così come novellato dal Dlgs 101/2018, ci viene d’aiuto l’art. 111-bis il quale prevede che: “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”
Pertanto, la norma chiarisce che, se i dati personali sono utilizzati dal recruiter esclusivamente al fine di valutare l’idoneità del candidato alla posizione lavorativa per cui si è candidato, a seguito di candidatura spontanea, la base giuridica corretta del trattamento dei dati personali è l’esecuzione delle misure precontrattuali (art. 6, par. 1, lett. b GDPR) e non il consenso. Il candidato infatti invia la propria candidatura in una fase “precontrattuale” ad un’eventuale e successiva assunzione, la quale si costituirà con la stipula di un contratto di lavoro.
Oltretutto, il consenso ai sensi del GDPR è validamente prestato solo se è libero, specifico, inequivocabile e preceduto da un’idonea informativa.
Come abbiamo visto nel paragrafo precedente, nel caso di candidatura spontanea inviata dal candidato, l’informativa viene resa in un momento successivo alla sua candidatura, quindi al momento dell’invio della candidatura, il candidato non può conoscere come verranno trattati i suoi dati, per quanto tempo verranno conservati, se verranno o meno trasmessi a terzi. Ecco che la Dichiarazione privacy nel cv è in realtà una formula scorretta e superflua.
Consenso privacy curriculum: è necessario il consenso per il trattamento dei dati particolari nei cv?
Come noto, nei cv possono essere presenti anche categorie di dati particolari, come ad esempio l’appartenenza a categorie protette o disabilità. Con riferimento a tale tipologia di dati è necessario soffermarsi sulla base giuridica che giustifica il trattamento di tali dati.
Infatti, in questo caso non è possibile giustificare il trattamento con la base giuridica dell’esecuzione di misure precontrattuali, come invece utilizzato nel caso di cv contenenti solo dati comuni. Da questo punto di vista è possibile legittimare il trattamento di tali dati ai sensi dell’art. 9, par. 2, lett. b) del GDPR, il quale prevede che il trattamento di dati particolari è lecito se “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”. In alternativa è necessario che l’interessato presti il proprio consenso esplicito al trattamento di tali dati personali. Privacy curriculum vitae: il periodo di conservazione dei dati personali
Tempi di conservazione dei dati contenuti nei cv
Dopo aver esaminato quali sono i dati che possono essere presenti in un cv e quali sono gli obblighi imposti in capo ai recruiter/datori di lavoro per la gestione dei cv, soffermiamoci anche su un altro tema particolarmente ricorrente: per quanto tempo posso essere conservati i dati contenuti nei cv?
Sul punto emergono due interessi da tutelare. Da un lato c’è la necessità di tutelare l’interesse delle aziende ad avere un bacino di possibili candidati a cui attingere nel caso in cui si volesse inserire una nuova risorsa in azienda e dall’altro lato vi è la necessità di rispettare i principi imposti dalla normativa in materia di protezione dei dati personali.
Non esiste una norma specifica che ci indichi i tempi precisi di conservazione dei dati, ma diverse sono le indicazioni utili in tema di conservazione dei curriculum. Certamente prima di ogni altra valutazione è necessario partire dai principi sanciti dal GDPR. L’art. 5 disciplina il principio della limitazione della conservazione dei dati, secondo il quale i dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Rimane quindi in capo all’azienda che riceve i cv, l’onere di stabilire il termine di conservazione, applicando i principi del GDPR, tenendo conto delle possibili sanzioni privacy in cui è possibile incorrere in caso di violazione dei principi del GDPR.
Nello stabilire il tempo di conservazione bisognerà prendere in considerazione anche alcuni principi strettamente connessi: il principio di minimizzazione e il principio di esattezza. Secondo il principio di minimizzazione, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Di conseguenza, poiché i dati contenuti nei cv possono variare in maniera diversa nel tempo, la conservazione ad esempio dell’indirizzo e-mail del candidato potrebbe risultare necessaria per un determinato tempo, mentre invece la conservazione dei dati relativi al suo percorso formativo potrebbe essere necessario per tempo diverso e magari più lungo.
Secondo il principio di esattezza, invece, i dati personali devono essere “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
Ciò significa che, la conservazione dei cv deve essere accompagnata da un aggiornamento dei dati contenuti nei cv per garantire il requisito dell’esattezza. Ad esempio, possono cambiare la residenza e i dati di contatto del candidato, le informazioni relative al suo percorso professionale e formativo, ecc.
Anche il principio dell’integrità e della riservatezza (art. 5, comma 1, lett. f), GDPR) ha un valore fondamentale in ambito recruiting se si considera che, nel curriculum sono presenti molti dati personali, tra cui anche quelli particolari. Pertanto, l’azienda sulla base del principio di accountability dovrà garantire e dimostrare “la protezione dei dati personali, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
In definitiva, la conservazione dei cv per periodi di tempo estesi o, a tempo indeterminato, oltre a risultare poco utile, anche considerando l’obsolescenza delle informazioni contenute in essi, che non risulterebbero più aggiornate e attuali rispetto al profilo del candidato, sarebbe una violazione della normativa data protection.
Un tempo ragionevole potrebbe essere quello, ad esempio, di stabilire una durata massima di conservazione di 1 anno, alla luce dell’utilità di poter ricontattare un candidato con informazioni ancora aggiornate, decorso il tempo di conservazione stabilito i curriculum dovranno essere cancellati da coloro che sono autorizzati alla cancellazione degli stessi. Vanno però considerati i singoli casi specifici.
Trattamento dati personali nel curriculum da parte di soggetti terzi: agenzie di selezione, piattaforme di gestione dei cv, strumenti automatizzati
Il processo di selezione dei candidati può essere svolto da personale interno all’azienda oppure l’attività può essere esternalizzata a società e/o soggetti al di fuori dell’organizzazione aziendale, le cosiddette agenzie di selezione.
Nel primo caso chiunque, interno all’azienda, effettua le attività di trattamento deve essere autorizzato tramite atto formale in cui vengano perimetrate le modalità del trattamento svolte dal recruiter. Allo stesso modo, nel caso in cui le attività di ricerca e selezione vengano esternalizzate a una società o a un soggetto al di fuori dell’organizzazione aziendale, occorrerà verificare i casi specifici di autonoma titolarità oppure normare le attività di trattamento tramite un apposito atto di nomina come responsabile del trattamento ai sensi dell’art. 28 GDPR.
Anche l’impiego di piattaforme per la gestione delle candidature rende necessario l’inquadramento dei soggetti che le forniscono come responsabili del trattamento ai sensi dell’art. 28 del GDPR.
Inoltre, vi sono casi in cui il processo selettivo del candidato non viene demandato a un soggetto interno o esterno all’azienda, ma si ricorre a tecniche di profilazione automatizzata, all’utilizzo di chatbots durante il colloquio o all’utilizzo di software per il riconoscimento emotivo sui test psicoattitudinali etc.
In tutti questi casi, trova applicazione l’art. 4, comma 1, lett. b) del “Decreto Trasparenza” (D.lgs 104/2022), il quale impone degli specifici obblighi informativi nei confronti dei candidati in ordine alle caratteristiche dei sistemi utilizzati, ad obblighi di comunicazione in ambito sindacale, nonché a ulteriori obblighi in materia di protezione dei dati personali (tra i quali la redazione di apposita valutazione d’impatto ex art. 35 GDPR).
Formazione e procedure per la gestione dei candidati
Come abbiamo visto, la gestione dei candidati è un tema che solleva diversi dubbi e per nulla banale; pertanto, è necessario che le aziende si attivino per una formazione privacy mirata del proprio personale HR, in modo da sensibilizzarlo sulla delicatezza e rilevanza del tema, e al contempo si attivino per redigere delle procedure ad hoc che regolamentino il processo di selezione e la gestione successiva del candidato in modo da evitare di gestire il processo in modo scorretto e contrario alle norme vigenti in materia di trattamento di dati personali.
Sul fronte della compliance privacy aziendale, sarà necessario annotare correttamente il trattamento relativo alla selezione del personale all’interno del registro delle attività di trattamento e svolgere la valutazione dei rischi finalizzata all’adozione delle misure di sicurezza tecniche e organizzative adeguate.
