Skip to content Skip to sidebar Skip to footer

Trattare i dati personali nel recruiting, a partire dal CV: ecco il Codice di condotta per le Agenzie per il Lavoro

Nel processo di ricerca di un lavoro i dati personali dei candidati, a partire da quelli contenuti nei CV, circolano abbondantemente. Per questo, il Garante Privacy ha approvato un Codice di Condotta, destinato alle Agenzie per il Lavoro, che fa chiarezza sui limiti alla raccolta, diffusione e conservazione dei dati personali. Questo articolo risponde a una serie di domande sul documento.

Premessa

Con provvedimento dell’11 gennaio 2024, il Garante per la protezione dei dati personali ha approvato il Codice di condotta (di seguito “Codice”), promosso dall’Associazione Nazionale delle Agenzie per il Lavoro (Assolavoro), attualmente in corso di pubblicazione sulla Gazzetta Ufficiale.

Il Codice raccoglie un insieme di buone prassi in materia di trattamento dei dati personali nell’ambito delle attività di intermediazione, ricerca e selezione del personale, contribuendo alla corretta applicazione del Regolamento (UE) 2016/679 (“GDPR”) e tenendo conto delle specificità del settore delle agenzie per il lavoro (di seguito, “APL” o “Agenzie”).

Diventerà efficacie il giorno successivo a quello della pubblicazione nella Gazzetta Ufficiale e verrà inserito nei registri di cui all’art. 40 paragrafi 6 e 11 del GDPR.

Ambito di applicazione
Cosa sono le Agenzie per il lavoro?

Ai sensi del Codice, le APL sono soggetti privati autorizzati dall’ANPAL (Agenzia Nazionale delle Politiche Attive del Lavoro, sotto la vigilanza del Ministero del Lavoro) e iscritti in apposito Albo, che ricoprono il ruolo di intermediari tra domanda e offerta di lavoro. In particolare, svolgono attività di intermediazione, di ricerca e selezione del personale, di ricollocazione e somministrazione professionale e attività connesse per i propri clienti.

A quali Agenzie si applicano le disposizioni del Codice?

Le disposizioni del Codice si applicano a tutte le Agenzie associate ad Assolavoro che vi aderiscono.

Possono aderirvi anche le Agenzie non associate purché:

  • abbiano sede legale in Italia, e
  • siano iscritte all’ANPAL (Albo Informatico Nazionale delle Agenzie per il Lavoro), previo ottenimento dell’autorizzazione da quest’ultima o da un’altra Autorità prevista.

L’adesione rimane libera e facoltativa e comporta l’impegno a rispettare il Codice, concorrere alla sua attuazione e assoggettarsi all’attività di sorveglianza e controllo prevista dallo stesso Codice.

Come aderire ad Assolavoro?

L’adesione ad Assolavoro è subordinata alla presentazione, da parte dell’APL, di una semplice richiesta di adesione, attestante il possesso dei necessari requisiti.

L’Organismo di Monitoraggio

Il rispetto del Codice è garantito da apposito organismo di monitoraggio, un ente indipendente, formato da tre componenti, chiamato a verificare l’osservanza del Codice da parte degli aderenti e a gestire la risoluzione dei reclami.

L’ente sarà costituito, previo accreditamento da parte del Garante per la protezione dei dati personali, da membri con riconosciuta esperienza sia giuridica che informatica in materia di protezione dei dati personali.

Per garantire piena autonomia all’ente, viene garantito un budget dedicato all’espletamento dei suoi compiti (e assicurato dalle quote versate dalle Agenzie aderenti al Codice) ed è previsto che possa richiedere ai soggetti aderenti tutte le informazioni e dati necessari e che adotti le sue decisioni in piena indipendenza.

Quali sono le sue missioni?

L’ente mira a promuovere l’applicazione uniforme del Codice e della normativa in materia di protezione dei dati personali nel settore delle Agenzie, a sensibilizzare i soggetti aderenti al Codice rispetto alle tematiche di protezione dei dati personali e a garantire un controllo effettivo sul rispetto del Codice.

L’Organismo di Monitoraggio:

  • adotta annualmente un piano di controllo sull’attuazione del Codice, che mira ad assicurare un controllo imparziale sui soggetti aderenti, inclusa un’attività di audit sul 20% di questi ultimi;
  • riceve, gestisce e decide sui reclami in materia di inadempimento del Codice da parte delle Agenzie e tiene aggiornato idoneo registro di reclami e azioni correttive e/o sanzionatorie

Conseguentemente ad un inadempimento, l’organismo potrà prendere le misure seguenti nei confronti delle Agenzie inadempienti:

  • un invito a modificare la condotta,
  • un richiamo formale,
  • una sospensione temporanea dell’adesione al Codice,
  • l’esclusione dal codice di condotta dell’Agenzia.
Il ruolo privacy delle Agenzie 

Nei rapporti con i clienti, le Agenzie assumono il ruolo di Titolare del trattamento dei dati, instaurando una relazione Titolare – Titolare con l’utilizzatore/cliente, in quanto entrambi i soggetti determinano autonomamente le finalità e le modalità dei trattamenti.

Ciò è quanto accade nell’ambito delle attività di:

  • Somministrazione di lavoro;
  • Ricerca e selezione del personale;
  • Intermediazione;
  • Supporto alla ricollocazione professionale.

Unica eccezione a tale inquadramento ricorre nell’ambito di un incarico in outsourcing, dove la APL tratta dati personali per conto del titolare-cliente e agisce, pertanto, in qualità di responsabile del trattamento ex art. 28 GDPR.

Quali dati possono essere trattati dalle Agenzie?

In generale, le APL possono raccogliere, sia nella fase di ricerca e selezione del personale, sia per l’instaurazione e gestione del rapporto di somministrazione di lavoro, solo dati pertinenti e necessari per instaurare il rapporto di lavoro o collaborazione con il cliente.

Qualora nei curricula inviati dai candidati siano presenti dati non pertinenti per le finalità perseguite, le APL dovranno astenersi dall’utilizzare tali informazioni.

Più nello specifico, le APL potranno raccogliere e trattare:

  • dati comuni (quali dati identificativi e di contatto, esperienze formative e professionali pregresse, dati relativi all’idoneità e attitudine a svolgere determinate mansioni, ecc…);
  • particolari categorie di dati ex 9del GDPR (come, ad esempio, dati idonei a rivelare lo stato di salute quali l’appartenenza a categorie protette), a condizione che la raccolta di quest’ultimi sia giustificata da scopi legittimi e sia strettamente necessaria per instaurare il rapporto di lavoro o di collaborazione con il cliente;
  • dati giudiziari (si intendono i dati relativi a condanne penali, reati o connesse misure di sicurezza), solo in presenza dei presupposti di cui all’art. 2 octies Codice privacy, come per esempio in osservanza dell’obbligo di cui all’art. 2 del D. lgs, n. 39/2014 di raccolta del certificato penale del casellario giudiziale nel caso di assunzione di lavoratori per lo svolgimento di attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori.

Con l’obiettivo di facilitare la compilazione e favorire la completezza del registro delle attività di trattamento di cui all’art. 30 del GDPR, viene inoltre allegato al Codice, a titolo esemplificativo, un modello di registro dei trattamenti, non vincolante per le Agenzie.

Quale è la base giuridica del trattamento?

La principale base giuridica del trattamento è la “necessità di dare esecuzione ad un contratto di cui l’interessato è parte o a misure precontrattuali adottate su richiesta dello stesso”, come previsto dall’art. 6, par.1, lett. b) del GDPR.

Per il trattamento delle categorie particolari di dati ai sensi dell’art. 9 del GDPR in fase di selezione dei candidati, le APL possono fare affidamento anche a ulteriori condizioni di liceità, come la necessità di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b) GDPR).

Quali sono le informazioni da trasmettere ai candidati?

Allo scopo di conformarsi agli obblighi posti dal GDPR, il Codice definisce le informazioni che le Agenzie dovranno trasmettere ai candidati, al momento della raccolta dei dati e fornisce un modello di informativa, che costituisce un modello di base non vincolante.

Nell’ambito dell’iscrizione sul portale web di un’Agenzia, viene fornito al candidato un link all’informativa sul trattamento dei dati personali. Tutte le informazioni devono essere contenute in un unico luogo o documento, di accesso facile, specificando le finalità di utilizzo del dato raccolto.

Possono essere raccolte anche le informazioni contenute sui profili social dei candidati?

Il Codice introduce significative previsioni a tutela delle informazioni dei candidati contenute nei loro profili social: potranno essere trattati esclusivamente i dati provenienti dai social network di natura professionale. In questo modo, il fatto che un profilo social sia pubblico non potrà essere un presupposto di liceità del trattamento dei dati personali.

Tali dati potranno essere raccolti soltanto se necessari e pertinenti allo svolgimento del lavoro, e comunque nel rispetto del principio di minimizzazione. Il candidato deve inoltre essere informato – prima dell’avvio della fase di selezione – di tale trattamento, mediante l’informativa sul trattamento dei dati personali.

I dati raccolti dovranno essere cancellati quando sarà evidente che nessuna offerta di impiego sarà fatta o in caso di diniego dell’offerta lavorativa da parte del candidato.

A chi possono essere comunicati i dati personali dei candidati?

Il Codice prevede che, in fase di selezione, i dati personali contenuti nei curricula vitae raccolti dalle Agenzie possono essere comunicati ai clienti unicamente per finalità strettamente connesse alla selezione dei candidati ed instaurazione del contratto di lavoro, o in esecuzione di obblighi normativi. Il consenso dell’interessato non è necessario, salvo per le informazioni raccolte presso precedenti datori di lavoro, le quali richiedono un’autorizzazione esplicita del candidato.

Inoltre, i dati personali in ambito di rapporto di somministrazione di lavoro possono essere comunicati all’impresa datrice di lavoro solo per finalità strettamente connesse alla instaurazione, esecuzione, estinzione dell’eventuale contratto di lavoro individuale e/o in esecuzione di obblighi di legge o, nei casi previsti dalla legge, di Regolamento o previsti dai contratti collettivi.

La diffusione dei dati è sempre vietata, salvo consenso esplicito dell’interessato.

Quale è la durata di conservazione dei dati?

In conformità al principio di limitazione della conservazione dei dati, di cui all’art. 5.1 lett. e) del GDPR, il Codice definisce i termini di conservazione dei dati trattati (fatta salva l’individuazione, documentata, di diversi tempi di conservazione per specifici obblighi normativi o in ragione di particolari esigenze organizzative):

  • nell’ambito delle attività delle Agenzie, con esclusione della somministrazione di lavoro, i dati vengono conservati per un periodo massimo di 48 (quarantotto) mesi dall’ultima attività svolta, salvo il diritto dell’interessato di richiederne la cancellazione in ogni momento;
  • nell’ambito dei rapporti di somministrazione di lavoro, i dati vengono conservati per un periodo di massimo 11 (undici) anni dalla cessazione del rapporto di lavoro.
Quali sono le garanzie per gli interessati nei trattamenti automatizzati dei dati?

Le APL possono effettuare trattamenti totalmente automatizzati, ove necessario per lo svolgimento delle proprie attività ovvero previo consenso dell’interessato e previo svolgimento di una valutazione d’impatto (DPIA), ai sensi dell’art. 35 del GDPR.

In questi casi, le Agenzie sono tenute a fornire misure appropriate per la tutela dei diritti degli interessati, ovvero, quantomeno, il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione (conformemente all’art. 22, par. 3 del GDPR).

Inoltre, a tutela del principio di trasparenza, le Agenzie hanno l’onere di fornire agli interessati:

  • informazioni sui meccanismi posti alla base dell’automatizzazione,
  • informazioni sulle valutazioni periodiche volte a verificare l’affidabilità dello strumento automatizzato,
  • indicazioni sulle forme di accesso ai dati.

In questo contesto, le Agenzie devono adottare misure organizzative e tecniche idonee a garantire un riscontro telematico, tempestivo e completo alle richieste di esercizio dei diritti degli interessati, in osservanza di una procedura interna per la gestione dei diritti degli interessati.

Nel caso in cui l’interessato eserciti il diritto di opposizione ai sensi dell’art. 21, paragrafo 1, del GDPR, le Agenzie dovranno astenersi dal trattare ulteriormente i suoi dati personali (salvo che dimostrino l’esistenza di eventuali motivi legittimi cogenti, prevalenti sugli interessi, diritti e libertà dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria).

Come viene conservata la documentazione?

Ciascuna delle Agenzie aderenti è tenuta a conservare tutta la documentazione relativa alla conformità al GDPR e al Codice presso la propria sede sociale. La documentazione dovrà essere aggiornata regolarmente e le varie versioni adottate nel tempo dovranno essere conservate.

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.