Al via le “buone prassi” per il corretto trattamento dei dati effettuato nell’ambito delle attività di intermediazione, ricerca e selezione del personale condotte dalle Agenzie per il lavoro (APL), grazie al Codice di condotta varato dall’Autorità garante per la protezione dei dati personali.
Con lo stesso provvedimento dell’11 gennaio 2024 [doc. web n. 9983415], la medesima Autorità ha accreditato l’Organismo di monitoraggio, quale ente indipendente formato da tre componenti, chiamato a verificare l’osservanza del Codice stesso da parte di tutti gli aderenti e a gestire la risoluzione di eventuali reclami.
Il Codice, allo stato in corso di pubblicazione nella Gazzetta Ufficiale, intende fare chiarezza introducendo alcune significative previsioni a tutela dei candidati a posizioni lavorative, onde evitare possibili discriminazioni nell’accesso al mercato del lavoro.
Vediamo meglio.
Tra GDPR e Statuto dei lavoratori: i profili di privacy del lavoratore sotto la lente del Garante
Indice degli argomenti
Codice di condotta APL approvato: le novità
D’ora in avanti, le Agenzie per il lavoro aderenti al Codice in parola dovranno trattare solo dati strettamente necessari all’istaurazione del rapporto di lavoro.
Al bando tutte le indagini che oltrepassino le stretta competenza tecnico-professionale, dalle opinioni religiose, politiche o sindacali dei lavoratori o aspiranti tali al fine di fare preselezioni sulla sola base delle informazioni pertinenti alla sfera lavorativa esulando dallo status di coniugio o meno, ovvero da quello interessante o perché appartenenti alle categorie protette in quanto diversamente abili. Stop a tutto ciò, nemmeno se il candidato desse un esplicito consenso.
A stabilirlo è il Garante privacy con la nota del 14 febbraio 2024 con la quale fa sapere di aver approvato, finalmente, il codice di condotta per le APL. Si tratta di una novità importante, dal momento che proclama “i dati dei candidati possono essere raccolti solo su canali social di tipo professionale”.
In pratica, le Agenzie (interinali) nella fase antecedente l’assunzione, non possono rectius non debbono “… reperire informazioni attraverso la consultazione di profili social destinati alla comunicazione interpersonale”. In altre parole, basta l’andare a curiosare i profili Facebook, Instagram e via dicendo. Sarà d’ora in avanti ammessa la consultazione dei soli profili professionali come LinkedIn. Non solo, il Garante tiene ad aggiungere che “le informazioni on line possono essere raccolte […] limitatamente alle sole informazioni connesse alla competenza richiesta”.
Ma vi è di più.
Le Agenzie per il lavoro non potranno (più) acquisire “referenze professionali del candidato presso precedenti datori di lavoro e comunicarle ai propri clienti, per conto dei quali è effettuata la ricerca di personale, senza una preventiva autorizzazione esplicita del candidato”.
Una stretta anche sui dati giudiziari che non potranno essere trattati, nemmeno con il consenso del candidato.
Ancora, tra le novità anche le decisioni basate su trattamento automatizzato, per le quali le APL dovranno effettuare una valutazione di impatto dettagliata, indicando nell’informativa resa ai lavoratori, in modo chiaro “i meccanismi alla base dell’automatizzazione e le valutazioni periodiche adottate per verificare l’affidabilità del sistema automatizzato”.
Infine, per i trattamenti totalmente automatizzati dovrà sempre essere garantito il diritto di ottenere l’intervento umano, ben potendo esprimere la propria opinione e di contestare la decisione.
Codice di condotta APL: misura di accountability
L’adesione ad un codice di condotta rappresenta, a livello alto e in questo contesto di categoria, un elemento di responsabilizzazione o meglio di “rendicontazione” e quindi di accountability, in quanto consente di dimostrare la conformità dei trattamenti di dati, posti in essere dai titolari e/o dai responsabili del trattamento che vi aderiscano.
Per completezza e per avere una panoramica generale sul più ampio tema concernente i codici di condotta (ex art 40 GDPR) ovverosia quei meccanismi attraverso i quali poter dimostrare la compliance al GDPR che costituiscono efficaci strumenti volontari rafforzativi dell’accountability i quali stabiliscono norme specifiche per la tutela dei dati personali, il Garante finora ha adottato post GDPR i seguenti codici di condotta, di cui peraltro esiste anche un registro.
Codice di condotta APL: la struttura e la finalità
Il codice di condotta in parola, approvato a distanza di qualche anno (2020) da quando è stato proposto da Assolavoro e poi sottoposto a consultazione pubblica, dopo quattro anni ecco che vede la luce.
Circa la struttura, esso si compone di 18 articoli compresi di allegati che offrono due modelli interessanti (di registro dei trattamenti e di informativa), come di seguito rubricati:
- art.1 definizioni;
- art.2 ambito di applicazione, condizioni e modalità di adesione al codice di condotta;
- art. 3 modello di registro dei trattamenti tipici delle agenzie per il lavoro;
- art. 4 ruolo privacy delle agenzie per il lavoro;
- art. 5 categorie di dati trattati;
- art. 6 basi giuridiche del trattamento dei dati da parte delle APL;
- art. 7 indicazioni in ordine all’informativa da fornire ai candidati;
- art. 8 comunicazione dati personali;
- art. 9 termini di conservazione;
- art.10 esercizio dei diritti e garanzie per gli interessati nei trattamenti di dati con processi automatizzati;
- art.11 attribuzione di funzioni e compiti per il trattamento di dati personali;
- art.12 misure di sicurezza;
- art.13 conservazione della documentazione;
- art.14 organismo di monitoraggio;
- art.15 compiti e poteri dell’organismo di monitoraggio;
- art.16 procedura di riesame del codice di condotta;
- art.17 entrata in vigore del codice di condotta e modifiche;
- art. 18 allegati.
La finalità dell’intero impianto risiede nell’incoraggiare a elaborare ancora “codici di condotta” affinché gli obblighi siano calibrati in considerazione del potenziale rischio di trattamento non conforme alla normativa, e quindi lesivo per i diritti e le libertà fondamentali delle persone fisiche.
Codice di condotta APL: campo di applicazione
Dopo le definizioni di cui all’art. 1 alle quali testualmente si rinvia, ecco l’ambito di applicazione che merita un breve approfondimento dal momento che rappresenta condizioni e modalità di adesione al presente codice di condotta.
Nel merito, questo Codice di condotta -CDC si applica a “tutte le APL associate ad Assolavoro.
Ma cosa significa aderirvi?
Vuol dire in pratica vincolarsi per:
- rispettarne i principi dettati e applicarvi le indicazioni contenute nell’articolato;
- accettare e collaborare alle attività di sorveglianza e controllo nello stesso CDC previste;
- concorrere, infine, all’attuazione del CDC in questione.
Il meccanismo di adesione e le relative istruzioni sono disponibili qui.
Si aderisce tramite la compilazione e poi la trasmissione all’Organismo di monitoraggio – OdM della relativa “richiesta di adesione”, per le opportune verifiche. Una volta effettuate, in senso positivo viene approvata l’adesione, dandone poi informazione al Garante. Eventuali dinieghi vanno motivati e non precludono una nuova successiva richiesta.
L’adesione, in ogni caso, è libera e facoltativa ed è aperta a tutte le Agenzie per il Lavoro, purché abbiano sede legale in Italia e siano iscritte all’Albo informatico Nazionale delle Agenzie per il Lavoro a seguito del rilascio dell’autorizzazione da parte di ANPAL.
Codice di condotta APL: il registro delle attività di trattamento
Una volta accolta la domanda di adesione, l’APL aggregata deve conformarsi al “di registro delle agenzie per il lavoro” conformemente ai requisiti previsti dall’art. 30.
Assolavoro mette a disposizione un modello di registro dei Trattamenti (di cui all’Allegato 1) che ha natura meramente esemplificativa, non vincolante, dei Trattamenti tipici nell’ambito delle APL.
Si tratta di un modello fornito per “consentire alle APL aderenti la compilazione/verifica della completezza del proprio Registro da declinare nel rispetto dei Trattamenti effettivamente effettuati dalle stesse”. In quanto tale, ciascuna APL ha facoltà di sviluppare la propria attività e i propri servizi senza limitazione alcuna.
Codice di condotta APL: ruoli privacy
Il CDC si occupa poi di stabilire bene i “rapporti con i Clienti e gli Utilizzatori per l’effettuazione delle Attività delle APL”, salvo quelle di esecuzione di servizi in outsourcing. In tutti gli altri ruoli, l’APL rivestono il ruolo di Titolare del trattamento, e nella fattispecie, sono tali quando fanno attività di:
- somministrazione lavoro;
- ricerca e selezione del personale;
- intermediazione;
- supporto alla ricollocazione professionale.
Mette in conto evidenziare ancora che tra APL e Utilizzatore/Cliente c’è un rapporto invece di titolarità autonoma (titolare/titolare del trattamento) in quanto entrambi i soggetti determinano autonomamente le finalità e le modalità dei trattamenti.
In caso di outsourcing, le APL agendo conto terzi, devono invece essere designate responsabili del trattamento ai sensi e per gli effetti di cui all’art. 28 GDPR.
Codice di condotta APL: categorie di dati
Quanto alla tipologia dei dati, nello svolgimento delle proprie Attività, si legge espressamente, all’art. 5 che le APL trattano dati:
- comuni, identificativi e di contatto (quali, a titolo esemplificativo, nome, cognome, data di nascita, codice fiscale, indirizzo, contatti telefonici e e-mail, residenza, stato civile, immagine fotografica);
- contenuti nel CV quali esperienze formative e professionali pregresse, titoli di studio etc.; iii. dati forniti dai candidati in relazione alla posizione lavorativa (es. disponibilità immediata; disponibilità solo per lavoro part-time);
- finalizzati alla verifica del possesso di attestazioni, certificazioni, patenti, abilitazioni ecc.;
- relativi all’idoneità e attitudine a svolgere determinate mansioni;
- particolari categorie di dati ex art. 9 GDPR solo se la raccolta sia giustificata da scopi determinati e legittimi nonché necessaria per instaurare il rapporto di lavoro o di collaborazione con il Cliente;
- idonei a rivelare lo stato di salute quali l’appartenenza a categorie protette o limitazioni allo svolgimento di determinate mansioni per disabilità;
- idonei a rivelare l’origine razziale ed etnica.
Per ulteriori specifiche si rinvia direttamente al testo del CDC in parola.
Codice di condotta APL: base giuridica
La base giuridica del trattamento essenzialmente è “la necessità di dare esecuzione ad un contratto di cui l’interessato è parte o a misure precontrattuali adottate su richiesta dello stesso” (art. 6, par. 1, lett. b) GDPR.
Circa il trattamento dei dati particolari in fase di selezione dei Candidati, le APL possono fare affidamento ad ulteriori finalità (necessità di assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia juslavoristica).
Codice di condotta APL: informativa per i candidati
Questo CDC, al fine di adeguarsi alle previsioni del GDPR, con riferimento all’iinformativa agli interessati, definisce bene che “le informazioni da fornire all’interessato che, ai sensi del Regolamento, variano in relazione alle modalità di raccolta dei dati personali” vale a dire direttamente presso l’interessato ex art. 13 GDPR o presso terzi (come terzi titolari e fonti pubblicamente accessibili) ex art. 14 cit.
Assolavoro tramite questo CDC, quindi, mette a disposizione un modello di informativa Candidati di (all. 2 ex art. 18) per le APL aderenti, caldamente suggerita da adoperare, ma non strettamente vincolante.
Codice di condotta APL: data retention
Nel pieno rispetto del principio di limitazione della conservazione (data retention) di cui all’art. 5.1 lett. e) GDPR, le APL sono tenute a individuare i termini di conservazione dei dati in ordine alle esigenze organizzative nonché di previsione normativa.
Circa i dati relativi ai candidati trattati nell’ambito delle attività delle APL, ad eccezione dell’ipotesi di somministrazione lavoro, le APL sono tenute a conservare i dati per un periodo massimo di quarantotto (48) mesi “dall’ultima attività svolta per finalità connesse o strumentali allo svolgimento dell’attività di ricerca e selezione dei candidati nonché per usufruire dei servizi gratuiti offerti dalle APL (in linea con il Modello di informativa di cui all’Allegato 2, art. 18 del presente CDC), fatta salva la possibilità dell’interessato di poter chiedere in ogni momento la cancellazione”, così recita il Codice in questione al relativo articolo 9.
A garanzia di ciò oltre che di un corretto trattamento dei dati riferiti ai candidati, le APL saranno tenute ad adottare “…procedure per l’aggiornamento periodico del database alla scadenza del termine di conservazione previsto”.
Operativamente, tali procedure potranno consistere, ad esempio, nell’inoltro di e-mail ai Candidati contenenti il link all’informativa con chiare informazioni circa la possibilità di esercitare il diritto alla cancellazione dalla banca dati.
Termini di conservazione differenti sono invece per i dati trattati nell’ambito dei rapporti di Somministrazione di lavoro, allorché le APL conservano i dati per un periodo di 11 (undici) anni dalla cessazione del rapporto di lavoro. Tale termine è stato definito tenendo conto del termine di prescrizione ordinario previsto dalle disposizioni di legge (ex art. 2946 Cod. Civ.) con l’aggiunta di un anno, termine tecnico necessario affinché la cancellazione venga completata.
I tempi di conservazione dei dati potrebbero variare a seconda degli specifici obblighi normativi ovvero a seguito di particolari esigenze organizzative.
Codice di condotta APL: misure di sicurezza
Fermo quanto previsto dall’art. 32 del GDPR, le valutazioni di rischio delle APL sono effettuate grazie a “metodologie formalizzate e basate su criteri quanto più possibile oggettivi, che tengano conto delle componenti di probabilità e impatto dei diversi rischi”. In pratica, misure di sicurezza tecniche organizzative adeguate prima di tutto.
Ai fini di individuare correttamente le misure di sicurezza adeguate, si tengono in considerazione buone pratiche e standard internazionali di settore come la ISO/IEC 27001:2017, ISO/IEC 27002:2013 Codice di buone pratiche per il sistema di gestione della sicurezza dell’informazione; il COBIT “Obiettivi di controllo delle tecnologie dell’informazione e delle comunicazioni” (modello di riferimento per la governance delle tecnologie dell’informazione); e non da ultimo il NIST Cybersecurity Framework Version 1.1.
Codice di condotta APL: organismo di monitoraggio
Ancora, il rispetto del CDC è garantito da un apposito Organismo di Monitoraggio – ODM. Quest’ultimo viene designato, previo accreditamento da parte del Garante per la protezione di dati personali ai sensi e per gli effetti dell’art. 41 GDPR a garanzia che lo stesso codice venga rispettato, per l’appunto.
Organismo di monitoraggio: come funziona
L’Organismo di monitoraggio è formato da membri che hanno una “riconosciuta esperienza sia giuridica che informatica in materia di protezione dei dati personali, con particolare riguardo al settore delle APL nonché un’approfondita conoscenza ed esperienza nello svolgimento di compiti di vigilanza e controllo”.
L’OdM svolge funzioni di supervisione e cura del coordinamento e dell’organizzazione delle attività del medesimo Organismo, debitamente rendicontate, che saranno finanziate da parte di ciascuna delle APL aderenti al presente Codice di condotta.
L’incarico “istituzionale” può avere una durata massima di 5 anni, non rinnovabile.
Compiti e poteri dell’Organismo di monitoraggio
L’Organismo di monitoraggio è dotato delle caratteristiche essenziali previste dall’art. 41 del GDPR nonché previste dall’All. 1 del Provvedimento n. 98 del 10 giugno 2020, tra cui: onorabilità, indipendenza e imparzialità.
Ciascun componente dell’Organismo deve infatti “costantemente garantire la massima imparzialità ed indipendenza anche evitando ogni situazione di conflitto di interessi, reale o anche solo potenziale, sia per sé stesso che in riferimento a propri parenti, affini entro il terzo grado, coniugi o conviventi.
A tal fine, ogni componente dovrà inderogabilmente dichiarare senza alcun ingiustificato ritardo, preliminarmente alla formalizzazione della propria nomina ed in qualunque momento nel corso dell’esecuzione dei propri compiti di cui al presente Codice di condotta, qualsiasi circostanza in grado di configurare o comunque determinare un conflitto di interessi, conseguentemente astenendosi dal prendere parte a qualsiasi processo decisionale e dal compiere qualsivoglia attività in seno all’OdM per cui rilevi il conflitto di interessi che lo vede coinvolto”, come si legge espressamente.
Circa i poteri, ai fini di un corretto ed efficiente svolgimento dei propri compiti, è essenziale che “ciascun componente dell’OdM garantisca un adeguato livello di competenza, da intendersi come l’insieme delle conoscenze, delle esperienze e degli strumenti necessari ad un efficiente svolgimento delle funzioni assegnate”.
Che obiettivi si pone l’Organismo di monitoraggio
L’ODM tra gli obiettivi promuove l’applicazione uniforme del CDC e della normativa in materia di protezione dei dati personali al settore delle APL come previsto nel CDC.
Non solo, sensibilizza i soggetti aderenti al CDC rispetto alle tematiche di protezione dei dati personali, ma anche garantisce il controllo effettivo ed imparziale sulla piena osservanza del CDC.
Organismo di monitoraggio: quali conseguenze
Ai fini di una corretta applicazione del CDC, l’OdM può irrogare ai soggetti aderenti “misure correttive o interdittive” che dovranno essere inserite in un idoneo registro costantemente aggiornato.
In conseguenza dei controlli effettuati in esecuzione dei propri poteri, o delle decisioni adottate all’esito della procedura di reclamo, l’OdM potrà decidere di applicare al soggetto aderente, in dipendenza della gravità della violazione eventualmente riscontrata, una o più delle seguenti misure:
- un invito al soggetto aderente a modificare la condotta, in considerazione di una maggiore aderenza alle previsioni del Codice di condotta;
- un richiamo formale indirizzato esclusivamente al soggetto aderente;
- la sospensione temporanea dall’adesione al presente Codice di condotta;
- l’esclusione dal presente Codice di condotta del soggetto aderente.
Per ulteriori dettagli si rinvia direttamente al testo uscito.
Codice di condotta APL: da quando si applica
Il Codice di condotta in parola è in corso di pubblicazione nella Gazzetta Ufficiale. Acquisterà efficacia dal giorno successivo a quello della pubblicazione, attesa a breve, ma seguiamo con precisione gli aggiornamenti.
Codice di condotta APL: gli allegati
All’art.18 quale ultima disposizione, sono previsti i due allegati di cui si è detto che devono considerarsi parte integrante e sostanziale reperibili qui (registro) e qui (informativa). Come sopra accennato, si tratta di due modelli messi a disposizione da Assolavoro interessanti come congeniati e che quindi meritano di essere visionati e approfonditi, anche in altra sede.
Un messaggio importante di cambio approccio
Quindi, un passo in avanti importante che offre un codice di comportamento per le APL mandando tuttavia un messaggio che tra le righe potrebbe estendersi a tutti coloro che fanno selezione del personale dai recruiter ai formatori/coach: l’inibizione d’ora in poi dello sguardo ai profili social che non siano strettamente professionali.
In termini di protezione dati, infatti, la circostanza per la quale un profilo social di un aspirante candidato sia disponibile al pubblico, non può mai essere considerato un valido presupposto di liceità del trattamento dei dati personali, anzi; e in un certo qual senso è financo lesivo della riservatezza a tutto tondo intesa.
Insomma, regole chiare e precise di insegnamento per tutti coloro che operano e hanno a che fare con il mondo della selezione del personale.