Il comunissimo caso del Curriculum Vitae inviato in azienda, configura una situazione particolare e problematica per quanto riguarda l’obbligatorietà dell’informativa privacy da parte del titolare del trattamento. Scopriamola.
Informativa privacy cos’è:
Un passo alla volta. Con ordine. Prima di affrontare la questione sopra esposta è necessario capire cos’è una informativa privacy e a quali finalità risponde.
Secondo le disposizioni del GDPR l’informativa privacy è un documento, il più possibile chiaro e sintetico, nel quale il titolare del trattamento fornisce una serie di informazioni all’interessato, ovvero alla persona a cui si riferiscono i dati, prima della raccolta dei dati stessi.
In particolare deve contenere i seguenti elementi:
- Identità e dati di contatto del titolare del trattamento (cioè chi decide ''finalità e mezzi'' in base alla terminologia del GDPR).
- Dati di contatto del responsabile della protezione dei dati (Data Protection Officer), quando il titolare l'ha designato se necessario.
- Finalità e base giuridica del trattamento, cioè il perché tratta i dati e quali sono i presupposti legali per farlo.
- Se i dati personali verranno comunicati ad altri.
- Se si intende trasferire i dati personali a un paese terzo o ad un’organizzazione internazionale.
- Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinarlo.
- I diritti in capo all'interessato e la possibilità di proporre reclamo al Garante della Privacy.
- Se il conferimento dei dati è obbligatorio o facoltativo e le eventuali conseguenze del mancato conferimento.
- L'eventuale esistenza di un processo decisionale automatizzato e le sue conseguenze.
Cv inviato spontaneamente, come informare prima della raccolta?
Tra i diversi trattamenti che le aziende pongono in essere ogni giorno c’è sicuramente quello relativo agli aspiranti dipendenti.
La dinamica con cui ciò accade è semplicissima. È sufficiente che il responsabile delle risorse umane, o chi per lui, riceva ed apra sulla propria casella di posta elettronica un cv.
Quest’ultimo, infatti, è una miniera di dati personali. Non contiene solo le informazioni relative all’identità del soggetto, ma anche quelle relative al percorso professionale e di formazione.
E non si può nemmeno escludere la totale assenza di dati particolari, ossia di quelle informazioni che rivelano l’orientamento sessuale, l’appartenenza politica e sindacale, l’etnia e lo stato di salute.
Ciò che conta, ai fini del discorso, è che in capo all’azienda si costituisce un trattamento di dati personali. In questo caso, secondo le regole generali del GDPR, il titolare dovrebbe consegnare all’interessato un’informativa prima del trattamento ma come ben sappiamo, risulta impossibile in quanto la candidatura viene identificata come ''spontanea'' e non ''sollecitata''.
In alcuni casi però diventa obbligatorio fornirla comuque, vediamo quando.
Chi riceve un cv deve consegnare l’informativa privacy al candidato?
Il caso del candidato che invia il cv individua una situazione particolare. Infatti, non è l’azienda che raccoglie volontariamente i dati dell’individuo, ma è questo che con la sua azione invita l’azienda a trattare i dati sulla base di unproprio interesse a prendere parte alle procedure di selezione.
In questa ipotesi il GDPR prevede un’eccezione alla regola generale di fornire all’interessato la relativa informativa. In caso di invio spontaneo di cv l’obbligo di consegnare l’informativa è subordinato all’eventualità di un colloquio con l’interessato.
Quindi se l’azienda decide di cestinare il CV perché reputa il profilo professionale del candidatonon interessante, non dovrà inviare nessuna informativa al mittente.
Al contrario se l’azienda decide di fissare un colloquio con il candidato, sarà obbligata, all’inizio dell’incontro, a consegnargli un’informativa privacy corredata dai contenuti esposti sopra.
Se cerchi un software per creare privacy policy clicca su questo link.
