Elemento comune nella redazione di un curriculum vitae (CV) è l’autorizzazione al trattamento dei dati personali sottoscritta dal candidato, una condizione inevitabile affinché il datore di lavoro possa riscontrare il potenziale candidato e trattare i suoi dati.

Questa prassi è corretta?

Il candidato che sul proprio CV autorizza al trattamento dei dati personali, pensando di presentare la propria candidatura in modo corretto, non sa che il Regolamento UE 2016/679 (General Data Protection Regulation – GDPR) include già differenti tipologie di basi giuridiche in grado di legittimare il trattamento dei dati personali.

Più precisamente, il fatto che si inerisca o si richieda l’autorizzazione al trattamento dei dati personali implica che la base giuridica del trattamento sia il consenso del candidato all’assunzione. In realtà non è così, in quanto la normativa vigente prevede altre disposizioni teoricamente applicabili. All’interno dell’art. 6 del GDPR queste sono chiaramente elencate e devono essere analizzate prima di determinare quella corretta.

Tale processo di valutazione è semplificato dal Codice Privacy, da ultimo modificato dal D.L. 2 marzo 2024 n. 19 convertito, con modificazioni, dalla L. 29 aprile 2024 n. 56, il cui art. 111-bis indica la base giuridica per il trattamento dei dati personali contenuti nei CV: “Nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.”

Si può quindi dedurre che, se il datore di lavoro usa i dati personali unicamente per valutare l’idoneità del candidato a ricoprire il ruolo lavorativo richiesto, l’applicazione delle misure precontrattuali (art. 6, par. 1, lett b) diventa la base giuridica del trattamento dei dati personali per cui il consenso è da intendersi inutile.

Si puntualizza, inoltre, che il suddetto consenso ai dati personali per essere conforme al GDPR, deve essere libero, consapevole e privo di condizionamenti. Al fine di appurare se esistano o meno condizionamenti nei confronti dell’interessato, si devono esaminare le conseguenze del rifiuto. Se un candidato all’assunzione non trasmette i propri dati personali non può essere selezionato, essendo dunque evidente il peso della conseguenza e, altrettanto evidente, la scorrettezza del consenso quale fondamento giuridico.

Pertanto, la dicitura in calce al CV non è necessaria e qualora il datore di lavoro la pretenda commette una violazione.

Al momento dell’assunzione, che cosa deve fare il candidato?

Il candidato all’assunzione non deve inserire alcuna dicitura in calce al proprio CV.

Quali obblighi ha il datore di lavoro?

Il datore di lavoro, non potendo esigere il consenso dei dati personali, tuttavia deve adempiere a ulteriori obblighi tra cui: fornire un’informativa ex art. 13 GDPR al candidato, all’interno della quale verrà spiegato all’interessato come e perché avviene il trattamento dei suoi dati personali.

Questa informativa può essere consegnata/resa accessibile in diversi momenti a seconda delle circostanze:

  1. Nel caso in cui il datore di lavoro riceva una e-mail spontanea del candidato contenente il proprio CV

l’informativa potrà essere consegnata al momento del primo contatto con il candidato (per esempio nella e-mail di risposta al fine dell’organizzazione di un colloquio, oppure consegnata in formato cartaceo al primo colloquio con il candidato);

  1. Nel caso in cui il datore di lavoro pubblichi su internet un annuncio per segnalare una posizione aperta o qualora egli, all’interno del proprio sito, abbia una sezione dedicata alle assunzioni

l’informativa ex art. 13 GDPR deve essere disponibile subito (per esempio con un link di collegamento al testo dell’informativa sotto l’annuncio o sotto al form di inserimento dei dati personali nella sezione del sito dedicata ai candidati all’assunzione).

In ogni caso, il datore di lavoro per valutare le competenze per l’assunzione può richiedere l’invio di un CV “privato dei dati sensibili identificati al GDPR” e tale richiesta è corretta in quanto il trattamento di dati particolari (conosciuti come sensibili) ex art. 9 GDPR non può essere effettuato sulla base di misure precontrattuali (art. 6, par. 1, lett. b).

Il procedimento sopraesposto quindi tutela il datore di lavoro, anche nel caso in cui il candidato decidesse liberamente di fornire i propri dati personali facendo riferimento a una propria azione spontanea basata su un libero consenso (art. 9, par. 2, lett a). Tale ricostruzione potrà comunque essere menzionata nell’informativa ex art. 13 GDPR resa immediatamente disponibile da parte del Titolare.

Per quanto tempo è lecito conservare il curriculum vitae di un candidato che non è stato selezionato per la posizione aperta? 

Il Regolamento UE 2016/679 non stabilisce i tempi di conservazione dei dati personali di un’organizzazione. Tuttavia, secondo il principio dell’accountability, spetta al titolare individuare e legittimare, nella propria documentazione, un periodo di tempo ritenuto conforme anche mediante riferimenti a criteri dettati da norme o da prassi settoriali.

Fondamentale è che vengano rispettati i principi di minimizzazione dei dati e quindi di limitazione della conservazione stabiliti all’art. 5 lettera e) del GDPR. Pertanto, questi devono essere sempre: “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.” 

Per questo motivo, devono essere custoditi secondo un criterio che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità. 

Tale periodo, per un’azienda privata, può corrisponde a sei mesi durante i quali i CV devono essere catalogati e posti in cartelle o faldoni o eventualmente condivisi solo mediante link senza permessi di download.