
Il trattamento dei dati personali dei dipendenti: cosa è importante sapere dopo l’entrata in vigore del GDPR
29 Ottobre 2018
In ambito privacy, uno degli argomenti più coinvolgenti e delicati riguarda il trattamento dei dati personali, anche particolari, di candidati e lavoratori. Le società, difatti, si trovano spesso a confrontarsi con tali dati nel processo di selezione, reclutamento e gestione del rapporto di lavoro.
Andiamo quindi a scoprire insieme quali sono gli aspetti da prendere in considerazione e le misure da adottare per garantire una perfetta compliance al GDPR. Si sa, tra la teoria e la pratica c’è molta differenza: proprio per questo lo staff di Mondo Privacy vuole fornirti una serie di delucidazioni e consigli in merito all’entrata in vigore del Regolamento Europeo.
Il datore di lavoro e la ricezione di curricula
Come noto, il primo contatto potenzialmente propedeutico all’instaurazione del rapporto di lavoro tra azienda e candidato avviene con l’invio del curriculum ed il tanto atteso colloquio di lavoro.
È stato ribadito più volte, in particolare con la modifica apportata dal D.Lgs 101/2018 al Codice Privacy, che i CV inoltrati ad aziende e società non devono contenere alcuna dicitura relativa all’autorizzazione al trattamento di dati personali.
Consenso e CV
Non è necessario il consenso del candidato al trattamento dei propri dati personali “sensibili” (oggi chiamati particolari): questo perché, secondo il D.lgs 101/2018, quando una persona invia la propria candidatura ad una azienda risulta implicito il consenso con l’invio stesso del CV.
Tali considerazioni trovano supporto nell’articolo 111-bis del “nuovo” Codice Privacy (D.lgs 196/2003) ove si afferma che:
“il consenso al trattamento dei dati personali presenti nei curricula non è dovuto” quando “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
Inoltre, nell’art. 4 del Regolamento Europeo è stata fornita la seguente definizione di CONSENSO:
“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”
Ne deriva pertanto che le società possono legittimamente trattare e conservare i dati riportati nei CV anche qualora il curriculum ricevuto da un candidato sia privo di esplicita autorizzazione al trattamento dei dati, non essendo necessarie a tal fine formule sacramentali.
Candidati e informative
Dopo aver effettuato queste precisazioni, possiamo rispondere ad un’altra domanda: l’azienda che raccoglie le candidature ha l’obbligo di fornire ai candidati un’adeguata informativa privacy?
La risposta è affermativa e si possono paventare due ipotesi per risolvere questo problema:
- Nel caso di candidatura “guidata”, la soluzione è quella di fornire l’informativa privacy già nell’annuncio di lavoro o nel form presente sul sito web (di solito nella sezione “LAVORA CON NOI”);
- Nel caso di candidatura spontanea, fornire l’informativa privacy al primo contatto utile ossia quando il candidato è chiamato a sostenere il colloquio.
I dati personali dei lavoratori: come gestire i dati biometrici?
Vogliamo ora soffermarci sulla disciplina del trattamento dei dati dei lavoratori, in particolare sulle problematiche legate all’utilizzo delle nuove tecnologie aventi impatto anche sui dati biometrici (ad esempio, i sistemi di riconoscimento mediante impronte digitali, l’immagine facciale o la scansione dell’iride).
In primis, appare opportuno ribadire che il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro.
Sulla scorta di tale caposaldo, l’Autorità Garante ha recentemente chiarito che è ammesso l’impiego di tecniche biometriche solamente in presenza di un’idonea base giuridica legittimante il trattamento. Quindi, il Titolare del trattamento dovrà verificare esso sia “necessario per assolvere obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interessato in materia di diritto del lavoro”.
Ma non è sufficiente! Lo strumento prescelto, difatti, dovrà rispettare i principi di proporzionalità e di “minimizzazione dei dati”. Tenuto conto delle effettive esigenze perseguite quindi i sistemi informativi e i programmi informatici dovranno essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Non dimentichiamo infatti che con il Regolamento Europeo si è voluto limitare l’utilizzo indiscriminato di mezzi atti a raccogliere dati riferiti o riferibili alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica.