In Corea del Sud, nel curriculum vitae, si è soliti inserire anche altezza e peso; in Arabia Saudita lo stato civile; in Cina la nazionalità; in Giappone il dovere o meno di mantenere il coniuge.  Ma nei paesi europei, dove da maggio 2018 vige un  Regolamento comune per la protezione dei dati (GDPR), quali informazioni personali è più utile fornire ai selezionatori e come autorizzarli a trattarle?

Intanto anticipiamo che, per il GDPR, la regola è la “minimizzazione” del conferimento dei dati: fornire solo le informazioni necessarie per la finalità oggetto della trasmissione consente a chi riceve i dati di individuare più facilmente le informazioni utili e di poter usare misure di sicurezza più contenute, perché così inferiori sono i rischi derivanti da eventuali accessi non autorizzati o diffusione involontaria di dati.

D’altra parte, cosa aggiunge alla scelta del selezionatore conoscere, ad esempio, il giorno, il mese o la città di nascita del candidato, quando in alcuni paesi l’età è un’informazione del tutto omessa per evitare possibili discriminazioni anagrafiche?

Alcune aziende arrivano addirittura a chiedere espressamente di non indicare nel cv dati particolari idonei a rivelare convinzioni religiose, opinioni politiche, adesioni a sindacati, stato di salute, situazione e orientamento sentimentale perché questi sono dati di difficile gestione formale.

E anticipiamo anche che è superflua qualsiasi autorizzazione generica al trattamento dei dati personali che pure siamo abituati a vedere in calce ai curriculum spontaneamente inviati. Ed è superflua da anni.

Già con il decreto sviluppo n.70 del 2011 era stato modificato l’art.13 del Codice Privacy prevedendo che: l’informativa … non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, un’informativa breve contenente le finalità e le modalità del trattamento cui sono destinati i dati; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati; gli estremi identificativi del titolare.

La previsione normativa è ulteriormente ribadita ed esplicitata nel  Decreto legislativo 10 agosto 2018 n.101,  Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, dove, all’art. 111 bis - Informazioni in caso di ricezione di curriculum, si afferma: “Le informazioni di cui all’articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto".

Le finalità di cui all’art.6 par.1, lettera b fanno riferimento alla circostanza in cui il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Ed è intuitivo il motivo per il quale una formula di consenso generica non può avere effetti ai fini della normativa sulla protezione dei dati personali. Il presupposto di un consenso validamente prestato, infatti, è la manifestazione di una volontà specifica ed informata, ed è assai remota la possibilità che il candidato possa preliminarmente conoscere quali siano le modalità di trattamento dei dati della struttura al quale sta inviando il cv, le misure di sicurezza adottate, i soggetti che potranno avere accesso ai suoi dati. Quindi il consenso fornito in formula standard rischia di essere vuoto di senso.

Diverso è il caso in cui il candidato risponda ad un’offerta di lavoro di un’azienda. In questo caso, l’informativa sulle modalità di trattamento dei dati deve essere contenuta già nella vacancy pubblicizzata dal potenziale datore di lavoro.

Rimangono suscettibili di interpretazioni alcune questioni.

Se chi riceve un curriculum lo conserva in posta elettronica, nella stessa mail presso la quale lo ha ricevuto, senza svolgere altro trattamento se non la conservazione (che però è già essa stessa un trattamento), è necessario l’invio contestuale di informativa a colui che ha inviato il cv?

In questo caso, pur non trattandosi di archiviazione che presupporrebbe l’individuazione e applicazione di criteri intenzionali di catalogazione, può essere utile fornire comunque informativa al momento della ricezione.

Quale la ratio del suggerimento? E’ pur vero che il proprietario della casella di posta potrebbe non aver neppure aperto il curriculum che gli è stato inviato e quindi non essere entrato in contatto, neppure in visualizzazione, con alcun dato personale dell’aspirante candidato. Però, se non viene subito cancellato, il curriculum resterà memorizzato su dispositivo del potenziale selezionatore/datore di lavoro, e quindi soggetto, ad esempio, ad eventuali violazioni dei sistemi di sicurezza o accessi non autorizzati o diffusione involontaria di dati personali. Appare quindi corretto ipotizzare che, attraverso l’informativa, l’interessato riceva adeguati dettagli relativi alla privacy policy del titolare.

In ultimo una segnalazione relativa ad uno dei pochissimi dati sensibili che può essere utile inserire nel curriculum: l’eventuale appartenenza a categorie protette. Da GDPR, il trattamento di questi dati particolari potrebbe essere effettuato solo con conferimento di specifico consenso. In questo caso, quindi, se non si fornisce espresso consenso il potenziale datore di lavoro non può utilizzare il curriculum?  Un’indicazione specifica sembra far protendere per una risposta negativa, nel senso che il consenso non sarebbe dovuto neppure in questo caso e il selezionatore potrebbe comunque usare le informazioni contenute nel cv.

Il recente Provvedimento 146/2019 del Garante per la Protezione dei dati personali così interviene, infatti, sui Trattamenti effettuati nella fase preliminare alle assunzioni:    a)   le agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell’interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale possono trattare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto;    b)   il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di  curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall’art. 113 del codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti;    c)   qualora nei    curricula   inviati dai candidati siano presenti dati non pertinenti rispetto alla finalità perseguita i soggetti di cui alla lettera   a)   o i datori di lavoro che effettuano la selezione devono astenersi dall’utilizzare tali informazioni.

Non sembrano quindi esserci ostacoli specifici al trattamento anche di dati sensibili dei candidati purché la raccolta sia giustificata da scopo legittimo e necessario all’instaurazione del rapporto di lavoro. Di contro, qualora un datore di lavoro o selezionatore riceva un curriculum con dati non pertinenti rispetto alle proprie finalità, ha la possibilità, anzi il dovere, di astenersi dall’utilizzarle.