CV e formule di chiusura relative alla privacy
Un illustre collega ha pubblicato un post su linkedin che collocherei a metà tra uno sfogo e un contributo in materia di privacy nei CV.
Tranne qualche refuso, il collega non dice nulla di errato, tuttavia non è molto costruttivo e, accentuandone un po’ la rilevanza, rende il mondo peggiore di come lo ha trovato.
Nel mio piccolo amo migliorare le cose e provo sempre ad essere di aiuto persino a chi critico aspramente. Ecco, dunque, un mini-articolo focalizzato sui CV, sulle diciture standard di chiusura relative ai consensi e alle “frasette sulla privacy”.
Cosa dice la legge?
Nel Codice Privacy, il D.lgs. 196/03, si trova un articolo dedicato alle aziende che ricevono i CV inviati spontaneamente dalle persone che si propongono per un possibile lavoro.
Il testo non richiede particolare analisi ed è immediatamente comprensibile.
L'articolo 111-bis esime le aziende dal dover mandare informazioni sul trattamento (l'informativa) a chi invia la propria candidatura. In effetti, un invio spontaneo, non sollecitato in alcun modo, non dovrebbe comportare obblighi per il ricevente che resterà sempre libero di cestinare o prendere in considerazione il CV giunto nella posta. La stessa cosa conferma la norma stabilendo che il titolare, l’azienda, dovrà dare informazioni sul trattamento al candidato solo qualora decida di contattarlo. Se il CV finisce nel cestino o in archivio, l’azienda non ha alcun onere informativo verso il mittente.
Fine della storia.
Non era una storia molto interessante, dopotutto.
La trama si infittisce con il secondo episodio, o meglio, il secondo periodo dell’articolo 111-bis che affronta il delicato tema del consenso.
Per comprendere questa norma, in realtà abbastanza pleonastica, è necessario richiamare il concetto di base di legittimazione: per trattare un dato lecitamente è indispensabile una base di legittimazione (di seguito BdL) tra le poche previste dal GDPR. Le BdL hanno una loro gerarchia interna e la loro individuazione deve rispondere a precisi criteri. Il consenso, da sempre considerato la panacea legittimante per qualsiasi trattamento, con il GDPR ha una funzione solo residuale, vale a dire che si può ricorrere al consenso solo ed esclusivamente se non si può contare su un’altra BdL più appropriata.
Tra le BdL previste dal GDPR troviamo, oltre al consenso, anche il contratto che, peraltro, include anche tutte le attività precontrattuali.
Dato che l’assunzione e la collaborazione lavorativa si fonda su un contratto, è necessario ricondurre tutti i trattamenti ad essa riferiti proprio alla BdL specificamente prevista per ogni contratto. Sarebbe un grave errore basare questi trattamenti sul consenso, sia per rispettare l’articolo 6 che ci chiede di individuare quella più appropriata, sia perché il consenso, per definizione, è sempre revocabile.
Non oso immaginare un lavoratore che, dopo un paio di anni di lavoro, chieda alla propria azienda di cancellare tutti i dati relativi alla sua assunzione, alla selezione a suo tempo effettuata o relativi al CV consegnato come referenze. Soprattutto per questo non si può fondare il trattamento del CV sul consenso.
Per questa ragione un CV non deve e non può riportare alcuna dicitura di acquisizione di informativa, nessuna formula autorizzativa o di consenso al trattamento: il problema non è citare una norma abrogata quanto, piuttosto, sbagliare clamorosamente su un aspetto tecnico, normativo e afferente alla meccanica della legittimità del trattamento.
Tutto questo, naturalmente, ha senso solo in relazione ad un ipotetico titolare presso il quale si desideri presentare direttamente la propria candidatura.
Se il CV fosse destinato ad altro, per esempio, a confluire in un database o in un archivio presso una agenzia per il lavoro, un cacciatore di teste, un intermediario nel mondo del lavoro, la BdL contrattuale probabilmente non sarebbe più sufficiente poiché i trattamenti si moltiplicherebbero e avverrebbero presso diversi titolari. In questi casi occorrerà analizzare più nel dettaglio la natura dei soggetti coinvolti, l’obbligatorietà di determinati trattamenti, l’eventuale mandato ricevuto dall’intermediario per ricerca e selezione da una specifica azienda che rimarrà unico titolare, ecc. Si apre dunque una infinita casistica da analizzare di volta in volta, una grossa matassa da dipanare.
E chi non si candida spontaneamente? Chi risponde ad un annuncio di lavoro? Chi compila un form online su una pagina web che descrive una posizione aperta? Chi trova il lavoro dei propri sogni appeso nella bacheca della palestra o esposto in una colorata vetrina?
Beh, sono candidature spontanee anche queste. Non si può certo dire che siano candidature obbligatorie o forzate ma, generalmente, si distinguono dalle candidature spontanee per via del fatto che, a monte, esiste una offerta esplicita.
L’offerta di lavoro diventa un elemento importante perché rende possibile dare al candidato anche una informativa sul trattamento dei suoi dati. Se questo elemento venisse ritardato, avremmo una mancanza di trasparenza, di buonafede e, in sostanza, una violazione del GDPR che chiede di dare l’informativa PRIMA del trattamento.
Un titolare che pubblica un annuncio non potrà dire di aver ricevuto dei CV in modo causale, non potrà buttarli nel cestino o archiviarli con disinvoltura. Quei CV gli sono stati inviati in risposta ad una specifica offerta che, pertanto, deve specificare nel dettaglio come saranno trattati i dati che quell’azienda riceverà dai candidati.
Dunque, per le candidature spontanee, l’informativa verrà data solo se l’azienda deciderà di contattare alcune delle persone che hanno inviato il proprio CV e il trattamento non richiederà mai un consenso poiché finalizzato al contratto di assunzione.
Per i CV inviati in risposta ad annunci di lavoro, l’informativa dovrà essere resa ai candidati già all’interno dell’annuncio stesso, per dar loro modo di evitare di inviare dati personali a chi non promette di trattarli con il dovuto garbo. Anche in questo caso non dovrà essere chiesto, e non dovrà essere dato alcun consenso, a meno che non ci siano particolari forme di ricerca e selezione che lo richiedono.
In ultimo, con riferimento allo strampalato neologismo dei “casi sensibili” citati dal collega, penso che valga la pena di parlare dei dati sensibili contenuti in un CV. I dati sensibili sono quelli riconducibili all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, ai dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Sono sensibili anche i dati genetici e biometrici ma direi che è poco probabile ritrovarli in un CV.
In presenza di questi dati è necessaria, oltre ad una base di legittimazione, anche una esenzione da un divieto generale di trattamento (art. 9 del GDPR). Tra le esenzioni compare, di nuovo, il consenso, ma anche ogni trattamento necessario per esercitare i diritti specifici del titolare o dell'interessato in materia di diritto del lavoro, ovviamente ove previsto dalla legge e con adeguate garanzie.
Mi rendo conto che molti lavoratori sbaglino anche perché, dopo una breve verifica, ho potuto constatare che molti siti danno indicazioni errate e forvianti in merito alle formule di chiusure e autorizzazione al trattamento:
https://www.ticonsiglio.com/autorizzazione-trattamento-dati-personali/ (BOCCIATO) https://www.adecco.it/come-trovare-lavoro/trattamento-dati-personali-cv (BOCCIATO) https://it.indeed.com/guida-alla-carriera/cv-lettere-presentazione/autorizzazione-trattamento-dati-personali-cv (BOCCIATO)
Il mio consiglio ad un candidato è di non includere mai dati sensibili nel proprio CV.
Ad un titolare consiglierei di cestinare ogni CV che contenga questa tipologia di dati personali.
Nei rarissimi casi in cui un CV possa riportare dati sensibili per una buona ragione come, per esempio, nel caso di assunzione di una categoria protetta, direi che il GDPR, anche in questo caso, include quanto necessario per esimere dal divieto di trattamento senza dover fare ricorso all’insidioso e ingannevole consenso.
Giusto ieri ho sento dire da un autorevole statista che il GDPR ostacola e appesantisce le aziende.
A mio parere, è vero il contrario.
Prosit