La gestione dei CV in regola con il GDPR è un argomento da non prendere sotto gamba, tanto nel caso di acquisizione delle candidature spontanee quanto nella selezione dei candidati in seguito alle risposte ad un annuncio di lavoro. Certo, per dirimere la maggior parte dei dubbi è per lo più sufficiente leggere – e comprendere – la normativa applicabile: GDPR e anche il Codice Privacy per essere proprio bravi (spoiler: l’art. 111-bis). Occorre però l’adozione di alcune accortezze per essere in grado di coordinare e rendicontare tutti gli adempimenti a riguardo. Un esempio su tutti è fare in modo che il proprio registro dei trattamenti sia aggiornato con le informazioni riguardanti le attività svolte sui CV.
Soprattutto: come informare in modo corretto i candidati?
Un po’ di senso pratico può suggerire alcuni luoghi ideali per inserire l’informativa:
– la sezione del sito web “Lavora con noi”;
– come link all’annuncio di lavoro;
– all’interno della risposta automatica in seguito alla ricezione della candidatura spontanea.
Per quanto riguarda i contenuti dell’informativa è sufficiente rispettare i criteri indicati dagli articoli 12, 13 e 14 GDPR e adattarli al contesto, evitando di copiaincollare informative altrui (nota bene: questo va evitato per ogni informativa). Ad esempio: se il CV è stato inoltrato da un’agenzia di collocamento, allora l’informativa dovrà avere cura di indicare la fonte del dato; se viene acquisito attraverso il form del sito web di un gruppo di imprese, si dovrà indicare un’eventuale contitolarità. E così via.
L’importante è evitare strafalcioni come ad esempio chiedere il consenso o l’autorizzazione a trattare i dati. Magari mettendola anche come condizione necessaria per partecipare al processo di selezione.
CV in regola con il GDPR: basta con i consensi insensati
Chiariamo una cosa: pretendere l’inserimento di quella formuletta “Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae” non ha proprio senso. E se qualcuno dice che è meglio chiedere un consenso in più che un consenso in meno, significa in generale che di GDPR e basi giuridiche davvero non ha capito nulla. Nello specifico, significa che è sfuggito alla lettura un articolo del Codice Privacy…
“Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.” (art. 111 Cod. Privacy)
Infatti: o il consenso serve (leggasi: va richiesto), o altrimenti è inutile e anzi anche dannoso. Inutile perché non può rappresentare alcuna tutela ulteriore. Dannoso perché crea confusione per l’interessato il quale non si trova a comprendere su quale base (e quindi secondo quali regole) vengono trattati i dati personali del suo CV.
Non solo: quel tipo di consenso è anche invalido dato che manca ogni garanzia sulla libera prestazione dello stesso. Dire infatti che in caso di mancata autorizzazione/consenso il CV verrà scartato non lascia infatti un grande margine d’azione al candidato…
Qualche parruccone impomatato potrebbe dire: “e se ci sono dati di categorie particolari nel CV allora quale base giuridica se non il consenso esplicito?“.
Ah, se solo leggessero quel secondo paragrafo dell’art. 9 GDPR alla lettera b).
Dopotutto: per che cosa sono trattati quei dati se non per la condizione di “assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale“?
E soprattutto: quanto sarebbe folle affermare che in difetto di consenso esplicito allora il candidato/interessato vulnerabile (magari appartenente a categorie protette, ad esempio) sarebbe escluso dai benefici garantiti dalla legge o addirittura dallo stesso processo di selezione?
Definire i tempi di conservazione
Nulla è per sempre, figurarsi un CV! La domanda è sempre quella: per quanto tempo devono essere conservati i dati personali? La risposta generale (che non è 42) si trova nell’applicazione del principio di limitazione della conservazione, ma nello specifico per quanto riguarda la gestione dei CV in regola con il GDPR forse è meglio farsi qualche domanda. E sapersi dare delle risposte corrette.
La più ricorrente è: cosa ci faccio con questo CV conclusa la selezione?
Se il candidato è inidoneo, diventa proprio difficile trovare una motivazione valida. Se invece non è stato valutato, è ragionevole definire un termine tenendo conto di quanto sia inutile avere un CV non aggiornato al trascorrere dei mesi. Magari si può ragionare sull’estrarre i soli dati di contatto per un periodo maggiore di tempo per ricontattare in caso di riapertura selezioni con l’invito a mandare un CV aggiornato.
Quale che che sia il tempo di conservazione che si va a determinare, sarà bene indicarlo in modo chiaro all’interno dell’informativa.
E se c’è un DPO sarà sempre bene chiedere un parere a riguardo prima di caricare moduli, modelli e annunci per la selezione del personale.