Recruiting e privacy: Francesca Bassa racconta le ultime novità del nuovo regolamento UE sulla privacy
Recruiting tips |

Recruiting e privacy: Francesca Bassa racconta le ultime novità del nuovo regolamento UE sulla privacy

Il nuovo regolamento UE 2016 ha introdotto importanti novità in merito alla gestione dei dati in azienda e chiunque si occupi di recruiting, se vuole evitare importanti sanzioni, deve prendere in considerazioni queste novità.

Abbiamo contattato un esperto di queste materie per raccontare quali sono le principali novità e come possono impattare sulla gestione di un’azienda. Il nostro ospite di oggi è Francesca Bassa, Privacy Officer.

Francesca, ti presenteresti ai lettori di Recruiting Italia?
Mi chiamo Francesca Bassa, sono Privacy Officer e opero come consulente nell’ambito di Digital Law e Privacy. Mi sono laureata in Giurisprudenza in Bocconi e successivamente ho conseguito un Master Universitario in Sicurezza delle informazioni presso la facoltà di Ingegneria Informatica La Sapienza di Roma. Ho lavorato in società internazionali del settore Internet collaborando con Google Italy e Telecom Italia.

Quali sono gli obblighi prescritti dalla normativa sulla privacy per un’azienda nell’attività di gestione CV dei candidati?

Gli obblighi normativi sono quelli previsti dalla generale disciplina del Codice della Privacy. Con il nuovo Regolamento (UE) 2016/679 entrato in vigore il 24 maggio 2016 e definitivamente applicabile dal 25 maggio 2018, le aziende sono tenute ad aggiornare il proprio sistema organizzativo di gestione privacy e formare il personale. A quelle aziende che trattano su larga scala categorie particolari di dati, è richiesto dal Regolamento la nomina di una figura professionale ad hoc, quella del “Data Protection Officer”. Le aziende non sopposte all’obbligo di legge potranno comunque decidere di avvalersi della competenza di un Privacy Officer.

Quali sanzioni rischia un’azienda in caso di mancato rispetto della normativa sulla privacy?

Le informazioni dei candidati sono un asset indispensabile per l’azienda e nel corso dei prossimi anni sarà sempre più importante adeguare le policy aziendali in funzione della protezione dei dati, della valorizzazione della propria immagine aziendale e al fine di prevenire futuri costi legali. Il Regolamento (UE) ha inasprito le sanzioni per le imprese, fino al 4 % del fatturato globale nel caso delle violazioni più gravi.

recruiting gdpr

Chi può ricoprire il ruolo di “Data Protection Officer” in azienda?

Il ruolo di Data Protection Officer può essere ricoperto da un dipendente dell’azienda o da un soggetto esterno purchè il ruolo sia svolto in piena indipendenza. Il Privacy Officer deve essere designato in funzione delle sue qualità professionali, in particolare di comprovata conoscenza della normativa Privacy e delle pratiche di gestione della privacy e di sicurezza.

Quali diritti ha un candidato in relazione al trattamento dei suoi dati personali presenti all’interno del suo CV?

In generale il candidato può esercitare i diritti ex art. 7 del Codice della Privacy, come il diritto all’accesso alle modalità di trattamento del titolare, l’aggiornamento dei dati, la loro rettifica, integrazione, trasformazione anonima o il blocco in caso di violazione di legge. Il Regolamento (UE) ha poi rafforzato il controllo dei dati da parte dell’utente e il diritto a richiederne la loro cancellazione.

Cosa prescrive la legge relativamente al trattamento di dati sensibili?

Come indicato nelle linee guida del Garante nell’ambito della selezione del personale, è superfluo richiedere al candidato il consenso al trattamento dei dati inseriti nel CV, salvo non contenga dati sensibili e quindi il candidato rientri in una categoria protetta o i dati siano destinati alla comunicazione di terzi. Se si tratta invece di “autocandidatura”, l’azienda non ha l’obbligo di fornire l’informativa e di richiedere il consenso, inclusi i dati sensibili. Quando l’impresa avvia una selezione sul candidato, prima di acquisirne il CV è tenuta a fornire, a voce o per iscritto, l’informativa sul loro trattamento.

Per quanto tempo è possibile la conservazione ed il trattamento dei dati dei candidati?
Valgono le disposizioni contenute nel Codice della Privacy. Secondo il principio generale, le aziende possono conservare i dati solo per il tempo strettamente necessario alle finalità di raccolta, scaduto tale termine i dati devono essere cancellati o trasformati in forma anonima e i dati personali trattati in violazione di legge non possono essere utilizzati.

gdpr risorse umane

Quali sono le misure di sicurezza che servono a proteggere i dati dei candidati?

Negli ultimi anni si registra un aumento di attacchi informatici che colpiscono sia le grandi imprese come le infrastrutture critiche del Sistema Paese, sia le PMI. Le aziende sono tenute a proteggere i sistemi informativi con adeguate misure di sicurezza al fine di prevenire rischi quali le intrusioni, distruzione e perdita. Sono alcune misure di sicurezza adeguate la cifratura dei dati ovvero la loro pseudonomizzazione, la messa in atto di procedure tecniche che assicurino la prevenzione o il contrasto dei rischi informatici. Il Regolamento (UE) rafforza il livello generale delle politiche di sicurezza e prevede l’obbligo per il titolare del trattamento di segnalare all’Autorità Garante le violazioni dei dati personali entro 72 ore dal momento in cui si è venuti a conoscenza della violazione e sarà tenuto a dimostrare l’adozione di tutte le misure necessarie a garantire la sicurezza dei dati.

Cosa prescrive la normativa privacy nel caso di un’azienda multinazionale con sedi in differenti paesi?

Il Regolamento (UE) ha introdotto il principio “one – stop – shop” che consentirà alle aziende presenti in più Stati UE di trattare con l’ Autorità dello Stato in cui l’azienda ha lo stabilimento principale. Ciò agevola l’impresa che, con più sedi, potrà rivolgersi a una singola Autorità di controllo nazionale. Le disposizioni del nuovo Regolamento si applicano anche nel caso in cui il titolare di trattamento non sia stabilito nell’Unione e i suoi beni e servizi siano offerti a cittadini europei.

Sorge l’obbligo di nominare la società sviluppatrice del recruiting software “Responsabile esterno del trattamento dei dati personali”?

La decisione di affidare all’esterno un trattamento è una scelta facoltativa del titolare che riguarda esigenze organizzative e tecniche aziendali. In questo caso, il titolare è tenuto a selezionare preventivamente il soggetto esterno valutandone, in particolare, il sistema di sicurezza delle informazioni adottato. Al fine di garantire una maggiore sicurezza, per le aziende con più di 250 dipendenti o che trattano categorie particolari di dati (e in altri casi specifici), il nuovo Regolamento (UE) introduce la compilazione di appositi registri di attività di trattamento sia per il titolare sia per il responsabile.