Inserire o no il consenso al trattamento dei dati nel curriculum vitae (cv)? Con l’entrata in vigore del GDPR, questa incertezza ha creato dubbi in molti candidati in cerca di lavoro.
La risposta, affermativa o negativa, dipende dai casi. È opportuno distinguere tra le due diverse situazioni che possono prospettarsi: la candidatura inviata spontaneamente e la candidatura inviata sulla base di posizioni aperte da una società e quindi a seguito di offerta di lavoro.
Indice degli argomenti
La candidatura spontanea, non mettere l’autorizzazione
Nel caso di candidatura spontanea, l’inserimento all’interno del CV della formuletta di consenso (o autorizzazione) al trattamento dei dati personali è sbagliato e dimostra scarsa conoscenza della normativa italiana ed europea. Infatti, il presupposto di un consenso validamente prestato è che sia stato preceduto da un’adeguata informativa e, nel caso di candidatura spontaneamente inviata, è improbabile che la società destinataria dell’invio ne abbia potuto fornire una all’interessato.
Il quadro normativo è sempre stato chiaro: già la legge n.675/96 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), all’art. 11 aveva previsto che “il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 10”. Le informazioni, del resto, erano e sono rimaste sostanzialmente le stesse:
- le finalità e le modalità del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del loro conferimento;
- le conseguenze di un eventuale rifiuto a rispondere;
- i soggetti o le categorie di soggetti ai quali i dati potessero essere comunicati e l’ambito di diffusione dei dati medesimi;
- i diritti dell’interessato e il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare.
È evidente, del resto, che l’interessato nel momento in cui invia il proprio curriculum non possa sapere, ad esempio, quali siano le modalità di trattamento dei dati e chi siano i soggetti ai quali gli stessi possano essere comunicati; in sostanza il consenso non sarebbe consapevole. L’avvento del d.lgs. n. 196/03 (Codice Privacy) non ha cambiato le cose: il consenso, per essere validamente prestato, deve essere libero ed informato e, nel caso di candidatura spontanea, il titolare del trattamento non può raccogliere preliminarmente un valido consenso, non essendo in grado di fornire un’informativa prima della raccolta dei dati.
Purtroppo, però, da un lato le società (per paura di trattare illecitamente i dati) e dall’altro i candidati (per paura di veder scartati i propri CV) hanno contribuito alla perpetrazione di questo modus operandi costringendo il buon legislatore a chiarire ulteriormente il concetto. Infatti, con decreto-legge n. 70/11 si è introdotto il comma 5 bis all’art. 13 del Codice Privacy e l’esplicita previsione che in caso di invio spontaneo della candidatura, l’informativa (breve) dovesse essere resa soltanto al momento dell’eventuale primo contatto successivo alla ricezione. Per essere ancora più chiari, ha inoltre aggiunto il comma i) all’art. 24 del Codice Privacy (casi in cui può essere effettuato il trattamento senza consenso) specificando ulteriormente che il consenso non fosse necessario nel caso in cui il trattamento riguardasse i dati contenuti nei curricula spontaneamente inviati.
I dati sensibili
Come noto, il trattamento dei dati sensibili può essere effettuato solo a seguito di espresso consenso: proprio su quest’argomento ha fatto leva l’opinione comune secondo cui, almeno per i dati sensibili, dovesse essere espressa l’autorizzazione (preliminare e non informata) al trattamento all’interno dei CV. Anche questa convinzione è priva di fondamento. Lo stesso decreto-legge su menzionato, ha infatti aggiunto la lett. B-bis) all’art. 26 del Codice, estendendo la deroga prevista dall’art.13 c. 5 bis anche a tali tipologie di dati.
Ad una prima e superficiale lettura del GDPR e della normativa nazionale, i dati sensibili non dovrebbero essere inseriti all’interno dei CV spontaneamente inviati ai possibili recruiter. L’abrogazione dell’art. 26 e l’esclusivo riferimento all’art. 6 GDPR (e non anche all’art.9) lascerebbero di fatto priva di copertura l’indicazione dei dati sensibili all’interno dei cv, il cui trattamento avverrebbe in assenza dei presupposti di legge.
A parere di chi scrive, però, il presupposto legittimante l’inserimento di dati sensibili (limitandosi all’indicazione di appartenenza a categorie protette) all’interno del CV, è ravvisabile nell’art.9 par.2 lett.b), ossia “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.
La necessità del consenso
Il considerando 32 del GDPR afferma in modo chiaro che “il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”. Ma è il considerando 40 a fornire la chiave di volta per comprendere la portata del consenso, dichiarando che: “Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
Ecco quindi che se il trattamento dei dati contenuto nei cv non può fondarsi sul consenso dell’interessato, ha bisogno di un’altra condizione legittimante che si ravvisa nell’esecuzione di misure precontrattuali svolte su richiesta dell’interessato (art. 6 par. 1 lett.b GDPR). Allo stesso punto di arrivo è pervenuto il legislatore italiano che, riformando il d.lgs. n.196/03, se da un lato ha abrogato i primi 49 articoli, ha introdotto l’art. 111 – bis che testualmente afferma: “Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto”.Si spera pertanto che oggi ed una volta per tutte sia chiaro che la formula di consenso non si debba e non si possa inserire nel CV in caso di candidatura spontanea.
L’invio del CV tramite posizioni aperte
Nel caso in cui le società siano attivamente alla ricerca di personale occorrerà fare una semplice e veloce distinzione. Se all’interno del sito internet troviamo semplicemente la dicitura: “Lavora con noi – invia il tuo CV”, tramite email per esempio, la candidatura sarà assimilabile ad un invio spontaneo e quindi varranno le considerazioni su esposte in tema di candidatura spontanea.
Nel caso, invece, in cui sia previsto un meccanismo per la ricezione dei CV (ad esempio mediante compilazione di apposito form per le posizioni aperte), le società avranno anche ben presente le modalità ed i tempi di trattamento dei dati personali dei candidati (le finalità del trattamento, se c’è profilazione, dove vanno materialmente a finire questi dati, se c’è un database, il tempo di conservazione, la possibilità o meno di cedere il cv a terzo o utilizzarlo per posizioni diverse rispetto a quella oggetto di candidatura) e pertanto sarebbero in grado di fornire apposita e doverosa informativa anche prima della ricezione degli stessi. Anche in questo caso, comunque, appare evidente che un’informativa avrà senso solo nel caso in cui vi sia un vero e proprio trattamento dei dati.
GDPR e CV, attenzione all’interpretazione
Perché vi sia trattamento (rectius, perché il trattamento sia rilevante ai fini dell’applicazione e/o applicabilità del GDPR), non deve essere soddisfatto solo il requisito di cui all’art. 4 par .1 n.2 ma occorre un qualcosa di più. Occorre che il trattamento dei dati sia contenuto, o destinato ad essere contenuto in un archivio. Il considerando 15, in combinato disposto all’art. 2 (ambito di applicazione materiale) affermano esplicitamente quanto sopra, ricordando che: “La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”.
Attenzione alla parola fascicoli, leggiamolo nel testo originale: “Files or sets of files which are not structured according to specific criteria should not fall within the scope of this Regulation”. Attenzione anche alla parola archivio, definito poi nell’art. 4 par. 1 n.6) come un “insieme strutturato di dati personali accessibili secondo criteri determinati”.
Quid iuris nel caso in cui il CV inviato per email rimanga lì, nella posta in arrivo, senza alcun ordine apparente se non quello della data? E si badi bene che in posta in arrivo non si riceve solo l’email, ma spesso anche l’output di un form. La casella email è o può essere assimilata ad un archivio? A seconda della risposta che si dà a questa domanda, si deve rimettere in discussione tutto quanto affermato. Se le caselle email non vengono considerate come archivio (e questa è la tesi di chi scrive), allora resta perfettamente valido e saldo tutto l’impianto su cui si fonda quest’articolo e le email andranno considerate quale semplice miscellanea e quindi non soggetta alle imposizioni del GDPR.
Se, invece, si propende per l’assimilabilità delle caselle email ad un archivio, allora bisognerà chiedersi se anche i dati personali presenti nelle email contenenti CV siano strutturati uniformemente secondo criteri determinati (per esempio, risultati di un form, ricevuti a mezzo email). In caso di ulteriore risposta affermativa, allora la conservazione delle email in cui è contenuto il CV è trattamento (ulteriore) e pertanto se la società non lo cancella immediatamente dopo la ricezione, deve prevedere un termine di conservazione e fornire un’informativa (successiva). Come sempre, in conclusione, è tutta questione di interpretazione.
