Trattamento dei dati personali contenuti nei CV: una breve guida per le aziende
Quando un candidato presenta la sua candidatura, affida all’azienda informazioni personali sensibili. Come azienda, è essenziale gestire questi dati con cura e rispetto, garantendo la conformità al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea. In questo articolo, esploreremo gli aspetti chiave del trattamento dei dati personali nelle candidature lavorative, i consensi necessari e i diritti dei candidati.
Quali dati personali contiene un CV?
I dati personali riferiscono a qualsiasi informazione che possa identificare una persona fisica, direttamente o indirettamente. L’articolo 4 del GDPR è chiarissimo sul punto: è un dato personale
“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.
Nel contesto delle candidature lavorative, i dati personali possono includere:
- informazioni di contatto (nome, email, numero di telefono, indirizzo, email);
- documenti di identità (carta d’identità, passaporto, patente di guida);
- esperienze lavorative e di studio;
- abilità e qualifiche;
- informazioni sulla salute (se rilevanti per il lavoro);
- precedenti penali (se richiesti per la posizione).
In pratica il curriculum vitae di un lavoratore contiene moltissimi dati personali e, di conseguenza, le aziende hanno l’obbligo di trattare tali dati secondo le previsioni del GDPR. Non solo: dati come quelli relativi alla salute (ad esempio se il lavoratore appartiene o meno alle categorie protette) sono classificati come dati sensibili. Il trattamento di questi dati deve avvenire in rispetto delle previsioni dell’art 9 del GDPR.
Le responsabilità dell’azienda
Come azienda, siete considerati un titolare del trattamento dei dati, responsabile della gestione appropriata dei dati personali. Il GDPR quindi impone il rispetto di una serie di principi, la cui applicazione deve trasparire nell’informativa privacy e, ovviamente, nella realtà dell’organizzazione aziendale:
- trasparenza:
informa chiaramente i candidati sul trattamento dei loro dati personali, compresi gli scopi, la base giuridica e il periodo di conservazione. - minimizzazione dei dati:
raccogli solo i dati personali necessari per il processo di selezione del personale. - sicurezza dei dati:
implementa misure tecniche e organizzative appropriate per proteggere i dati personali da accessi non autorizzati, perdita o distruzione. - conservazione dei dati:
stabilisci un periodo di conservazione dei dati personali, garantendo che non vengano conservati più a lungo del necessario.
Il datore di lavoro deve rispettare questi obblighi indipendentemente dal fatto che il lavoratore abbia inviato il proprio CV in formato cartaceo o digitale.
Le diverse modalità di candidatura e l’informativa privacy
Di base, un lavoratore può inviare la propria candidatura tramite più forme, ad esempio rendendo una candidatura spontanea così come rispondendo ad un’offerta di lavoro pubblicata online o, ancora, candidandosi in una piattaforma di recruitment o in una specifica area del sito web aziendale.
Nel caso della pubblicazione di annunci online, così come nel caso di invio della candidatura tramite il sito web aziendale, l’azienda ha l’obbligo di rendere disponibile l’informativa fin da subito, in consultazione prima che il lavoratore invii il proprio CV.
Diverso il caso in cui è l’interessato a candidarsi spontaneamente, senza che l’azienda abbia pubblicato alcun annuncio. In questo caso l’informativa privacy deve essere fornita al momento del primo contatto successivo all’invio del curriculum.
Il consenso al trattamento dei dati del CV è necessario?
La domanda, a questo punto, sorge spontanea: è necessario richiedere al lavoratore il consenso al trattamento dei dati contenuti nel CV?
Il GDPR impone che ogni trattamento, per essere legittimo, si basi su una delle basi giuridiche previste dall’art 6. E quale base giuridica fonda e legittima il trattamento dei dati contenuti nel CV? Sicuramente l’ “esecuzione delle misure precontrattuali”. Non il consenso.
L’invio di un curriculum vitae è infatti una forma di contatto che precede una eventuale assunzione, ovvero un possibile contratto di lavoro.
Il tema è ribadito anche dal nostro codice privacy, così come aggiornato alla luce del GDPR con il Dlsg 101/2018, che recita testualmente:
“Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”
Il trattamento dati del CV da parte di soggetti terzi
Caso molto comune è che l’azienda si rivolga a terzi per la selezione. Ad esempio quando l’azienda decide di avvalersi della mediazione delle agenzie interinale. In questo caso è necessario predisporre l’atto di nomina come responsabile del trattamento dei dati (art. 28 del GDPR). Ugualmente l’uso di piattaforme di incrocio di domanda e offerta di lavoro richiede la nomina a responsabile del trattamento dati ai soggetti terzi che forniscono il servizio.
Il trattamento dati del CV da parte di soggetti interni all’azienda
Nel caso invece che i dati del CV siano trattati da soggetti interni all’azienda, questi devono essere autorizzati con atto formale che imponga anche precisi limiti.
Infine ricordiamo che anche il trattamento dei dati per la selezione del personale va elencato nel registro delle attività di trattamento e sottoposto a DPIA.
Non sei sicuro che la tua azienda sia conforme al GDPR? Chiedi una valutazione gratuita