venerdì, Marzo 29, 2024
Uncategorized

Autorizzazione al trattamento dei dati personali: è necessario inserirla nel curriculum?

Navigando nelle offerte di lavoro pubblicate nei portali dedicati al recruiting, un utente potrebbe incorrere in richieste relative all’inserimento dell’autorizzazione al trattamento dei dati personali nel proprio curriculum simili alle seguenti:

Per candidarsi inviare il CV (completo di foto e autorizzazione al trattamento dei dati personali) all’attenzione della responsabile delle Risorse Umane.

Gli interessati possono inviare curriculum vitae corredato di autorizzazione al trattamento dei dati personali ai sensi del D. Lgs. 196/2003.

Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae ai sensi del D. Lgs. 196/2003 e all’art. 13 del Regolamento UE 2016/679 (GDPR).

Queste frasi ricorrono spesso nei testi delle offerte di lavoro, ma hanno ancora significato nell’attuale panorama normativo in materia di protezione dei dati personali?

Un utente in cerca di lavoro, ovviamente non si pone tale domanda, in quanto un curriculum mancante della predetta autorizzazione, quando richiesta esplicitamente nel testo dell’offerta, potrebbe essere scartato automaticamente dal recruiter.

Nei seguenti paragrafi quindi si intende chiarire se sia necessario o meno inserire l’autorizzazione al trattamento, in modo da rendere edotti gli utenti in merito a quale sia la normativa applicabile e ridurre così l’asimmetria informativa tra candidato e azienda.

Candidatura a posizione aperta e candidatura spontanea

I due casi principali nei quali si configura l’invio del curriculum da parte di un candidato riguardano:

  • la candidatura a posizione aperta, relativa ad un’offerta di lavoro pubblicata da un’azienda ed alla quale è possibile candidarsi solo a seguito della compilazione di uno specifico form oppure a seguito della registrazione alla piattaforma di recruiting dell’azienda;
  • la candidatura spontanea, che può avvenire mediante invio di una mail direttamente al recruiter, anche attraverso specifico link, di solito presente nei siti web aziendali recante la dicitura “candidatura spontanea”.

Con riguardo al primo caso (candidatura a posizione aperta) non è necessario inserire l’autorizzazione al trattamento dei dati personali nel proprio curriculum in quanto è onere del titolare del trattamento – cioè la società alla quale viene inviato il curriculum – di fornire l’informativa redatta ai sensi dell’art. 13 del GDPR[1], il quale indica le informazioni da specificare nel caso in cui i dati siano raccolti direttamente presso l’interessato (es. mediante un form o via e-mail).

Si precisa, infatti, che, ai sensi dell’art. 12 del GDPR, “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro[2]”.  Tale disposizione risulta particolarmente chiara se letta alla luce di quanto specificato nell’art. 13 del GDPR, che specifica come le informazioni relative al trattamento debbano essere fornite all’interessato “nel momento in cui i dati personali sono ottenuti[3]”. Pertanto, l’informativa deve essere fornita preliminarmente, in modo che l’interessato possa conoscere le caratteristiche fondamentali del trattamento prima che i suoi dati vengano raccolti.

Se l’utente inserisse l’autorizzazione al trattamento nel curriculum senza conoscere informazioni quali, per esempio, le finalità del trattamento, le basi giuridiche, gli eventuali destinatari dei dati personali, il trattamento stesso non sarebbe lecito in quanto non trasparente e, quindi, effettuato in violazione dell’art. 5, par. 1, lett. a) del GDPR[4] (principio di correttezza, liceità e trasparenza).

Con riguardo al secondo caso (candidatura spontanea), non è ugualmente necessario inserire la citata autorizzazione, configurandosi tuttavia un’eccezione in relazione al momento nel quale il titolare può fornire l’informativa. In tal senso, è opportuno un breve excursus in relazione all’evoluzione della disciplina in materia. Nel 2011, diversi anni prima dell’entrata in vigore del GDPR, l’art. 6, comma 2, lett. a) del Decreto-Legge n. 70[5] (Decreto Sviluppo, convertito in legge con modificazioni dalla Legge 12 luglio 2011, n. 106) ha modificato l’art. 13 del Codice Privacy, introducendo il comma 5-bis[6]. Tale comma ha previsto che fosse necessario, “in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro”, fornire agli stessi, anche oralmente, un’informativa breveal momento del primo contatto successivo all’invio del curriculum”.

La disposizione rendeva pacifico l’onere di informativa gravante sul titolare del trattamento, ma permetteva al titolare di non informare preliminarmente l’interessato rinviando tale obbligo al primo contatto utile con lo stesso. La disposizione si configurava come un’eccezione alla regola generale, in quanto l’art. 13 del Codice Privacy specificava (analogamente a quanto oggi indicato nell’art. 13 del GDPR) che l’interessato dovesse essere previamente informato oralmente o per iscritto.

Il predetto Decreto-Legge, inoltre, ha introdotto anche la lettera i-bis al comma 1 dell’art. 24 del Codice Privacy[7], recante i casi nei quali poteva essere effettuato il trattamento senza consenso, specificando che questo non fosse necessario nei casi previsti dall’art. 13, comma 5-bis del Codice Privacy, cioè nel caso in cui il trattamento riguardasse i dati contenuti nei curricula spontaneamente inviati.

Con la novella del Codice Privacy ad opera del Decreto legislativo n. 101 del 2018[8], gli artt. 13 e 24 sono stati abrogati, in quanto recanti disposizioni già disciplinate dal GDPR. Tuttavia, è stata dedicata particolare attenzione al contenuto del comma 5-bis dell’art. 13 e della lett. i-bis dell’art. 24, comma 1: infatti, il contenuto di entrambe le disposizioni è stato riportato nell’art. 111-bis del Codice privacy novellato il quale indica che le informazioni di cui all’articolo 13 del GDPR, “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo“, specificando, inoltre, che “nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto[9]”.

Condizioni di liceità per trattare i dati contenuti nel curriculum

L’art. 111-bis del Codice Privacy novellato specifica, quindi, che il consenso al trattamento dei dati personali presenti nei curricula non è dovuto, “nei limiti delle finalità di cui all’art. 6, par. 1 lett. b)” del GDPR. Il GDPR, infatti, ha previsto con il citato articolo una base giuridica decisamente funzionale alla fattispecie in esame. Viene specificato che il trattamento risulta lecito se lo stesso “è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.

La fattispecie relativa all’invio di una candidatura rientra nel caso delle “misure precontrattuali”, in quanto un utente, in funzione di una “propria richiesta”, invia il curriculum all’azienda di interesse come azione preliminare, nello specifico “precontrattuale”, ad un’eventuale e successiva assunzione, la quale si costituirà con la stipula di un contratto di lavoro. Tale base giuridica giustifica il trattamento di dati non particolari (non “sensibili”), cioè dati comuni, quali ad esempio nome, cognome, indirizzo, e-mail e precedenti esperienze lavorative e formative.

Con riferimento invece ai dati particolari, che con riguardo all’invio del curriculum sono costituiti prevalentemente dall’informazione relativa all’appartenenza a categorie protette, non è possibile giustificarne il trattamento con la predetta base giuridica. In questo caso giunge in aiuto l’art. 9, par. 2, lett. b) del GDPR, secondo cui il trattamento di dati particolari è lecito se “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato[10]”.

Tale base giuridica risulta fondamentale, in particolare, con riferimento al trattamento dei dati contenuti nei curriculum spontaneamente trasmessi. Infatti, il Codice Privacy, prima delle modifiche intervenute con il Decreto legislativo n. 101 del 2018, prevedeva che il trattamento di dati sensibili potesse essere giustificato solo dal consenso dell’interessato, prevedendo comunque alcune eccezioni. In particolare, nell’ormai abrogato art. 26, comma 3, lett. b-bis del Codice Privacy – lettera introdotta dal citato Decreto Sviluppo nel 2011[11] – veniva specificato che la regola generale potesse non essere applicata al trattamento “dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis”. Tale disposizione permetteva, quindi, di applicare la disciplina relativa all’invio spontaneo del curriculum sia ai dati comuni che ai dati sensibili.

Pertanto, la base giuridica di cui all’art. 9, par. 2, lett. b) del GDPR risulta particolarmente utile in sostituzione dell’abrogato art. 26 del Codice Privacy: infatti, l’art. 111-bis del Codice Privacy novellato (recante la disciplina degli abrogati artt. 13, comma 5-bis e 24, comma 1, lett. i-bis) non indica alcun riferimento ai dati particolari, rendendo quindi necessario un rinvio alla disciplina dell’art. 9 del GDPR.

Conclusioni

Ancora oggi è molto facile individuare offerte di lavoro recanti la richiesta di introdurre nel curriculum l’autorizzazione al trattamento dei dati personali, nonostante, come dimostrato nel presente articolo, risulti una pratica che non trova di fatto riscontro nell’attuale disciplina in materia di protezione dei dati. Inoltre, se un’azienda titolare del trattamento, richiedesse ai candidati di inserire la predetta autorizzazione senza fornire alcuna informativa agli stessi, si configurerebbe una violazione dell’art. 13 del GDPR, che potrebbe eventualmente determinare una sanzione pecuniaria particolarmente grave.

Infatti, la violazione del citato articolo determina l’applicazione di una sanzione che può arrivare “fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo”, come specificato nell’art. 83, par. 5 del GDPR[12]. Si precisa che il candidato, pur inserendo l’autorizzazione nel curriculum, in quanto eventualmente richiesta esplicitamente dal titolare, non incorre in alcuna conseguenza negativa, in quanto è il titolare stesso a dover applicare i principi indicati dalla disciplina in materia di protezione dei dati personali.

[1] Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, art. 13, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=EN

[2] Ibid, art. 12.

[3] V. supra n. 1.

[4] V. supra n. 1, art. 5.

[5] Decreto-Legge 13 maggio 2011, n. 70 (Decreto Sviluppo) convertito con modificazioni dalla L. 12 luglio 2011, n. 106, art. 6, comma 2, lett. a), https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legge:2011-05-13;70%21vig=

[6] Ibid.

[7] Ibid.

[8] Decreto Legislativo 10 agosto 2018, n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, https://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg

[9] L’art. 111-bis del Codice Privacy è stato introdotto dall’art. 9, comma 1, lett. c) del Decreto Legislativo 10 agosto 2018, n. 101, v. supra n. 6.

[10] V. supra n. 1, art. 9, par. 2, lett. b).

[11] V. supra n. 5.

[12] V. supra n. 1, art. 83.

Davide Stefanello

Ho conseguito la laurea triennale in Scienze dei servizi giuridici nel 2016, presso l'Università Statale di Milano, con una tesi sul GDPR e il Privacy Shield. In seguito, ho concluso il mio percorso universitario nel 2018, conseguendo la laurea magistrale in Management e design dei servizi, presso l'Università di Milano Bicocca, con una tesi sul metodo Lego® Serious Play®. Un percorso un po' inusuale, ma davvero utile per poter applicare un approccio multidisciplinare a ciò di cui sono appassionato: la protezione dei dati personali. Da ottobre 2018 a settembre 2019 mi sono occupato di conformità al GDPR in Logotel, una società che si occupa di service design, formazione e di creazione e gestione di business community per clienti corporate. Da settembre 2019 lavoro come Legal Consultant, occupandomi di protezione dei dati personali nella società di consulenza Partners4Innovation. Nello specifico mi occupo di progetti data protection in diverse organizzazioni, sia private che pubbliche. Nell'area IP & IT di Ius in Itinere scrivo di protezione dei dati personali e privacy, con il desiderio di approfondire ancora di più queste tematiche e di fornire interessanti spunti ai lettori.

Lascia un commento