La procedura di assunzione di dipendenti e collaboratori a vario titolo all’interno delle realtà aziendali e professionali comporta il trattamento di una consistente quantità di dati personali, alcuni dei quali rientranti nella categoria di “dati sensibili”. La “Commission nationale de l'informatique et des libertés” (“CNIL”) ha stilato una guida contenente interessanti indicazioni pratiche per agevolare imprese e professionisti a conformarsi alla normativa privacy.
Brevi cenni introduttivi
Lo scorso 30 gennaio, la CNIL (“Commission nationale de l'informatique et des libertés”), Autorità Francese per la Protezione dei Dati Personali, ha rilasciato un elenco di linee guida per coloro che si occupino dell’attività di selezione del personale. Si tratta di una sorta di “vademecum”, composto da 19 punti e integrante un aggiornamento alla precedente raccomandazione “relativa alla raccolta e al trattamento dei dati personali durante le operazioni di reclutamento”, risalente ormai al lontano 2002.
Le operazioni di assunzione coinvolgono il trattamento di una consistente quantità di dati personali, alcuni dei quali rientranti nella categoria di quelli “sensibili”, richiedendo perciò una maggiore attenzione, con particolare riferimento ai profili della comunicazione e della conservazione delle informazioni. La CNIL ha così ritenuto opportuno delineare alcuni criteri operativi, finalizzati ad assistere i reclutatori nella sempre delicata attività di compliance alla normativa privacy vigente, nello specifico al Regolamento 2016/679 (“GDPR”). Le prime dieci indicazioni comprendono un "refresh" dei fondamenti della normativa sulla protezione dei dati personali nell’ambito del recruiting, mentre le restanti nove assumono un taglio decisamente più pratico, per rispondere agli eventuali dubbi sull’impiego delle nuove tecnologie e occupandosi anche di temi specifici, come quello della discriminazione sul luogo di lavoro.
La nascita e la diffusione delle nuove tecnologie hanno, difatti, moltiplicato il numero e diversificato la natura degli strumenti utilizzati per il reclutamento. Rientrano in tale novero social network, motori di ricerca specializzati, videoconferenze, chatbot e app, oltre a database che, sfruttando sistemi di intelligenza artificiale, aiutano a valutare le soft skills del candidato. La CNIL, a distanza di venti anni dal precedente documento, ha così deciso di rispondere all'impellente esigenza di imprese e professionisti di ottenere un maggiore e concreto supporto, aggiornando la propria posizione a riguardo.
Quali domande deve porsi il datore di lavoro?
La CNIL ha anche fornito alcune raccomandazioni in risposta a cinque domande imprescindibili per quel datore di lavoro che debba trattare dati di potenziali dipendenti/collaboratori. In primo luogo, il Garante si è chiesto quali dati personali sia possibile trattare e per quali finalità. Possono essere trattate unicamente le informazioni che consentano di valutare la capacità dei candidati o di misurare le loro attitudini professionali, verificando le competenze e le qualifiche richieste. In conformità al principio di minimizzazione dei dati e di limitazione delle finalità, è difatti necessario che sia garantito il rispetto della riservatezza e dei diritti degli interessati, per cui deve essere evitata la raccolta di dati che non abbiano un legame diretto con il lavoro offerto (ad esempio, richieste sui familiari o sulla possibilità che i candidati intendano avere dei figli). Un altro problema su cui la CNIL ha fornito istruzioni è relativo alle condizioni per il trattamento dei dati, che devono essere raccolti secondo i principi di liceità, correttezza e trasparenza, per scopi specifici, espliciti e legittimi.
Con riferimento alla domanda su chi possa avere accesso a tali informazioni, la CNIL ha sottolineato che soltanto le persone incaricate della selezione, come i responsabili delle risorse umane o i dirigenti autorizzati alla supervisione della relativa attività, sono autorizzate a farlo. Rispondendo poi al quesito su quali siano le garanzie di tutela per la vita privata dei potenziali candidati, l’autorità ha ribadito l’importanza di osservare l’obbligo di informazione, che si concretizza portando a conoscenza l’interessato della base giuridica del trattamento, della durata della conservazione dei dati personali (che deve essere limitata nel tempo), della possibilità di presentare un reclamo alla CNIL nel caso in cui si ritenga che il trattamento dei dati personali sia in violazione della normativa privacy. Infine, un ruolo chiave è assunto dal “Data Protection Officer” (“DPO”), il quale, nel contesto organizzativo delle realtà aziendali e professionali, ha il compito di garantire che i processi di assunzione del personale siano conformi al GDPR, suggerendo la redazione di una valutazione d’impatto sulla protezione dei dati (“DPIA”), quale fondamentale strumento di accountability per il titolare.
Quali sono gli altri suggerimenti della CNIL?
L’autorità francese ha rammentato quattro buone abitudini per proteggere i dati personali durante le fasi di recruiting. Il primo consiglio è quello di richiedere soltanto le informazioni che siano strettamente necessarie alla valutazione del potenziale candidato. Si propone poi di evitare, per quanto possibile, la raccolta di dati personali sensibili, come le convinzioni religiose, le opinioni politiche o le origini etniche. Un’ulteriore raccomandazione è quella di prestare particolare attenzione alle spiegazioni che il datore di lavoro deve fornire al potenziale candidato. Deve trattarsi di informazioni chiare, precise, facilmente intellegibili, che espongano in maniera puntuale quale sarà il trattamento dei dati personali. È buona norma, inoltre, redigere delle note esplicative inerenti ai criteri impiegati per stabilire il periodo di conservazione, ai soggetti che hanno accesso a tali informazioni, agli eventuali strumenti tecnici e misure organizzative adottate a protezione dei dati personali. Infine, la CNIL ricorda l’importanza di riconoscere la facoltà dell’esercizio dei diritti di cui agli artt. 15 e ss. del GDPR, quindi il diritto di accesso, di opposizione al trattamento, di richiesta di cancellazione, di rettifica dei dati personali inesatti o errati.
Può essere utile un questionario di autovalutazione?
La CNIL ha ritenuto di vitale importanza rilasciare un questionario di autovalutazione, destinato ai recruiter, che permetta loro di verificare se siano stati rispettati i principi e gli obblighi imposti dal GDPR. Il primo dei passaggi da seguire riguarda la raccolta dei dati personali; successivamente, occorre procedere alle fasi di comunicazione e diffusione, durante le quali le informazioni ottenute possono essere condivise con soggetti terzi, interni od esterni alla realtà aziendale o professionale di riferimento, per rispondere a specifiche esigenze. È poi possibile che i dati personali raccolti vengano trattati, ad esempio, per fini statistici, in modo da analizzare e ottimizzare il processo di inserimento dei candidati. L'ultimo cruciale punto coinvolge la conservazione e la cancellazione dei dati personali: sarà necessario stabilire un adeguato periodo di conservazione al termine del quale i dati raccolti dovranno essere cancellati.
Dott. Lapo Lucani
