Privacy e recruiting: come gestirla secondo il GDPR
Come trattare i dati personali dei candidati? Per quanto tempo tenerli e come rispettare la normativa GDPR durante il processo di recruitment? A queste e tante altre domande rispondiamo in questo articolo.
Fare recruiting significa, come sappiamo, tantissime cose. Ma non è “solo” una questione di trovare persone talentuose, riuscire a capire se sono adatte al ruolo vacante, considerarle valide per un’eventuale altra selezione o arricchire la talent pipeline. C’è un altro aspetto che conta tantissimo e cui i recruiter devono prestare tantissima attenzione: la privacy.
Saper trattare e gestire i dati sensibili delle persone è importante e ogni recruiter deve comportarsi in maniera etica, non solo per questioni legate alle normative, ma anche di reputation dell’azienda, oltre che, ovviamente, nei confronti di chi dimostra fiducia candidandosi per una posizione.
Cerchiamo di capire in questo articolo come al giorno d’oggi vada gestita la privacy, alla luce del GDPR e non solo.
SOMMARIO
- GDPR e privacy: trattare dati personali e particolari
- Quali dati non possono essere raccolti dai recruiter?
- Cosa si intende per trattamento dei dati personali?
- Dati personali e candidatura a una posizione aperta
- Cosa deve contenere l’informativa sulla privacy
- Trattamento dei dati e candidatura spontanea
- Autorizzazione al trattamento dei dati personali
- Quali caratteristiche deve avere il consenso dei candidati?
- Quali limiti ha il consenso fornito dai candidati?
- Per quanto tempo si possono tenere i dati dei candidati?
GDPR e privacy: trattare dati personali e particolari
A regolare il trattamento dei dati personali è, come sappiamo, il GDPR. L’acronimo sta per General Data Protection Regulation ed è il regolamento UE sulla privacy introdotto nel 2018. Si applica a tutte le aziende che trattano dati di residenti in Europa (per esempio consumatori, prospect, dipendenti o candidati).
Le aziende che ignorano questa normativa rischiano sanzioni fino a 20 milioni di euro o il 4% del loro fatturato globale.
Nel caso dei recruiter, il GDPR è ovviamente importante perché la ricerca e selezione di personale richiede l’acquisizione di diversi dati personali.
Cosa si intende con queste due parole? Il dato personale, come precisato dal GDPR, è qualsiasi informazione relativa a una persona che può essere utilizzata direttamente o indirettamente per identificarla.
Questo, nell’attività del recruiting, può succedere quando si riceve il CV di una persona in cui ci sono, per l’appunto, diversi dati personali: il nome e cognome, il posto in cui risiede, l’e-mail, il numero di cellulare. Il GDPR protegge tutti questi dati e richiede, a chi viene a contatto con essi, di attivare degli adempimenti perché vengano garantite l’integrità, la riservatezza e il corretto trattamento di queste informazioni.
Peraltro, se ci pensi bene, in un CV oltre a queste info, possono essere presenti categorie di “dati particolari” come li definiscono gli articoli 9 e 10 del GDPR.
Dati particolari sono, secondo l’articolo 9, quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale così come lo sono i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Tutti dati che possono essere trattati solo dietro consenso delle persone interessate e in altri casi definiti dall’articolo 9 del GDPR.
Altre categorie particolari di dati personali sono quelle relative a condanne penali e reati, come specificato dall’articolo 10 del GDPR.
Quali dati non possono essere raccolti dai recruiter?
Allo stesso tempo ci sono dei dati che i recruiter non possono assolutamente raccogliere. Come, per esempio:
- codice fiscale e coordinate bancarie (che possono essere raccolti quando si sta, invece, avviando un’assunzione)
- informazioni su altri membri della famiglia o sull’idea di avere figli o meno
- informazioni relative all’aspetto fisico
Inoltre, è importante evitare il trattamento di dati giudiziari, come per esempio l’accesso al casellario giudiziale dei candidati, che di norma è vietato, sebbene esistano delle eccezioni previste per determinate figure e mansioni particolari, come lavori che prevedono il contatto diretto e regolare con i minori.
Cosa si intende per trattamento dei dati personali?
Fin qui abbiamo parlato di “trattamento dei dati personali” (data processing), ma cosa si intende? Secondo il GDPR, è “ogni operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
In questo ovviamente rientrano tutte le informazioni che si chiedono a una persona quando si candida per una posizione aperta o durante ogni fase del processo di recruiting (sia manuale che automatizzato tramite un software ATS come Inrecruiting).
Dati personali e candidatura a una posizione aperta
Andando maggiormente nel dettaglio, vediamo a cosa il recruiter dovrebbe prestare attenzione quando pubblica un annuncio di lavoro per una posizione vacante. Già al momento della compilazione del form online per effettuare la registrazione all’annuncio, è necessario far sapere ai candidati come saranno gestiti loro i dati. E questo deve avvenire in maniera “preliminare”.
Cosa significa? Che è necessario fornire un apposito modello di informativa, come dice l’articolo 13 del GDPR, già nel momento in cui la persona sta decidendo di candidarsi.
Cosa deve contenere l’informativa sulla privacy
L’informativa può essere inserita in calce al form di raccolta o nell’area in cui viene caricato il CV affinché la persona ne sia a conoscenza. In dettaglio, come dice il GDPR, nell’informativa devono essere indicati:
- identità e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale.
L’informativa deve poi garantire un trattamento corretto e trasparente e in dettaglio indicare:
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo all’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Le aziende e i recruiter dovranno essere trasparenti con i candidati in merito ai dati che trattano. Dovranno creare privacy policy e metterle a disposizione dei candidati, ma non solo: dovranno anche esplicitare dove e in che modo archiviano i dati (per esempio all’interno di un ATS) e dichiarare che utilizzano i dati esclusivamente per finalità di reclutamento.
Trattamento dei dati e candidatura spontanea
Tutto questo vale nel caso di una candidatura spontanea che avviene per esempio tramite l’invio del CV via mail o quando – cosa rara, ma succede – viene portato a mano in azienda.
In una situazione simile, c’è però una differenza: i contenuti dell’informativa della privacy vengono forniti durante il primo contatto utile e non preliminarmente e questo perché, appunto, tale candidatura avviene senza che l’azienda stia effettivamente ricercando qualcuno in modo attivo.
Cosa si intende per “primo contatto utile”? Il momento in cui il recruiter risponde all’e-mail di candidatura spontanea, allegando l’informativa della privacy o linkandola dal sito aziendale, o in cui contatta per la prima volta la persona che ha portato il CV a mano.
Autorizzazione al trattamento dei dati personali
D’altro canto, c’è da dire che i candidati dovrebbero indicare nel proprio CV l’autorizzazione al trattamento dei dati personali. Si tratta infatti di un consenso scritto a tutte le informazioni che sono contenute all’interno di esso che non è obbligatorio, ma consigliato e che permette al recruiter di mettersi direttamente in contatto.
Quando infatti non è così, come dicevamo prima, il recruiter dovrebbe inviare al candidato l’informativa e solo successivamente può procedere con la valutazione del CV.
Quali caratteristiche deve avere il consenso dei candidati?
Il GDPR richiede che il consenso sia libero, specifico, informato e inequivocabile (infatti non è ammesso il consenso tacito o presunto, come nel caso di caselle pre-flaggate di un modulo).
Il consenso non deve essere necessariamente, come dicevamo, “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è una modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per i dati sensibili). Inoltre, il titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Quali limiti ha il consenso fornito dai candidati?
Il consenso deve essere “specifico”, questo significa che il GDPR richiede di non utilizzare i dati dei candidati per altri scopi rispetto a quelli per i quali sono stati raccolti (da te o dal tuo ATS). Per esempio, non si potranno inviare delle e-mail di marketing agli indirizzi forniti dai candidati che hanno risposto ad un annuncio di lavoro (lo scopo sarebbe un altro e supererebbe i confini del consenso specifico).
Inrecruiting, per esempio, avendo la possibilità di gestire in maniera centralizzata l’invio di SMS e Newsletter massive, ha predisposto la possibilità gestire separatamente la richiesta del consenso per l’e-mail marketing e SMS marketing. Al momento della configurazione del form di candidatura, i recruiter potranno abilitare queste voci e permettere ai candidati di esprimere il loro consenso alla ricezione di messaggi o email.
Per quanto tempo si possono tenere i dati dei candidati?
Il GDPR esplicita che non è possibile tenere in archivio i dati dei candidati per un tempo indefinito, ma è obbligatorio indicare nell’informativa per i candidati il tempo di conservazione.
Il GDPR non è però esplicito sul tempo massimo di archiviazione dei dati dei candidati. C’è un elemento che bisogna tenere in considerazione: se si mantengono i dati dei candidati oltre un tempo congruo per il proprio scopo, si ha l’onere di dimostrare la necessità alla base di questo trattamento più lungo del previsto.
Quando si usa un software per il recruiting, inoltre, è importante gestire correttamente le richieste di aggiornamento dei dati, modifica o cancellazione dei profili dei candidati ecc.
Oltre al tema della data retention, tra le configurazioni di Inrecruiting, alcune sono specificatamente dedicate agli aspetti della privacy. È possibile inserire una o più informative privacy a seconda della finalità (commerciale, marketing, condizioni d’uso ecc.) e regolarne l’obbligatorietà nei form di candidatura.
Giornalista, content strategist e formatrice
Siciliana trapiantata a Milano, città che ama molto come la sua terra. Giornalista, SEO copywriter, formatrice e amante del live tweeting, scrive per varie testate e blog aziendali di lavoro, risorse umane e tanto altro.
Ha scritto nel 2020 il suo primo libro “Scrivere per informare” insieme a Riccardo Esposito, edito da Flacowski e nel 2021 altri due: “L’impresa come media” e “Content marketing per eventi“.
Ama il mare, la bici, la pizza, i libri, le chiacchiere all’aperto.