Curriculum: è davvero necessario chiedere il consenso al trattamento dei dati?

Ore Aggiornato il Categorie Lavoro

Non è raro che nell’ambito delle candidature per una posizione di lavoro, i recruiter aziendali richiedano che nel curriculum trasmesso venga espressamente indicato il consenso al trattamento dei dati.

Ma cosa significa prestare il consenso? È davvero necessario?

Per rispondere a queste domande, è necessaria una breve premessa sul sistema normativo.

PREMESSE

Il Regolamento UE sulla protezione dei dati (GDPR) pone diverse basi giuridiche per il lecito trattamento dei dati dell’Interessato.

Più precisamente, queste sono:

  • Il consenso dell’Interessato
  • L’esecuzione di un contratto o di previsioni precontrattuali
  • L’adempimento di un obbligo di legge
  • L’interesse legittimo del Titolare
  • L’interesse vitale dell’Interessato
  • L’esecuzione di un compito svolto nell’interesse pubblico

Con specifico riguardo al consenso, esso si considera valido se prestato liberamente ed in modo informato.
Per questo motivo, il titolare del trattamento sarà tenuto a rendere l’informativa sul trattamento dei dati, il cui contenuto è previsto all’art. 13 GDPR, affinchè l’Interessato possa prestare un valido consenso.

A ciò si aggiunga che tra, i principi applicabili al trattamento dei dati personali, figura anche la trasparenza. Anche in questo caso, quindi, è doveroso sottolineare come il Titolare sia tenuto a garantire l’esplicita determinazione delle informazioni riguardanti il trattamento.

IL CASO DEI CURRICULUM

Posto quanto sopra, sembra difficile poter affermare che il consenso posto su un curriculum, senza previa informativa sul trattamento dei dati, possa essere ritenuto valido.

Proviamo ad analizzare due casi tipo che riguardano l’invio dei CV, anche alla luce delle nuove esigenze di rendere telematici i processi di selezione, per verificare come trovano applicazione i principi sopra menzionati.

INVIO DELLA CANDIDATURA PER UNA POSIZIONE APERTA

Prendiamo il caso del candidato che si propone compilando un form su un sito internet, oppure a seguito della registrazione direttamente sulla piattaforma dell’azienda per una posizione aperta.

Ebbene, in questa situazione, dovrebbe essere la società Titolare del trattamento ad informare preventivamente il candidato circa le modalità di utilizzo dei suoi dati ed è giusto che lo faccia, ai sensi dell’art. 13, proprio nel momento in cui i dati sono ottenuti.

Sarà dunque essenziale che, al momento della compilazione del form o della registrazione, al soggetto che immette i dati venga preventivamente resa l’informativa privacy.
Quanto alla necessità del consenso contenuto nel successivo inoltro del CV, possiamo rilevare che ai sensi dell’art 4 del Reg. UE 2016/679 si definisce consenso anche “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Pertanto, il semplice invio della candidatura, previa lettura dell’informativa, costituirebbe già di per sé una manifestazione del consenso.

INVIO DELLA CANDIDATURA SPONTANEA

Discorso diverso, sebbene non nelle conclusioni, merita il caso dell’invio del CV spontaneo.

In questo caso il candidato invia i propri dati al recruiter in assenza di un annuncio.
E’ logico pensare che in questa ipotesi diventi difficile per il Titolare fornire una informativa preventiva.

Per questo motivo, il Codice Privacy così come riformato nel 2018, prevede espressamente che le informazioni di cui all’art. 13 del GDPR “nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo“

Quindi, il recruiter sarà tenuto ad informare il candidato non appena possibile e ad ottenerne il consenso.

A tal proposito, specifichiamo comunque che il consenso al trattamento dei dati presenti nel curriculum non è dovuto quando è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Come detto in premesse, infatti, la base giuridica del trattamento dei dati può essere costituita, oltre che dal consenso, dall’ esecuzione di un contratto o di previsioni precontrattuali

L’invio della candidatura rientra pienamente nel caso delle misure precontrattuali in quanto finalizzata ad una eventuale e successiva assunzione che si costituirà con la stipula del contratto di lavoro.

CONCLUSIONI

Come abbiamo chiarito il consenso al trattamento dei dati non può essere valido in assenza di una informativa.

In caso di processi di selezione, ciò che resta sempre indispensabile è quindi il dovere dell’azienda di fornire l’informativa privacy nell’annuncio stesso, in caso di posizione aperta, e successivamente, al primo incontro, in caso di candidatura spontanea.

Nonostante le modifiche intervenute al Codice Privacy, è ancora oggi molto frequente incorrere in offerte di lavoro recanti la richiesta di introdurre nel cv l’autorizzazione al trattamento dei dati personali.

Questa prassi altro non dimostra che una superficiale e non aggiornata conoscenza della normativa. Infatti molte aziende sono solite adeguarvisi sulla base di modulistica standard e poco ragionata.

La compliance privacy richiede diversamente un costante aggiornamento ed una comprensione delle logiche che stanno alla base della tutela dei dati personali. Ciò anche per non svuotare di contenuto le prescrizioni imposte e per far sì che i processi aziendali, talvolta dispendiosi, siano strettamente funzionali agli scopi imposti. Un professionista esperto potrà senz’altro aiutare nella valutazione dell’azienda e nella successiva predisposizione di processi sensati e ponderati.

———————————–

Articoli simili