Assolavoro, l’Associazione Nazionale di Categoria delle Agenzie per il Lavoro, ha pubblicato il codice di condotta per poter stabilire un insieme di regole per la corretta applicazione del Regolamento (UE) 2016/679 in modo pratico, trasparente ed efficace, in base alla trama del particolare settore rappresentato e delle correlate attività di trattamento tipiche.

In data 11 gennaio 2024 viene pubblicato il codice di condotta per il settore delle APL, volto alla corretta osservanza del GDPR, ai sensi dell’art. 40 del Regolamento 2016/679.

Analizziamo alcuni punti fondamentali disciplinati dal Codice di Condotta, strutturato in 18 articoli.

 

Art. 2 AMBITO DI APPLICAZIONE

Il codice si applica a tutte le APL associate al Soggetto Promotore (Assolavoro) e aderenti alla normativa di cui al codice medesimo. L’adesione, molto semplicemente, avviene tramite la compilazione online di una richiesta e la seguente trasmissione della stessa all’Organismo di Monitoraggio, il quale verificherà eventuali problematiche esistenti e confermerà l’adesione.

 

Art. 4 RUOLO PRIVACY DELLE AGENZIE PER IL LAVORO

L’articolo definisce l’identificazione privacy delle APL nei rapporti con i Clienti e gli Utilizzatori. In particolare, l’APL ricopre il ruolo di Titolare del trattamento nell’effettuazione delle sue attività, nei rapporti con Clienti e Utilizzatori, ad eccezione dei servizi in Outsourcing, dove riveste la figura del Responsabile del trattamento con conseguente sua nomina ai sensi dell’art. 28 GDPR.

Risulta, dunque, un rapporto di Titolarità autonoma nelle attività di: somministrazione del lavoro, ricerca e selezione del personale, intermediazione e supporto alla ricollocazione professionale.

 

Art. 5 CATEGORIE DI DATI TRATTATI

  • Dati comuni (es. di contatto, dati contenuti nel CV come esperienze professionali, titoli ecc., dati relativi alla disponibilità lavorativa, dati relativi ad attestazione/certificazioni ecc., dati relativi all’attitudine a svolgere determinate mansioni.
  • Dati particolari ex art. 9 GDPR (es. dati relativi allo stato di salute, all’origine razziale ed etnica).

 

Art. 6 BASI GIURIDICHE

La base giuridica principale dei trattamenti è “la necessità di dare esecuzione ad un contratto di cui l’interessato è parte o a misure precontrattuali adottate su richiesta dello stesso” (art. 6, par. 1, lett. b) GDPR.

Con riferimento al trattamento dei dati particolari dei candidati, le APL possono fare affidamento ad ulteriori finalità (p.e. la necessità di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia giuslavoristica).

 

Art. 7 INDICAZIONI IN ORDINE ALL’INFORMATIVA DA FORNIRE AI CANDIDATI

In questo articolo si definiscono in modo dettagliato “le informazioni da fornire all’interessato che, ai sensi del Regolamento, variano in relazione alle modalità di raccolta dei dati personali”, vale a dire i dati raccolti direttamente presso l’interessato ex art. 13 GDPR ovvero i dati raccolti presso terzi (come terzi titolari e fonti pubblicamente accessibili) ex art. 14 GDPR: Assolavoro, infatti, mette a disposizione un modello di informativa Candidati (all. 2 ex art. 18) per le APL aderenti.

 

Art. 9 TERMINI DI CONSERVAZIONE

In osservanza al principio di limitazione della conservazione (cd. data retention) ex art. 5.1, lett. e), del GDPR, le APL sono tenute a individuare i termini di conservazione dei dati in ordine alle esigenze organizzative e in conformità a quanto previsto dalla normativa. Le regole individuate, con relative eccezioni, sono le seguenti:

  • Ad eccezione della somministrazione, la data retention è di 48 mesi, salvo precedente richiesta di cancellazione da parte dell’interessato (L’ APL dovrà inoltre adottare procedure per l’aggiornamento del database alla scadenza del termine stabilito);
  • Per la somministrazione di lavoro, la data retention è di 11 anni (10 anni ordinari + 1 anno di tempo tecnico) dalla cessazione del rapporto di lavoro instaurato.

 

Art. 10 ESERCIZIO DEI DIRITTI E GARANZIE PER GLI INTERESSATI NEI TRATTAMENTI DI DATI CON PROCESSI AUTOMATIZZATI

Le APL possono effettuare trattamenti totalmente automatizzati, qualora necessari alla conclusione od esecuzione di un contratto tra Interessato e Titolare (art. 22, par. 2, lett. a), del GDPR) oppure previa raccolta del consenso dell’Interessato (art. 22, par. 2, lett. c) del GDPR).

Ovviamente, le APL dovranno farsi carico di effettuare una valutazione d’impatto (cd. DPIA), garantendo il diritto dell’Interessato, di ottenere l’intervento umano da parte del Titolare, al fine di esprimere la propria opinione e contestare la decisione assunta in modo completamente automatizzato.

In via generale, si rammenta che le APL devono poter garantire un riscontro telematico tempestivo e completo alle richieste di esercizio dei diritti degli interessati, in linea con una procedura interna redatta ad hoc.

 

Art.12 MISURE DI SICUREZZA

Nell’individuazione delle misure di sicurezza da apportare, vengono presi in considerazione alcuni standard/norme di settore che prevedono la gestione e la sicurezza delle informazioni, tra cui:

  • ISO/IEC 27001:2022 – Sistema di gestione per la sicurezza delle informazioni;
  • ISO/IEC 27002:2013 – Codice di buone pratiche per il sistema di gestione della sicurezza dell’informazione;
  • COBIT – Obiettivi di controllo delle tecnologie dell’informazione e delle comunicazioni;
  • NIST Cybersecurity Framework

 

Art. 14 ORGANISMO DI MONITORAGGIO

Il rispetto di questo Codice di Condotta è garantito dall’Organismo di monitoraggio dotato delle caratteristiche essenziali previste dall’art. 41 del GDPR: onorabilità, indipendenza e imparzialità.

L’Organismo di monitoraggio è esterno ad Assolavoro ed è composto da tre soggetti e si occuperà di:

  • espletare annualmente il piano dei controlli sulla corretta attuazione del Codice da parte dei soggetti aderenti;
  • effettuare annualmente una serie di audit corrispondenti al 20% dei soggetti aderenti;
  • irrogare ai soggetti aderenti “misure correttive o interdittive” che dovranno essere inserite in un idoneo registro costantemente aggiornato.

 

Considerazioni finali

Siamo ad un punto di svolta per la protezione dei dati personali nelle modalità di gestione del personale. Tale Codice impartisce regole ben precise da osservare ogni qualvolta si vada a trattare i dati personali dei candidati.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!