Quadri normativi della privacy per le candidature spontanee secondo il GDPR
Le candidature spontanee rivestono un ruolo significativo nella pratica quotidiana di molte aziende. Le candidature non sollecitate ampliano il bacino di reclutamento e offrono nuove potenzialità, ma rappresentano anche una sfida in materia di protezione dei dati: soprattutto quando i dati personali vengono raccolti e trattati al di fuori delle procedure di candidatura standardizzate, devono essere rispettati requisiti specifici del Regolamento Generale sulla Protezione dei Dati (GDPR). Di seguito vengono approfonditi gli aspetti giuridici fondamentali per rendere trasparente la complessità e rilevanza della materia per aziende, investitori e decisori.
Fondamenti legali: limitazione della finalità e obbligo di trasparenza
Finalità del trattamento e bilanciamento degli interessi
L’art. 6, paragrafo 1 del GDPR costituisce la base giuridica centrale per il trattamento dei dati personali nell’ambito dei procedimenti di candidatura. Nelle candidature spontanee è necessaria un’analisi particolarmente accurata delle condizioni: la finalità del trattamento – cioè la valutazione dell’idoneità a possibili futuri rapporti di lavoro – è già determinata con la ricezione della candidatura. Il successivo trattamento o conservazione dei documenti, ad esempio per un eventuale contatto futuro in caso di posizioni adatte, può avvenire solo nel rispetto dei principi di limitazione della finalità e minimizzazione dei dati.
Al contrario dei procedimenti di candidatura standard, nella candidatura spontanea manca un bando specifico. Pertanto, le aziende devono valutare con particolare attenzione la necessità della raccolta e del trattamento dei dati in ogni singolo caso, altrimenti si rischia di violare i principi fondamentali della protezione dei dati.
Obblighi informativi al ricevimento di una candidatura spontanea
Ai sensi dell’art. 13 del GDPR, con il ricevimento di una candidatura spontanea le aziende sono obbligate a informare in modo completo le persone interessate sulla tipologia, entità, finalità e durata del trattamento dei dati, nonché sui diritti loro spettanti. Tale obbligo informativo si estende anche nel caso in cui i dati dei candidati vengano inseriti in un talent pool interno o conservati per future offerte di lavoro: deve essere specificato esplicitamente per quale finalità e per quale durata avviene tale conservazione. Senza questa specifica informazione, un ulteriore trattamento dei dati non sarebbe conforme al GDPR.
Conservazione e cancellazione: limiti e condizioni
Conservazione nel talent pool e requisiti per il consenso
Spesso le aziende intendono conservare le candidature spontanee per un periodo più lungo, al fine di poter accedere rapidamente ai dati inviati quando si presentano posizioni future adeguate. Tale procedura generalmente richiede un consenso esplicito, informato della persona interessata (art. 6, par. 1, lett. a GDPR), salvo che non sussistano altre basi legali applicabili. Il consenso deve essere volontario, specifico, informato e inequivocabile.
L’inserimento generalizzato dei dati dei candidati in sistemi interni o talent pool senza un adeguato consenso è illegale e può comportare sanzioni da parte delle autorità di controllo. Anche in presenza di consenso, devono essere rispettati limiti relativi alla durata della conservazione e il diritto della persona interessata di revocarlo.
Requisiti di cancellazione e termini di conservazione
Il GDPR impone in linea di principio la cancellazione immediata dei dati personali dei candidati non appena la finalità perseguita con la candidatura spontanea è raggiunta o viene meno. La durata della conservazione deve essere adeguata alle esigenze operative, spesso anche in funzione dei termini per eventuali capovolgimenti dell’onere della prova ai sensi della Legge generale sulla parità di trattamento (AGG). In molti casi è consigliabile un termine di cancellazione di sei mesi dalla comunicazione di un rifiuto, poiché entro questo periodo è possibile far valere pretese di discriminazione. Una conservazione sproporzionatamente lunga dei dati sarebbe incompatibile con i principi di minimizzazione e limitazione della conservazione dei dati.
Situazioni particolari e rischi potenziali
Trasmissione e trattamento intra-gruppo dei dati dei candidati
Anche la trasmissione interna delle candidature spontanee all’interno di un gruppo aziendale è soggetta a rigide condizioni. Il trasferimento dati è consentito solo se nel singolo caso è dimostrabile un obbligo contrattuale, un interesse legittimo o un consenso esplicito della persona interessata. In particolare per i talent pool di gruppo, trasparenza e documentabilità del consenso sono imprescindibili per evitare violazioni della privacy e possibili responsabilità.
Misure tecniche e organizzative di protezione
Le aziende sono inoltre obbligate a implementare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR. Ciò riguarda ad esempio la limitazione degli accessi ai dati dei candidati, tecnologie di cifratura, pseudonimizzazione e registrazione degli accessi. La sensibilità dei dati personali rivelati in fase di candidatura – quali CV, certificati o dati sanitari – richiede un livello di protezione particolarmente elevato.
Possibili sanzioni e controlli da parte delle autorità di vigilanza
Le violazioni del GDPR nel contesto delle candidature spontanee possono comportare sanzioni pecuniarie. L’autorità di controllo per la protezione dei dati non è vincolata dall’iniziativa della persona interessata: il semplice sospetto di una conservazione illecita, di un trattamento non informato o della mancata cancellazione può dare motivo a verifiche. In casi singoli, durante le verifiche in corso, vige la presunzione di non colpevolezza; una decisione definitiva è ancora da attendere (Fonti: tra gli altri www.juraforum.de, aggiornamento: 10.06.2024).
Conclusione: Requisiti aumentati e misure preventive
La gestione delle candidature spontanee in azienda comporta requisiti più stringenti riguardo alla protezione dei dati. Gli obblighi previsti dal GDPR riguardano tutte le fasi del processo di candidatura – dal primo contatto alla conservazione e cancellazione dei documenti inviati. Per prevenire rischi come sanzioni, richieste di risarcimento o danni reputazionali, risulta di particolare importanza il rigoroso rispetto di tutti gli obblighi in materia di protezione dei dati – in particolare per società, investitori e dirigenti con attività internazionale.
Le aziende che puntano a una completa tutela legale e a una gestione conforme e a basso rischio delle procedure di candidatura possono ricevere supporto approfondito tramite una consulenza legale specializzata in protezione dati. Ulteriori informazioni sono disponibili a Consulenza legale in materia di protezione dati.
