Le regole GDPR per la selezione del personale

Le regole GDPR per la selezione del personale

Selezione del personale: come farla secondo il GDPR

A partire da maggio 2018, le organizzazioni e le imprese che raccolgono dati personali di residenti nell’UE devono conformarsi al Regolamento generale sulla protezione dei dati, meglio noto come GDPR (General Data Protection Regulation), che mira a rafforzare il diritto alla privacy e a proteggere i dati sensibili dei cittadini europei.

Aziende e organizzazioni devono garantire la conformità al GDPR di tutte le attività in cui effettuano raccolta di dati personali e ciò riguarda anche il recruiting, attività fondamentale nel settore risorse umane, che vede la raccolta delle informazioni personali dei candidati selezionabili per una posizione di lavoro.

Sia le procedure di selezione che quelle di assunzione comportano un trattamento dei dati personali (come curricula, certificati di idoneità al lavoro o casellari giudiziari) quindi devono essere svolte nel rispetto del Regolamento UE 2016/679.

GDPR e recruiting: il trattamento dei dati nel processo di selezione

Per la fase di selezione dei candidati il GDPR ha stabilito alcune regole volte a garantire trasparenza e tutela dei dati personali trattati.

Sono sei i principi fondamentali del GDPR che si applicano ai dati raccolti durante il processo di selezione e assumono un ruolo chiave nello sviluppo delle politiche interne dell’organizzazione in tema di protezione dei dati:

  • Liceità, correttezza e trasparenza: le attività di raccolta dei dati personali devono essere svolte in totale trasparenza, informando il candidato dell’uso che ne verrà fatto e ottenendo il suo consenso esplicito;
  • Limitazione della finalità: i dati raccolti possono essere utilizzati soltanto per lo scopo dichiarato nell’informativa obbligatoria e non possono essere trattenuti oltre il tempo strettamente necessario alla realizzazione di tale scopo;
  • Minimizzazione dei dati: le informazioni richieste al candidato devono essere pertinenti e limitate a ciò che è strettamente necessario per la valutazione della sua candidatura;
  • Esattezza: è responsabilità dell’organizzazione assicurarsi che i dati raccolti siano corretti e aggiornati. Il candidato ha il diritto di poter chiedere in qualsiasi momento la modifica o la cancellazione definitiva degli suoi dati dai sistemi aziendali (cosiddetto diritto all’oblio);
  • Limitazione della conservazione: una volta raggiunto lo scopo che ha originato la raccolta dei dati, questi devono essere eliminati. Tuttavia, le politiche di conservazione dei dati non sono uguali per tutte le aziende e possono variare a seconda dei processi e delle attività che le caratterizzano. Ad esempio, nell’informativa sulla privacy potrebbe essere specificato che i dati dei candidati che non hanno superato la selezione, una volta concluso il processo di recruiting, saranno conservati per future opportunità di lavoro;
  • Integrità e riservatezza: i dati personali devono essere trattati in modo da garantire un livello di sicurezza adeguato. Devono quindi essere protetti da accessi non autorizzati, perdite, distruzioni o danneggiamenti.

Il modello di informativa nella candidatura a una posizione aperta

Nel caso di una candidatura a una posizione aperta pubblicata sul sito web o su un portale di recruiting, la normativa GDPR richiede che l’azienda, nella sua qualità di titolare del trattamento, fornisca un apposito modello di informativa, redatto ai sensi dell’art. 13 del Regolamento UE 2016/679.

Il primo comma dell’articolo indica nello specifico che le informazioni relative al trattamento dei dati dovrebbero essere fornite all’interessato “nel momento in cui i dati personali sono ottenuti”. Questo significa che l’informativa deve essere presentata in anticipo, ad esempio in calce al form di raccolta oppure all’interno della piattaforma o dell’area del sito web in cui vengono richieste le informazioni o il caricamento del CV, affinché il candidato sia in grado di esercitare il “diritto di essere informato”, il cui rispetto è regolamentato dall’ex artt. 12 e seguenti GDPR, e il trattamento avvenga nel rispetto di due principi alla base dell’art. 5 della normativa europea, ovvero correttezza e trasparenza.

L’informativa sulla privacy nella candidatura spontanea

In caso di candidatura spontanea, la situazione è leggermente diversa. Se l’interessato invia spontaneamente il proprio CV via e-mail o lo consegna di persona all’azienda, quest’ultima ha comunque l’obbligo di fornire l’informativa al candidato ma i tempi saranno diversi rispetto a una candidatura in risposta a un’offerta pubblicata.

Se nel primo caso l’informativa deve essere fornita in anticipo o al momento del ricevimento del CV e dei dati personali in esso contenuti, nella seconda ipotesi l’art. 111-bis del Codice privacy stabilisce che “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo”.

Ciò significa che l’azienda deve fornire l’informativa “al primo contatto utile”, ad esempio, in una possibile email di risposta al candidato a seguito della ricezione telematica del CV, allegandola nel messaggio di risposta o inviando il link dell’area privacy del sito Internet dell’azienda dove è stata caricata l’informativa.

Articolo precedenteMarca da bollo: qual è la differenza tra digitale e virtuale?
Articolo successivoPiattaforme digitali: guida alle modalità di accesso

ARTICOLI CORRELATIALTRO DALL'AUTORE