L'avvocata Lia Ruozi Berretta, - Archivio
Le norme dettate in materia di trattamento di dati personali riguardano anche le società di lavoro interinale, che selezionano e presentano, alle aziende, i curricula dei candidati per determinate posizioni professionali. Si tratta notoriamente di documenti che contengono molte informazioni personali, alcune persino “sensibili” che richiedono particolare cautela. Va subito ricordato che il consenso al trattamento dei dati personali presenti nei cv non è più dovuto, in base a quanto prescritto dall’art. 111 bis del Codice della privacy (introdotto dal D.lgs 111/2018). Questo non significa che i dati personali presenti in un cv possano essere trattati senza un rigoroso impianto di tutela. Tutt’altro. Il Gdpr (General Data Protection Reguation), il regolamento europeo 679/2106, pone l’attenzione su alcuni temi fondamentali, tra i quali, segnaliamo: informare, documentare e ridurre i rischi correlati al trattamento. Ecco quali sono alcune delle regole fondamentali da seguire per rispettare il citato regolamento:
1) predisporre un’informativa completa, che tenga conto della necessità, insita nel rapporto contrattuale, di comunicare i dati personali del candidato a soggetti terzi, possibili datori di lavoro. Si tratta di un flusso di dati delicato, che deve essere ben inquadrato e disciplinato anche in rapporti tra società di lavoro interinale e le aziende. L’adeguamento alla normativa sul trattamento dei dati personali impone a tutti gli anelli della catena, coinvolta nel flusso dei dati, di essere adeguati. Si parla appunto di catena di responsabilità: non tanto uno “scarica barile”, quanto una condivisione consapevole volta a ridurre il più possibile i rischi collegabili al trattamento dei dati del candidato;
2) Trattare il dato del candidato nel rispetto del principio della stretta indispensabilità del trattamento. Si tratta di una fase delicata che impone l’adozione di processi e procedure idonee. Per esempio, è corretto condividere, in prima battura, soltanto i dati personali del candidato strettamente necessari per consentire al datore di lavoro di verificare se il profilo è effettivamente di suo interesse. Se un soggetto non è di interesse, è inutile avere sin da subito condiviso suoi dati “eccedenti”: in prima battuta, potrebbe essere utile indicare in quale città vive un candidato e non necessariamente anche il suo indirizzo di casa;
3) Prevedere un tempo di conservazione del curriculum, in base alle effettive esigenze del candidato e del contratto in corso.
Il Gdpr non ci offre un elenco dei tempi di conservazione: tolti i casi in cui gli stessi siano prescritti dalla legge o da provvedimenti del garante, la scelta concreta è per lo più rimessa al titolare del trattamento (la azienda interinale). Si tratta della cosiddetta accountability, cioè di quella che in italiano è stata tradotta come auto responsabilizzazione, che in concreto significa capacità di documentare le ragioni poste fondamento delle scelte fatte e delle conseguenti procedure. Nel caso concreto, la vita “utile” di un cv è abbastanza limitata; in sei mesi o un anno, le esperienze potrebbero essersi notevolmente arricchite; un laureato in giurisprudenza potrebbe essere diventato avvocato. La conservazione di documenti anacronistici, quindi non avrebbe alcuna utilità e sarebbe quindi opportuno procedere alla cancellazione tenendo conto di tali parametri.
«Una corretta impostazione dell’impianto della privacy ha di regola un effetto positivo per le aziende, che il più delle volte ottimizzano processi, valorizzano flussi di dati personali o eliminano processi e/o flussi di dati effettuati senza una specifica ragione, che si rivelano quindi del tutto inutili e fonte di rischi e responsabilità evitabili - afferma l’avvocata Lia Ruozi Berretta, partner dello studio legale Avvocati.net ed esperta in protezione dei dati personali -. L’obiettivo di un adeguamento al Gdpr non è mai quello di ingessare la vita aziendale con regole standardizzate, incomprensibili o irritanti, ma, al contrario, consente alle aziende di sentirsi soddisfatte del nuovo assetto sviluppato; inoltre attribuisce al management ed allo staff una consapevolezza e serenità nell’affrontare tematiche che spesso sono frettolosamente ritenute noiose».
Le sanzioni amministrative per violazioni della normativa dettata dal Gdpr sono basate sulla gravità del comportamento tenuto dal titolare che possono riassumersi come segue:
- fino a dieci milioni di euro o il 2% del fatturato globale per le violazioni di lieve entità;
- fino a 20 milioni di euro o il 4% del fatturato globale per le violazioni più gravi.