Come fare attività di recruiting del personale secondo il GDPR
Il processo di ricerca e selezione del personale all’interno di un’azienda passa quasi sempre dalla valutazione del curriculum vitae del candidato. Questo documento raccoglie un insieme di informazioni che vanno oltre la ricostruzione del percorso formativo e delle esperienze professionali del candidato. Comprende infatti informazioni personali come i dati anagrafici e di contatto. Questi dati identificativi rientrano nella definizione di dati personali secondo quanto stabilito dal GDPR, il Regolamento generale sulla protezione dei dati. Ecco allora che occorre adottare le misure richieste per garantire l’integrità, la riservatezza e il corretto trattamento delle informazioni ricevute.
Ricerca del personale e GDPR: il modello dell’informativa
Il primo aspetto a cui prestare attenzione nel caso in cui si riceva la candidatura per una posizione lavorativa disponibile ovvero in risposta a un annuncio di lavoro pubblicato dall’azienda – tramite la compilazione di un modulo online, l’iscrizione alla piattaforma di recruiting o l’invio del curriculum vitae in una sezione dedicata del sito web – è la pubblicazione da parte dell’azienda stessa (nell’ambito del suo ruolo di titolare del trattamento) di una informativa redatta in conformità all’articolo 13 del GDPR. Le informazioni riguardanti il trattamento dei dati devono essere comunicate al candidato “al momento in cui i dati personali sono raccolti”. Di conseguenza, l’informativa deve essere fornita in anticipo, ad esempio all’interno del modulo di raccolta dati, sulla piattaforma o nella sezione del sito web dedicata all’inserimento delle informazioni o al caricamento del curriculum. In questo modo il candidato può esercitare implicitamente il suo “diritto di essere informato”, come stabilito dagli articoli 12 e successivi del GDPR. Il trattamento avviene così nel pieno rispetto dei principi di correttezza e trasparenza definiti nell’articolo 5 della normativa.
Candidatura spontanea e informativa, cosa prevede il GDPR
Altro contesto è quello della candidatura spontanea. Il candidato invia il proprio curriculum vitae via e-mail o lo consegna personalmente all’azienda. Anche in questo caso è obbligatorio fornire all’interessato l’informativa, ma con una tempistica differente. Non più nella fase preliminare o al momento della raccolta dei CV e dei dati personali, ma “al momento del primo contatto utile successivo all’invio del curriculum stesso”. Ad esempio nella e-mail di risposta al candidato dopo aver ricevuto il suo curriculum tramite mezzi telematici. L’azienda lo può fare allegando direttamente l’informativa al messaggio di risposta oppure fornendo il collegamento all’area privacy del sito web aziendale dove è stata pubblicata.
Come trattare i dati dei CV
L’attività di recruiting deve seguire altre indicazioni riguardanti il trattamento dei dati contenuti nei CV, secondo i principi stabiliti dall’articolo 5 del GDPR. In particolare è necessario stabilire un periodo di conservazione limitato per i CV o garantire che l’identificazione dei candidati sia consentita solo fino al raggiungimento degli obiettivi del processo di selezione. Il mantenimento prolungato dei CV o, ancora peggio, in maniera indefinita, si dimostra superfluo alla luce dell’obsolescenza delle informazioni contenute, che perdono rilevanza rispetto al profilo aggiornato del candidato. I dati devono risultare accurati e, se necessario, deve essere adottata ogni misura per correggere informazioni errate rispetto alle finalità del trattamento. Sulla base dei principi di minimizzazione e di privacy by default, i dati trattati devono essere “appropriati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento”. Se ad esempio un’azienda è alla ricerca di una figura nel campo contabile e amministrativo, la raccolta e la conservazione del CV di un candidato per lo sviluppo software non sono direttamente rilevanti per il processo di selezione. Di conseguenza è richiesta la cancellazione o l’anonimizzazione dei dati personali del candidato.
La sicurezza dell’integrità e della riservatezza riveste un ruolo fondamentale nell’ambito del reclutamento, considerando che i CV contengono numerosi dati personali. In ottica di accountability, l’azienda in qualità di titolare del trattamento deve garantire e dimostrare “la protezione (dei dati personali) attraverso adeguate misure tecniche e organizzative, da trattamenti non autorizzati o illeciti, nonché da perdite, distruzioni o danni accidentali”. In questo contesto, particolare attenzione deve essere dedicata alla corretta conservazione delle informazioni relative ai candidati, che dovrebbero essere archiviate in armadi dotati di chiusura a chiave o in locali adeguatamente sorvegliati (nel caso di documenti cartacei) o in cartelle specifiche all’interno del sistema informatico, accessibili solo al personale incaricato della selezione. Chiunque operi nel trattamento dei dati deve essere autorizzato a farlo, attraverso una nomina formale che delinei le modalità di trattamento gestite dal recruiter, indipendentemente dal supporto (carta o digitale) su cui il CV è presente. Allo stesso tempo, se le attività di selezione vengono delegate a una società esterna o a un soggetto estraneo all’organizzazione aziendale, è necessario predisporre una nomina apposita come responsabile, in conformità all’articolo 28 del GDPR.
Profilazione automatizzata, ricerca del personale e GDPR
Infine, occorre considerare la possibilità che il processo di selezione faccia uso di tecniche di profilazione automatica o coinvolga l’impiego di chatbot durante i colloqui. Come evidenziato nella circolare 19 del Ministero del Lavoro e delle Politiche Sociali del 20 settembre 2022, se il processo di selezione è completamente affidato alla “decisione automatizzata dei sistemi”, trova applicazione l’articolo 4, comma 1, lettera b del decreto Trasparenza. Questo si traduce in specifici obblighi informativi nei confronti dei candidati relativamente alle caratteristiche dei sistemi impiegati, obblighi di comunicazione alle parti sindacali e ulteriori responsabilità in materia di protezione dei dati personali, tra cui la preparazione di un’apposita valutazione d’impatto in conformità all’articolo 35 del GDPR.