La gestione dei cv all’interno dell’azienda

curriculum vitae e gdpr

Il Regolamento 679/16, il Regolamento Europeo sulla Protezione Dati, conosciuto più comunemente come GDPR, ha imposto nuove regole in tema di tutela di dati personali, i quali sono oggetto principale di trattamento  in un curriculum vitae.

Occorre una premessa.

Sappiamo che il curriculum vitae è un “contenitore” intriso di dati personali, non solo i dati identificativi e anagrafici, ossia nome, cognome, indirizzo, luogo e data di nascita, ma anche quelli di contatto come il recapito telefonico, fisso o mobile, nonché il proprio indirizzo mail.

Il curriculum vitae può inoltre contenere i dati cd. di natura particolare, ex art 9 GDPR, ossia i vecchi dati sensibili che riguardano tutte le informazioni che possono rivelare questioni più private relative all’individuo, tra cui per esempio l’origine razziale, le convinzioni religiose, la propria vita sessuale.

Ancora, si rammentano i dati giuridici: le informazioni che possono rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale.

Sotto la vigenza del Codice privacy ante novella del 2018, era solito inserire l’autorizzazione generica al trattamento dei dati personali, con la consueta forma del consenso.

Era solito nfatti trovare in calce al curriculum vitae l’espressione “autorizzo al trattamento dei dati personali ai sensi del D.Lgs. 196/2003”, anche nella forma, “il sottoscritto autorizza al trattamento dei dati personali ai sensi del D.Lgs. 196/2003”.

In verità, però, questa dicitura, anche sotto la vigenza del vecchio Codice privacy, era superflua dal momento che il vecchio Codice della Privacy, secondo il Decreto Legislativo 196/2003, all’art 24, comma 1 indicava, tra i casi nei quali poteva essere effettuato il trattamento senza consenso, tutti quei “dati contenuti nei curricula nei casi di cui all’articolo 13, comma 5 bis” riferendosi alla trasmissione spontanea dei curriculum effettuata dagli interessati per essere considerati per un rapporto di lavoro.

Anche il vecchio articolo 26, comma 3, lett. b-bis, prevedeva che il consenso non era necessario neanche per i dati sensibili eventualmente contenuti nel CV.

Nel 2011 con la legge 70 le cose sono state ulteriormente semplificate con la specifica relativa alla possibilità per il datore di lavoro di ricevere i curricula senza esplicita dichiarazione di trattamento al consenso dei dati, premurandosi di “fornire all’interessato, anche oralmente, un’informativa breve”.

Con l’avvento del GDPR, si è avuta conferma di questo trattamento dei dati curriculari.

Il datore di lavoro, esattamente come in precedenza, non deve richiedere il consenso per il trattamento dei dati personali dei candidati ma deve ottemperare a tutta una serie di regole che sono obbligatorie perché stabilite a livello legislativo.

L’azienda deve avere pronta una informativa redatta ai sensi degli articoli 13 e 14 del GDPR da fornire al candidato al primo contatto utile o contestualmente alla candidatura. L’azienda non può mai richiedere la presenza del disclaimer con l’autorizzazione sul cv del candidato.

Un’azienda potrebbe trattare informazioni personali relative ai candidati anche attraverso una previa compilazione da parte degli stessi di apposito modello (form) reso disponibile sul proprio sito internet, costituendo un vero e proprio database.

L’azienda che raccoglie curriculm vitae deve individuare alcune regole per trattare in modo lecito i dati personali (anche sensibili) contenuti in tale documento.

1) qualora l’azienda riceva il curriculm vitae per e-mail, dovrà rispondere attraverso una propria comunicazione contenente un rimando (per es. attraverso un link) alla privacy policy del sito aziendale in modo che il candidato venga informato su come verranno trattati i suoi dati e possa prenderne visione in maniera completa;

2) nel caso in cui l’azienda opti per l’archiviazione cartacea del curriculm vitae si dovrà individuare un apposito armadio per la relativa archiviazione, tenuto sottochiave e accessibile solo dal personale autorizzato.

3) La stessa specifica autorizzazione dovrà essere prevista per l’accesso alla cartella del PC contenente il curriculm vitae salvato digitalmente.

Infine, è importante inserire il trattamento dei dati curriculari all’interno del Registro del trattamento indicando puntualmente il termine di conservazione che deve essere breve e limitato.

Il Garante, infatti, ha statuito sul punto che i dati contenuti nel CV non possono essere detenuti dall’azienda oltre 6 mesi, massimo 12, ciò in conformità ai principi contenuti nell’art 5 GDPR,  ed in particolare al par. 1, lett d) nel quale si prescrive che: i dati personali, per essere trattati lecitamente, devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»).

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.