Che cosa bisogna inserire all’interno del CV per essere conformi al GDPR? Istruzioni per datori di lavoro e candidati

Quando si naviga su internet molti siti offrono spunti e consigli su come adeguare la propria attività al GDPR. Alcuni di essi sono ormai definibili come una sorta di dottrina 2.0, ma, attenzione, altrettanti hanno contenuti poco affidabili in quanto semplicemente improvvisati al fine di cavalcare una delle onde del momento.

Prendiamo, ad esempio, il tema Curriculum Vitae. Che cosa deve inserire all’interno del proprio cv il candidato all’assunzione che vuole renderlo “aggiornato al GDPR”? Che cosa deve richiedere il datore di lavoro al fine di effettuare un trattamento dei dati personali legittimo?

Se si digita su Google “dicitura CV GDPR” appare una moltitudine di pagine web che hanno la pretesa, e la convinzione, di spiegare ai propri utenti “come fare a realizzare un CV a prova di GDPR”. Elemento qualificato come imprescindibile è, nella maggior parte delle pagine che si consultano, l’autorizzazione da parte del candidato al trattamento dei dati personali. Essa, infatti, è considerata condicio sine qua non al fine di consentire al datore di lavoro di trattare i dati personali del candidato e di poterlo ricontattare per eventuali colloqui/assunzioni.

Ancora, navigando su internet su siti e social network particolarmente noti per la ricerca del lavoro è possibile notare che datori di lavoro, all’interno dei requisiti ai fini del colloquio, inseriscono diciture quali: “CV in formato europeo con autorizzazione del nuovo GDPR”. In linea, dunque, con quanto scritto sopra.

Ma queste pratiche sono corrette?

Chi inserisce all’interno del proprio CV l’autorizzazione al trattamento dei dati e, soprattutto, chi richiede che ciò sia fatto al fine di una corretta candidatura sembra non tenere in considerazione che il GDPR prevede al proprio interno differenti tipologie di basi giuridiche in grado di legittimare il trattamento dei dati personali.

Più precisamente, il fatto che si inerisca o si richieda l’autorizzazione al trattamento dei dati personali implica che la base giuridica del trattamento sia il consenso del candidato all’assunzione.

Peccato che, all’interno della normativa vigente, ci siano altre basi giuridiche potenzialmente applicabili. All’interno dell’art. 6 del GDPR queste sono chiaramente elencate e devono essere tutte attentamente valutate prima di stabilire quale sia quella corretta.

Tale lavoro di valutazione, in questo caso, è reso particolarmente semplice dal nostro Codice Privacy, modificato dal D.lgs. 101/2018, il cui art. 111-bis ci dice chiaramente qual è la base giuridica per il trattamento dei dati personali contenuti nei curricula: “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”

Questo significa che se i dati personali sono utilizzati dal datore di lavoro esclusivamente al fine di valutare l’idoneità del candidato alla posizione lavorativa per cui si è offerto, l’esecuzione delle misure precontrattuali (art. 6, par. 1, lett b) è la base giuridica del trattamento dei dati personali e, di conseguenza, deve escludersi il consenso.

Peraltro, si tiene a precisare, considerandolo elemento non di poco conto, che il consenso prestato al fine di legittimare il trattamento di dati personali, per essere conforme al GDPR, deve essere libero. Il consenso è libero solo quando vi è una consapevolezza da parte dell’interessato degli elementi sui quali il consenso si esprime, ma anche, ed imprescindibilmente, quando vi è una totale mancanza di condizionamenti. Per valutare la presenza o meno di condizionamenti nei confronti dell’interessato si devono prendere in considerazione le conseguenze del rifiuto. Se un candidato all’assunzione non trasmette i proprio dati personali non può essere selezionato, essendo dunque evidente il peso della conseguenza, è altrettanto evidente la scorrettezza del consenso quale fondamento giuridico.

In definitiva, non resta che sostenere che la dicitura in calce al CV contenente l’autorizzazione al trattamento dei dati non è necessaria e la richiesta da parte del datore di lavoro di apporla in calce al CV è scorretta.

Che cosa deve fare dunque il candidato all’assunzione?

Il candidato all’assunzione non deve inserire alcuna dicitura in calce al proprio CV.

Che cosa, invece, deve fare il datore di lavoro?

Al datore di lavoro rimangono comunque in capo degli obblighi, nonostante non sia tenuto a richiedere il consenso per il trattamento dei dati personali dei canditati all’assunzione, qui sotto sintetizzati.

1. Il datore di lavoro deve, comunque, fornire un’informativa ex art. 13 al candidato, all’interno della quale verrà spiegato all’interessato come e perché avviene il trattamento dei suoi dati personali. Questa informativa può essere consegnata/resa accessibile in diversi momenti a seconda delle circostanze:
2. nel caso in cui il datore di lavoro riceva una e-mail, del tutto spontanea, dal candidato all’interno della quale è presente un CV, l’informativa potrà essere consegnata al momento del primo contatto con il candidato (per esempio nella e-mail di risposta al fine dell’organizzazione di un colloquio, oppure consegnata in formato cartaceo al primo colloquio con il candidato);
3. nel caso in cui il datore di lavoro pubblichi un annuncio su internet per segnalare l’apertura di una posizione oppure nel caso in cui all’interno del sito del datore di lavoro ci sia una sezione dedicata alle assunzioni (es. “lavora con noi”), l’informativa ex art. 13 deve essere subito disponibile. Si consiglia, pertanto, di inserire un link di collegamento al testo dell’informativa sotto l’annuncio o sotto al form di inserimento dei dati personali nella sezione del sito dedicata ai candidati all’assunzione.
4. Tra i requisiti all’assunzione il datore di lavoro può comunque richiedere l’invio di un CV “privato dei dati sensibili identificati al Regolamento UE 2016/679 (General Data Protection Regulation – GDPR)”. In questo caso, infatti, la richiesta è corretta in quanto il trattamento di dati particolari (conosciuti come sensibili) ex art. 9 GDPR non può essere effettuato sulla base di misure precontrattuali (art. 6, par. 1, lett. b). Va a tutela del datore di lavoro, dunque, dichiarare che il CV deve essere privato di dati sensibili (dati particolari ex art. 9 GDPR), in questo modo, qualora il candidato dovesse comunque conferirli, lo farebbe attraverso una propria azione spontanea non richiesta dal datore di lavoro e, dunque, sulla base di un libero consenso (art. 9, par. 2, lett a). In alternativa, tale ricostruzione potrà essere inserita all’interno dell’informativa ex art. 13 resa immediatamente disponibile da parte del Titolare.