Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Curriculum e GDPR: cosa cambia?

Consulenti Digitali
Pubblicato da in News Privacy Europea · 25 Giugno 2018
In tanti si stanno chiedendo se, con la piena applicabilità Regolamento 2016/679/UE (GDPR) sopraggiunta il 25 maggio di quest’anno, sorga la necessità di inserire o modificare la breve nota in calce al Curriculum Vitae (CV) con la quale si autorizza il trattamento dei dati personali ai sensi del Codice privacy, d. lgs. 196/2003.
Di Francesco Laviola fonte dpoinnovation.it

Sembrerebbe una questione da poco, eppure sulla rete la risposta non è così pacifica. Bisogna citare l’art. 13 del GDPR o l’art. 13 del Codice privacy, oppure entrambi? O forse è meglio inserire solo  un generico riferimento alla normativa sui dati personali? Insomma, cosa bisogna scrivere?
La risposta è: semplicemente niente. A mente della disciplina del “vecchio” Codice privacy : “Il consenso non è richiesto […] quando il trattamento: […] i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis” (art. 24). Non v’è dunque bisogno di nessuna “autorizzazione” in calce al curriculum per lasciare che i titolari del trattamento utilizzino i dati personali ivi presenti. Addirittura, il consenso non è necessario neanche per il trattamento dei dati sensibili eventualmente contenuti nel curriculum (art. 26, comma 3, lett. b-bis), per il quale è altrimenti prevista l’autorizzazione del Garante oltre che il consenso in forma scritta dell’interessato (art. 26, comma 1).
Il decreto legge 70/2011 convertito in legge dalla legge 106/2011 aveva specificatamente introdotto queste modifiche per quanto riguarda non solo il consenso, ma anche l’informativa. Difatti, essa “non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro” (art. 13, comma 5 bis). Il titolare, a mente della medesima disposizione, è tenuto a fornire all’interessato, anche solo oralmente, un’informativa breve “al momento del primo contatto successivo all’invio del curriculum”. Tale informativa deve contenere l’indicazione delle finalità e le modalità del trattamento cui sono destinati i dati; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza; degli estremi identificativi del titolare e dell’eventuale responsabile.
Quindi, non vi sono obblighi derivanti dalla normativa sui dati personali in capo a colui che spontaneamente invia il proprio curriculum per cercare lavoro. Al contrario, è il soggetto che riceve i curricula che, se decide di procedere ad una fase successiva della selezione, deve fornire l’informativa al candidato “al momento del primo contatto”. Colui che è alla ricerca di lavoro,  dovrebbe avere cura di ricevere l’informativa indicante le modalità e le finalità delle operazioni di trattamento sui dati personali che ha fornito mediante il cv, nel momento in cui riceva una telefonata o un’email di risposta da parte del soggetto presso cui ha fatto domanda.
E’ bene sottolineare che il Garante della privacy in più di un provvedimento ha interpretato in senso restrittivo l’avverbio “spontaneamente”: l’invio del curriculum non deve dunque essere stato stimolato da un’inserzione da parte del datore di lavoro. In questo caso, infatti, il datore di lavoro dovrà fornire l’informativa contestualmente alla notizia dell’offerta di lavoro, pena una salata sanzione pecuniaria.
Resta, però, da sciogliere un nodo. Se il 25 maggio 2018 è divenuto pienamente applicabile il GDPR, tra un incessante susseguirsi di email e di comunicazioni da parte dei più disparati soggetti che si sono premurati di informare i propri utenti del cambio di disciplina, come mai ancora si deve far riferimento al Codice?
È ben noto che, in costanza di un Regolamento europeo che disciplini una materia precedentemente regolata da fonti nazionali, le norme previgenti non sono soggette ad abrogazione, bensì a disapplicazione. Tuttavia, pur avendo il Governo ricevuto la delega dalla legge n. 163 del 2017 al fine di armonizzare la normativa nazionale con il nuovo Regolamento UE, il decreto legislativo delegato ad oggi non ha ancora visto la luce, nonostante sia scaduto il termine del 21 maggio e si sia dovuto far ricorso alla proroga di tre mesi prevista dalla legge dall’art. 31 della l. 24 dicembre 2012, n. 234.
Dunque, tutte le parti del vecchio d.lgs. 196/2003 che non vengono novellate dal GDPR, continueranno ad applicarsi fintanto che non sopraggiunga il nuovo decreto, il quale provvederà ad abrogare le disposizioni del Codice incompatibili con il Regolamento, facendo chiarezza sul punto. Esiste, in realtà, uno schema di decreto elaborato dal Governo, il quale ha ricevuto il parere favorevole del Garante. Tuttavia, esso deve ancora ricevere il parere delle commissioni di Camera e Senato, cosa che complica di molto l’iter, prima di tornare sul tavolo del (nuovo) Governo per essere definitivamente emesso. Per quanto qui interessa, però, non si prevedono cambiamenti decisivi in materia di curricula, quindi per il momento, nessuna preoccupazione per chi invii il proprio curriculum spontaneamente al fine di trovare un impiego.



Torna ai contenuti