IL TRATTAMENTO DATI NELLE ATTIVITA’ DI RICERCA E SELEZIONE DEL PERSONALE

Sono davvero molte le interazioni che avvengono tra un potenziale candidato e l’azienda che ricerca la figura professionale specifica durante il processo di ricerca e selezione. 

Il primo tra tutti è il momento della candidatura: ove il candidato entra e lascia i primi dati nello spazio appositamente creato, ovvero l’annuncio pubblicato, che si propaga in tutti i canali utilizzati dall’azienda. 

Successivamente il percorso prosegue e si completa con tutta una serie di informazioni che in passato non rivestivano la fondamentale importanza che ricoprono oggi. Molti dati infatti vengono tra loro aggregati alla candidatura, primo tra tutti sicuramente la videoninterevisa che oggi soprattutto, in periodo di pandemia, ricopre un ruolo fondamentale nel processo di ricerca e selezione del personale. 

A ciò possono seguire vari assesment di skill (soft o hard) del candidato, processo che raccoglie e aggrega ulteriori dati. 

Successivamente avviene il colloquio vero e proprio, anche questo o di persona o oggi piu’ frequentemente da remoto, con quindi la possibilità di registrare l’incontro, per future valutazioni e revisioni, aggregando così ulteriori dati. 

La posizione del candidato viene poi sovente mappata in una scheda di valutazione, che quindi riassume, contendendoli, tutti i dati ad esso riferiti. 

A questo punto tutti questi dati subiscono anche un trasferimento interno, venendo difatti distribuiti all’interno dell’organizzazione per le valutazioni del Managment dell’unità produttiva di riferimento per arrivare poi, eventualmente, all’assunzione vera e propria.

In tutto questo processo, quindi, appare evidente come l’azienda raccolga un’importante quantità di dati del candidato, di natura personale, ma talvolta anche sensibile e si renda quindi fondamentale predisporre e disporre di una gestione che garantisca il puntuale e completo rispetto della normativa privacy di riferimento, la cosiddetta GDPR Compliance.

Tutto questo perché ogni azienda che attivamente compie ricerca e selezione disporrà, ad un certo punto, di un database di candidati, quale importante e prezioso asset aziendale.

Ma quali sono i doveri e gli obblighi che le organizzazioni hanno verso i loro candidati?

Primo su tutti, quando un candidato si applica, bisogna essere in grado di garantire allo stesso la facoltà di auto-cancellazione dei propri dati dal database al termine di un periodo finestra specificatamente previsto e comunicato. 

Bisogna poi altresì garantire la facoltà, per lo stesso candidato, di cancellare in autonomia ed in qualsiasi momento tutti i dati dallo stesso forniti. 

E’ poi altresì necessario prestare grande attenzione alle modalità di trasmissione intraziendali dei dati dei candidati (al management per le valutazioni tecniche, vedi sopra), poiché queste, avvenendo spesso tramite e-mail comportano una proliferazione incontrollata dei dati ed il consequenziale rischio di perdita di controllo sugli stessi. 

Altri punti poi di fondamentale importanza nella gestione dei dati dei candidati ma in generale qui di tutti dati trattati, afferiscono al backup dei medesimi, all’ubicazione dei dati (Che deve necessariamente e obbligatoriamente essere all’interno del territorio dell’unione europea) e alle misure di sicurezza operative da applicare sui trattamenti effettuati.

Tutto ciò richiede quindi due aspetti fondamentali, l’applicazione del GDPR nella sua completezza e, ove scelto, l’affidamento a strumenti sicuri e certificati.

In ogni caso, comunque, qualsiasi sia la modalità di ricerca e selezione del personale, rimane imprescindibile l’applicazione del regolamento

Nel caso si faccia affidamento alla selezione diretta è importante sapere che:

• L’informativa non è necessario che sia inviata alla ricezione del CV, ma solo quando avviene il primo contatto utile successivo (come ad esempio il colloqui in presenza o in videocall), così come, a seguito dell’invio spontaneo del CV non sia necessario un consenso al trattamento de dati presenti nel curriculum

Nel caso invece si faccia ricorso ad un portale web aziendale lo stesso dovrà avere i seguenti requisiti:

• dotato di idonea informativa ex art. 13 GDPR;
• Tale informativa dovrà essere visibile ancor prima dell’inserimento dei dati personali da parte del candidato;
• Tutte le informazioni richieste mediante eventuali form da compilare dovranno rispettare i principi sanciti dalla normativa privacy di riferimento quali minimizzazione, trasparenza, correttezza e pertinenza dei dati personali raccolti

Bisogna inoltre tenere in considerazione alcuni rischi, primo tra tutti il pericolo che il portale di cui ci si avvale memorizzi automaticamente, perché privo delle necessarie misure di sicurezza, i cv su di esso caricati, mancando spesso procedure automatizzate di cancellazione e misure di sicurezza e protezione dei dati, con conseguente rischio di data breach.

Nel casso si faccia poi affidamento a partner come, ad esempio, le agenzie per il lavoro è bene sapere che:

• Le stesse instaurano un rapporto di autonoma titolarità con gli interessati (potenziali candidati);
• Devono sempre rispettare le norme di legge a tutela della privacy e dei diritti fondamentali dei candidati, anche nelle attività preselettive di screening.

Nel caso invece si faccia ricorso ad annunci pubblicati sui portali del lavoro in questo caso:

• Anche qui si instaura un rapporto di titolarità tra portali e utenti;
• Nel momento in cui le aziende ricevono il CV lo devono tuttavia gestire come se fosse stato consegnato loro direttamente

In merito poi ai documenti che vengono gestiti nella fase di selezione è bene sottolineare che: il documento di identità è possibile e lecito che venga richiesto ma solo per le finalità identificative del candidato, eccedendo invece i dettami della normativa, secondo anche quanto stabilito dal Garante, qualsiasi ulteriore operazione su tali dati come, ad esempio, la copia per immagine, che pertanto è vietata, Tale operazione potrà essere realizzata solo al momento dell’assunzione.

Altra operazione legittima e possibile è quella della verifica da parte del datore di lavoro di eventuali profili social dei candidati ma solo se questi sono pubblici ed entro gli specifici limiti di liceità e pertinenza del trattamento. Terminata la fase di selezione ogni eventuale informazione raccolta dai profili social pubblici dei candidati dovrà essere tempestivamente ed accuratamente rimossa dal datore di lavoro.

Sono possibili prove pratiche e test attitudinali da far effettuare ai candidati con però massima attenzione ad alcune specifiche:

• Divieto di indagini sulle opinioni;
• Divieto di trattamenti discriminatori a seguito di indagine su opinioni quali (convinzioni personali, affiliazioni sindacali e politiche, credo religioso, sesso, orientamento sessuale, razza, età, handicap, stato di salute, ecc.);
• Attenzione poi all’utilizzo esclusivo ed eccessivo di operazioni automatizzate per la selezione del personale, attività proibita dalle normative di riferimento.

Come è possibile quindi gestire l’attività di ricerca e selezione del personale in maniera GDPR – Compliance? Ecco una lista di utili passaggi da poter mettere in atto:

• Progettare un colloquio che effettivamente sia funzionale ad accertare competenza, preparazione, capacità ed abilità del candidato, senza eccedere oltre e sconfinare in richieste non necessarie;
• Misure di sicurezza efficaci ed effettive (principio dell’accountability che applichi la data protection by design e by default);
• Informativa adeguata;
• Raccolta e gestione dei consensi;
• formazione, informazione, istruzione degli incaricati e dei responsabili che materialmente effettuano l’attività di ricerca e selezione del personale;
• eventuale, ove necessario, DPIA (valutazione di impatto del trattamento dei dati ex art. 35 GDPR).

Per quanto tempo infine è possibile trattenere un curriculum presso la propria organizzazione? Attualmente la normativa di riferimento non stabilisce un periodo parametro di legge, tuttavia, è buona prassi, considerare come congruo un periodo di 6/12 mesi.  Ogni valutazione difforme è possibile, ma è importante che sia documentata con i criteri adottati per tale scelta.

Per concludere è importante sottolineare come le sanzioni per chi non rispetta questi principi, criteri e norme di legge siano molto frequenti e spesso altrettanto gravi.

È fondamentale quindi che tutto il processo di ricerca e selezione del personale sia conforme, corretto e rispettoso dei principi sanciti dalla normativa privacy, fare ciò garantirà un’ottima immagine aziendale, rispettosa dei diritti dei candidati, potenziali nuovo membri dell’organizzazione, ma soprattutto eviterà spiacevoli inconvenienti o ancor peggio gravi sanzioni di carattere amministrativo e pecuniario!

Se vuoi saperne di piu’ o per richiedere una consulenza gratuita non esitare a contattarci, clicca qui sotto!