GDPR: Panoramica del Regolamento Europeo e Analisi del Rapporto Privacy – Gestione del Curriculum
Con l’acronimo GDPR, ormai entrato prepotentemente nel nostro linguaggio comune, si fa riferimento al General Data Protection Regulation, regolamento europeo n.679/2016 avente ad oggetto il trattamento dei dati personali, ovvero quelle informazioni riguardanti una persona fisica tali da renderla identificabile. Per trattamento intendiamo qualsiasi operazione applicata sui dati stessi.
Prima di entrare nel vivo della questione occorre preliminarmente delineare i soggetti protagonisti delle dinamiche GDPR con relative funzioni e compiti. Cercando di semplificare quanto è più possibile individuiamo il TITOLARE DEL TRATTAMENTO come quella persona fisica, giuridica o autorità pubblica che ha potere decisionale sul trattamento dei dati, si differenzia dal DATA PROCESSOR che entra in gioco qualora il trattamento debba essere effettuato per conto del titolare o dei contitolari. Il DPO (Data Protection Officer) è invece colui il quale offre un servizio di consulenza al titolare circa la protezione dei dati, nonché si occupa della formazione dei dipendenti in tal senso. È importante sottolineare l’obbligatorietà della presenza di tale figura professionale per le amministrazioni e gli enti pubblici o più in generale in costanza di trattamento su larga scala di dati particolari (ex dati sensibili che con l’emanazione del GDPR subiscono una modifica terminologica), ad esempio quelle informazioni in grado di rilevare lo stato di salute, l’orientamento politico, religioso, sessuale della persona. IL DESTINATARIO è la persona fisica, giuridica o l’autorità pubblica che riceve comunicazione dei dati, mentre il soggetto le cui informazioni vengono trattate è L’INTERESSATO.
Il GDPR costituisce sicuramente un mezzo di responsabilizzazione dei titolari del trattamento, prevedendo sanzioni amministrative pecuniarie esemplari in caso di violazione dei dati o mancata conformazione al regolamento. Ma potrebbero essere previste anche sanzioni penali quali la reclusione per colui il quale trattasse i dati illecitamente confermando quanto previsto dall’art 167 del Codice della Privacy.
Il titolare è obbligato ad informare l’interessato circa come i dati verranno trattati, sul periodo di conservazione degli stessi o in alternativa i criteri utilizzati per stabilirlo e sulla finalità del trattamento.
D’altro canto, l’interessato è chiamato ad offrire il consenso al trattamento dei dati, autorizzazione che deve essere libera, informata e revocabile. Revocabilità del consenso, possibilità di rettifica e soprattutto diritto all’oblio, grande introduzione prevista dal regolamento europeo, costituiscono le principali facoltà dell’interessato che hanno la finalità di rendere il trattamento ancor più mitigato e prudente.
ADV
Privacy e gestione dei Curricula
Dopo aver sommariamente specificato cosa si intende per GDPR e soprattutto cosa esso comporta, soffermiamoci sulla connessione che intercorre tra regolamento n.679/2016 e rapporti lavorativi, con un particolare focus sulla corretta gestione della privacy nei curricula.
Nel contesto di un rapporto di lavoro, tra i diritti del lavoratore vi è quello alla riservatezza. Ciò è importante alla luce delle molteplici occasioni in cui il datore potrebbe entrare naturalmente in possesso di una serie di informazioni riguardanti il lavoratore quali dati anagrafici, biometrici, relativi alla salute; in sostanza i sopramenzionati dati particolari. Per questo motivo è necessaria una stringente applicazione dei principi del GDPR in un contesto di relazione lavorativa. Per quanto concerne in particolare la gestione della privacy nei curricula, analizziamo quelli che sono i comportamenti che, datori di lavoro da una parte e candidati dall’altra, dovrebbero osservare. Non c’è dubbio che il datore di lavoro, in una dinamica di conformazione al GDPR in ottica gestione dati personali, funga da titolare del trattamento,e per tale ragione, come già precedentemente accennato, dovrà specificarne finalità, modalità e durata. Nel momento in cui predispone l’apertura di una posizione lavorativa, con la stesura della job description corrispondente, dovrà già fornire l’informativa privacy contenente queste informazioni che saranno consultabili da ogni aspirante candidato interessato ad iniziare il processo di application. In caso di candidatura spontanea invece, il datore/titolare sarà obbligato alla specificazione dell’informativa di cui all’art 13 GDPR soltanto al momento dell’eventuale primo contatto, dunque ad esempio contestualmente alla risposta a mezzo mail, oppure durante il primo colloquio.
Ragionando invece nell’ottica del candidato-interessato, per anni siamo stati esposti ad una campagna massiva di disinformazione figlia di una scorretta interpretazione del regolamento n.679/2016 incentrata sulla presunta necessità di allegare al curriculum vitae il consenso al trattamento dei dati, pena l’impossibilità di essere ricontattati dal datore di lavoro per eventuali colloqui o assunzioni.
Dalla lettura in combinato disposto dell’art.6 del GDPR con l’art.111-bis del Codice della privacy, inserito dal D.Lgs. 101/2018, emerge chiaramente come il consenso al trattamento dei dati personali presenti nei curricula, non sia affatto obbligatorio nè dovuto, se le informazioni vengono dal datore di lavoro analizzate esclusivamente al fine di valutare l’idoneità del candidato a ricoprire la vacancy. Tuttavia occorre registrare come nella stragrande maggioranza dei casi la confusione generata in materia spinga da un lato, i datori-titolari ad avere un atteggiamento eccessivamente prudente o addirittura di chiusura nei confronti dei cv ricevuti senza il consenso al trattamento dei dati, dall’altro fomenta la percezione dei candidati della assoluta necessità di allegazione dell’autorizzazione all’utilizzo delle informazioni personali presenti nel curriculum.
Questo articolo è offerto da: