L’entrata in vigore del Regolamento UE 2016/679 (General data protection regulation, di seguito Gdpr) ha profondamente inciso sulla disciplina relativa alla protezione dei dati personali. Tra i momenti più delicati, in tal senso, vi è sicuramente il processo di selezione e ricerca del personale, che per sua stessa natura prevede la raccolta di numerosi dati personali dei soggetti candidati. Esaminiamo qui i principali adempimenti che l’impresa è tenuta a rispettare per essere conforme alla normativa privacy nel corso della fase di recruiting, distinguendo innanzitutto tra l’ipotesi di candidatura per una posizione aperta e l’ipotesi di candidatura spontanea. Per quanto riguarda la candidatura per una posizione aperta, questa avviene normalmente online, attraverso l’utilizzo della piattaforma di recruiting dell’azienda, oppure tramite Linkedin. In questa prima fase, risulta fondamentale informare preliminarmente il candidato delle modalità con cui i suoi dati personali verranno gestiti, tramite un’apposita informativa fornita allo stesso. Tale documento dovrà contenere necessariamente una serie di elementi: • identità e dati di contatto del titolare; • se presente, i dati di contatto dell’RDP-Responsabile della Protezione dei Dati (ovvero DPO-Data Protection Officer); • le finalità e la base giuridica del trattamento dei dati; • i legittimi interessi perseguiti dal titolare, nel caso in cui il trattamento si basi sull’art.6 par.1 lett.f Gdpr (‘liceità del trattamento’); • i destinatari o le categorie di destinatari dei dati personali, ovvero le persone fisiche o giuridiche, gli organismi o le autorità pubbliche che ricevono la comunicazione dei dati personali; • l’intenzione del titolare di trasferire i dati a un Paese terzo o a una organizzazione internazionale; • il periodo di conservazione dei dati personali, o i criteri per determinarlo; • il diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi, o la limitazione del trattamento dei dati personali che lo riguardano, o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; • nel caso in cui il trattamento sia basato sull’art.6 par.1 lett. a), oppure sull’art.9 par.2 lett. a) Gdpr (‘trattamento di categorie particolari di dati’), deve essere previsto il diritto da parte dell’interessato di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento, basata sul consenso prestato prima della revoca; • il diritto di proporre reclamo all’autorità di controllo, rappresentata in Italia dal Garante per la Protezione dei dati personali; • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’art.22 del Gdpr (‘processo decisionale automatizzato relativo alle persone fisiche’), par.1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Si sottolinea come il consenso del candidato al trattamento dei dati contenuti nel CV sia superfluo, in quanto la base giuridica di tale trattamento la ritroviamo all’art.6 par.1 lett. b) Gdpr: “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”. Per quanto riguarda l’ipotesi di candidatura spontanea, si seguono le regole esposte sopra, però con un’importante differenza: non è possibile informare preliminarmente il candidato della gestione dei suoi dati personali. L’azienda, infatti, viene a conoscenza del soggetto interessato solamente nel momento in cui egli invia il CV. L’informativa, quindi, sarà trasmessa al momento del primo contatto utile, per esempio come risposta alla email attraverso la quale il candidato invia il proprio CV, con allegata l’informativa sulla privacy. Tale obbligo è previsto e confermato dall’art.111-bis del Codice della Privacy (D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018) ai sensi del quale “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo”. Il processo di recruiting, in ogni caso, deve rispettare i principi contenuti nell’art.5 Gdpr (‘principi applicabili al trattamento dei dati personali’) nella gestione dei dati contenuti nel CV. Essenziale, in particolare, la definizione del periodo di conservazione dei dati, che non potrà essere superiore al conseguimento delle finalità del processo di selezione. Un periodo di conservazione particolarmente lungo potrebbe risultare in verità inutile, se non dannoso, a causa dell’obsolescenza delle informazioni contenute nel CV, che risulterebbero non più attuali rispetto al profilo del candidato. Ai sensi dell’art.5 par.1 lett. f) (‘integrità e riservatezza’) e dell’art.32 Gdpr (‘sicurezza del trattamento’), le informazioni contenute nei CV devono essere conservate in locali ben presidiati, oppure in specifiche cartelle all’interno del sistema informatico, accessibili solamente al personale responsabile debitamente autorizzato.