Automazione Oggi 456

SETTEMBRE 2024 AUTOMAZIONE OGGI 456 | 131 entrata in vigore del Regola- mento UE 2016/679 (General data protection regulation, di se- guito Gdpr) ha profondamente inciso sulla disciplina relativa alla protezione dei dati personali. Tra i momenti più delicati, in tal senso, vi è sicuramente il processo di selezione e ricerca del personale, che per sua stessa natura prevede la raccolta di numerosi dati perso- nali dei soggetti candidati. Esaminiamo qui i principali adempimenti che l’impresa è tenuta a rispettare per essere con- forme alla normativa privacy nel corso della fase di recruiting, distinguendo innanzitutto tra l’ipotesi di candidatura per una posizione aperta e l’ipotesi di candidatura spontanea. Per quanto riguarda la candidatura per una posizione aperta, questa avviene normal- mente online, attraverso l’utilizzo della piat- taforma di recruiting dell’azienda, oppure tramite Linkedin. In questa prima fase, risulta fondamentale informare preliminarmente il candidato delle modalità con cui i suoi dati personali verranno gestiti, tramite un’appo- sita informativa fornita allo stesso. Tale documento dovrà contenere necessaria- mente una serie di elementi: • identità e dati di contatto del titolare; • se presente, i dati di contatto dell’RDP-Re- sponsabile della Protezione dei Dati (ov- vero DPO-Data Protection Officer); • le finalità e la base giuridica del tratta- mento dei dati; • i legittimi interessi perseguiti dal tito- lare, nel caso in cui il trattamento si basi sull’art.6 par.1 lett.f Gdpr (‘liceità del trat- tamento’); • i destinatari o le categorie di destina- tari dei dati personali, ovvero le persone fisiche o giuridiche, gli organismi o le autorità pubbliche che ricevono la comu- nicazione dei dati personali; • l’intenzione del titolare di trasferire i dati a un Paese terzo o a una organizzazione internazionale; • il periodo di conservazione dei dati perso- nali, o i criteri per determinarlo; • il diritto dell’interessato di chiedere al tito- lare del trattamento l’accesso ai dati per- sonali e la rettifica o la cancellazione degli stessi, o la limitazione del trattamento dei dati personali che lo riguardano, o di op- porsi al loro trattamento, oltre al diritto alla portabilità dei dati; • nel caso in cui il trattamento sia basato sull’art.6 par.1 lett. a), oppure sull’art.9 par.2 lett. a) Gdpr (‘trattamento di ca- tegorie particolari di dati’), deve essere previsto il diritto da parte dell’interessato di revocare il consenso in qualsiasi mo- mento senza pregiudicare la liceità del trattamento, basata sul consenso prestato prima della revoca; • il diritto di proporre reclamo all’autorità di controllo, rappresentata in Italia dal Ga- rante per la Protezione dei dati personali; • l’esistenza di un processo decisionale au- tomatizzato, compresa la profilazione di cui all’art.22 del Gdpr (‘processo decisio- nale automatizzato relativo alle persone fisiche’), par.1 e 4, e, almeno in tali casi, informazioni significative sulla logica uti- lizzata, nonché l’importanza e le conse- guenze previste di tale trattamento per l’interessato. Si sottolinea come il consenso del candidato al trattamento dei dati contenuti nel CV sia superfluo, in quanto la base giuridica di tale trattamento la ritroviamo all’art.6 par.1 lett. b) Gdpr: “il trattamento è necessario all’ese- cuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrat- tuali adottate su richiesta dello stesso”. Per quanto riguarda l’ipotesi di candidatura spontanea, si seguono le regole esposte sopra, però con un’importante differenza: non è possibile informare preliminarmente il candidato della gestione dei suoi dati per- sonali. L’azienda, infatti, viene a conoscenza del soggetto interessato solamente nel mo- mento in cui egli invia il CV. L’informativa, quindi, sarà trasmessa al momento del primo contatto utile, per esempio come risposta alla email attraverso la quale il candidato invia il proprio CV, con allegata l’informativa sulla privacy. Tale obbligo è previsto e confermato dall’art.111-bis del Codice della Privacy (D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018) ai sensi del quale “nei casi di rice- zione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al mo- mento del primo contatto utile, successivo all’invio del curriculummedesimo”. Il processo di recruiting, in ogni caso, deve ri- spettare i principi contenuti nell’art.5 Gdpr (‘principi applicabili al trattamento dei dati personali’) nella gestione dei dati contenuti nel CV. Essenziale, in particolare, la defini- zione del periodo di conservazione dei dati, che non potrà essere superiore al consegui- mento delle finalità del processo di selezione. Un periodo di conservazione particolarmente lungopotrebbe risultare in verità inutile, se non dannoso, a causa dell’obsolescenza delle infor- mazioni contenute nel CV, che risulterebbero non più attuali rispetto al profilo del candidato. Ai sensi dell’art.5 par.1 lett. f) (‘integrità e ri- servatezza’) e dell’art.32 Gdpr (‘sicurezza del trattamento’), le informazioni contenute nei CV devono essere conservate in locali ben pre- sidiati, oppure in specifiche cartelle all’interno del sistema informatico, accessibili solamente al personale responsabile debitamente auto- rizzato. L’ Gestione del CV e protezione dei dati personali Cristiano Cominotto Studio legale A.L. Assistenza Legale @cristiano-cominotto AUTOMAZIONE OGGI AVVOCATO