Il GDPR si rivolge a tutte le aziende europee che trattano dati personali appartenenti a persone fisiche. La normativa ha interessato tutte le aree aziendali ma quella sulla quale si è avvertito un maggior impatto è la funzione delle Risorse Umane (di seguito anche HR). Tale dipartimento, infatti, svolgendo prettamente funzioni di “recruitment” (reclutamento) raccoglie, tratta e detiene una considerevole quantità di dati personali dei candidati.
Le aziende devono quindi porre in essere una serie di adempimenti per garantire che il trattamento dei dati personali avvenga in osservanza delle disposizioni del GDPR, per non incorrere in ingenti sanzioni.
La fase in cui una società seleziona nuove risorse è caratterizzata dalla raccolta di curricula dai quali si evincono diversi dati personali dei candidati seguita in genere da una fase di colloqui. Queste operazioni rientrano in piena regola nella definizione di trattamento di cui all’art 4, p.to 2, GDPR.
I tradizionali processi di raccolta, utilizzo e conservazione delle informazioni degli aspiranti dipendenti devono essere quindi rivisti alla luce della nuova normativa sulla protezione dei dati. Qui di seguito gli aspetti più rilevanti.
Consenso
Il trattamento dei dati per essere lecito, ai sensi dell’art. 6 GDPR, deve essere sempre sorretto da una base giuridica. Quelle più comuni nel recruitment sono il legittimo interesse del titolare del trattamento ed il consenso dell’interessato.
Da tale considerazione si desume che il consenso al trattamento, in presenza di altra condizione di liceità, non è indispensabile al reclutamento di personale, salvo che il trattamento non verta su dati sensibili (“dati particolari”) per il quali invece è sempre richiesto. Il consenso sarà altresì necessario nei casi in cui i dati raccolti siano oggetto di trattamenti automatizzati (inclusa la profilazione).
Con l’entrata in vigore del D.Lgs 101/2018 (che novella il vecchio codice Privacy D.Lgs 196/2003) all’art 111-bis si dispone che “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”
Questa disposizione rubricata “Informazioni in caso di ricezione di curriculum” stabilisce che nei casi in cui la candidatura avvenga in maniera spontanea il consenso non è dovuto poiché in questo caso il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Si precisa che qualora un soggetto si candidi volontariamente ad una determinata posizione i suoi dati potranno essere trattati solo con riferimento a tale posizione. Diversamente nel caso in cui il candidato fosse ritenuto idoneo a svolgere altro ruolo, i responsabili delle HR dovranno raccogliere un consenso ad hoc.
Nella prassi, l’azienda che cerca personale da assumere, in qualità di titolare del trattamento, prima di procedere alla raccolta di tali dati informa i candidati e raccoglie il loro consenso (quando dovuto). [Generalmente, per un eccesso di garantismo le aziende tendono a richiederlo sempre, con i pro e i contro che logicamente ne conseguono.]
Il consenso per essere valido deve possedere determinati requisiti. Deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Da questa definizione si desume che:
– per la manifestazione del consenso non è richiesta una forma particolare purché sia evidente e chiara; è di tutta evidenza però che il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento;
– il consenso deve essere legato ad una precisa finalità: i dati raccolti infatti possono essere impiegati unicamente per le finalità e per i trattamenti per i quali il candidato lo ha prestato;
– il candidato deve essere informato su tutto ciò che riguarda i propri dati dalla raccolta (quali dati raccolti?), al trattamento (quali finalità?) e alla conservazione (quanto tempo restano in archivio?) e deve avere contezza dei propri diritti. Per garantire tale trasparenza le aziende (i recruiter in particolare) devono fornire all’interessato una informativa sulla privacy (“privacy policy”).
Informativa sulla privacy
L’art. 13 del Regolamento europeo prevede che le aziende forniscano agli interessati tutte le informazioni relative all’intero ciclo di vita dei dati personali raccolti (cd. “privacy policy” ovvero informativa sulla privacy). Tale adempimento ha la funzione di garantire i principi di legittimità, correttezza e trasparenza.
Il già citato art. 111-bis del Codice novellato stabilisce che l’informativa deve essere resa al candidato successivamente all’invio dei curricula trasmessi spontaneamente, ovvero al primo contatto utile.
La privacy policy deve essere facilmente accessibile, solitamente le HR la inseriscono direttamente sull’annuncio lavorativo, o comunque rimandano alla sezione in cui poterla consultare.
Più dettagliata sarà l’informativa meno saranno le possibilità per le aziende di incorrere in sanzioni, poiché con le policies si è in grado di assicurare conformità al nuovo Regolamento.
Conservazione dei dati
Quanto alla “Data Retention” (ovvero la conservazione dei dati), il GDPR precisa che il tempo di archivio dei dati raccolti non può essere indeterminato, deve sempre essere definito nella informativa. Tuttavia non prescrive un periodo massimo. A tale riguardo è bene sottolineare che l’art.11, comma 1, lett. e) del Codice della Privacy dispone che i dati personali oggetto di trattamento devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati.
Ciò detto, se il titolare del trattamento conserva i dati oltre un periodo “congruo” dovrà poi dimostrare la necessità per la quale si è protratto il trattamento. In ogni caso, per scongiurare ipotetiche sanzioni, tale prolungamento temporale deve essere comunicato e giustificato al candidato e da quest’ultimo accordato.
L’azienda, pertanto una volta soddisfatto ed esaurito lo scopo della raccolta, è tenuta ad eliminare tutti i dati.
Diritti
Il GDPR garantisce ai cittadini europei una serie di vantaggi oltre ad un ventaglio di diritti di cui erano sprovvisti in passato. In particolare, il candidato potrà esercitare il:
- Diritto di REVOCA (art. 7 GDPR): il candidato può, in ogni momento e senza impedimenti, richiedere la revoca del consenso prestato, utilizzando, quando possibile, gli stessi canali utilizzati per fornirlo. Il titolare, quindi, ha l’obbligo di cancellare o anonimizzare i dati, salvo che il trattamento sia fondato su altra base giuridica.
- Diritto di ACCESSO (art. 15 GDPR): il candidato può, in ogni momento, richiedere di prendere visione dei propri dati in possesso dal recruiter, il quale deve rispondere entro un mese dalla richiesta.
- Diritto di RETTIFICA (art. 16 GDPR): il candidato può, in ogni momento, richiedere che i dati forniti siano corretti o modificati e tale operazione deve avvenire entro un mese dalla richiesta; è opportuno pertanto che le aziende tengano i dati in costante aggiornamento.
- Diritto alla CANCELLAZIONE (“Diritto all’OBLIO” art 17 GDPR): il candidato può, in ogni momento, richiedere la cancellazione dei propri dati e tale operazione deve avvenire entro un mese dalla richiesta;
- Diritto di LIMITAZIONE (art. 18 GDPR): il candidato può, in ogni momento, richiedere che il trattamento sia limitato (o addirittura bloccato) in presenza di determinate condizioni. La limitazione può essere revocata ma prima che la revoca sia efficace il titolare del trattamento deve avvisare l’interessato.
- Diritto alla PORTABILITA’ dei dati (art. 20 GDPR): il candidato può, in ogni momento, richiedere un file contenente tutti i suoi dati in possesso dal recruiter, il quale deve rispondere “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”.
- Diritto di OPPOSIZIONE (art. 21 GDPR): Il candidato può, in ogni momento, opporsi, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali, salvo un interesse legittimo del titolare del trattamento (da questi dimostrato). Diversamente dovrà astenersi da ulteriori trattamenti.
Garanzie
Data Breach. Le aziende devono adottare tutte le misure necessarie per scongiurare una possibile violazione dei dati personali degli interessati. Possono realizzarsi violazioni (“data breach”) della riservatezza (es. violazione della privacy), della disponibilità (es. furto, perdita) ma anche della integrità (es. alterazione) delle informazioni in possesso dalle HR.
In ogni caso tali incidenti devono essere segnalati all’Autorità Garante entro 72 ore dalla loro scoperta, come prescritto all’art 33 GDPR.
La notifica della notizia al Garante può essere accompagnata dalla comunicazione ai soggetti interessati (ex art. 34 GDPR) qualora la violazione sia suscettibile di presentare un rischio elevato per i loro diritti e libertà fondamentali. Nei casi di urgenza non si esclude che quest’ultima preceda quella all’autorità.
Tale adempimento deve essere fatto, previa valutazione del rischio, nel più breve tempo possibile e senza ingiustificato ritardo, al fine di consentire agli interessati di adottare tutte le misure per salvaguardare i propri diritti e interessi.
Il WP29 (ora EDPB) suggerisce di tenere in considerazione diversi fattori nella valutazione del rischio tra cui il tipo di violazione, la natura, la gravità, il volume di dati personali, la facilità di identificazione degli interessati, le caratteristiche particolari degli interessati o del titolare e il numero di persone interessati coinvolti.
Qualora l’autorità di controllo ravvisi una probabilità che la violazione dei dati personali presenti un rischio elevato può imporre la comunicazione agli interessati.
Accesso di terzi. Ai dati del candidato possono avere accesso solo i soggetti da questo autorizzati. Le aziende devono garantire la protezione delle informazioni dell’interessato, nel rispetto dei principi riservatezza ed integrità.
A tal fine, il titolare del trattamento, per garantire la massima sicurezza dei dati raccolti, con particolare riguardo a quelli sensibili, deve adottare misure organizzative e tecnologiche adeguate. L’autenticazione su più livelli e la crittografia sono le soluzioni più impiegate.
Responsabilità
La nuova normativa sulla Privacy ha fornito alle aziende diversi strumenti per non incorrere in violazioni quali la nomina del DPO (leggi anche Il Data Protection Officer), la valutazione d’impatto, il registro dei trattamenti, la consultazione con le autorità di controllo.
Tali misure consentono al responsabile del trattamento di avere tutto sotto controllo ed eventualmente di intervenire celermente dinnanzi a qualche anomalia; allo stesso tempo questi incombenti gli permettono di poter dimostrare di aver agito in conformità alle disposizioni del GDPR. Infatti in termini di responsabilità il regolamento stabilisce che l’onere di provare di non avere violato le prescrizioni dello stesso spetta alle aziende che trattano i dati.
Infine, accade sovente che le aziende cedano i dati raccolti a terze parti. E’ palese che di tale evenienza debba essere preventivamente informato il candidato. E’ bene sapere che di un trattamento non conforme da parte di terzi possa rispondere anche il titolare del trattamento che ha fornito tali dati. Infatti quest’ultimo deve assicurarsi che il terzo agisca secondo i canoni ed i principi dettati dal GDPR.
Conclusione
Tutto ciò premesso, i dipartimenti HR, al pari di tutte le funzioni aziendali che raccolgono e processano dati personali, soggiacciono alle regole in materia di protezione dei dati. Per tale ragione dovranno porre in essere tutte quelle misure atte a garantire i principi dettati dal GDPR. Da un punto di vista pratico il candidato dovrà conoscere quali dati vengono raccolti, da chi, per quali finalità, per quanto tempo verranno trattati e conservati. Potrà infine esercitare tutti i diritti che la nuova normativa gli riserva.
VP
