Curriculum e GDPR: il trattamento dei dati personali nel CV

I dati personali nelle candidature di lavoro

La ricerca di lavoro presuppone la condivisione continua di dati personali.

Nome e cognome, indirizzo email personale, numero di telefono (un tempo il fisso di casa, oggi il cellulare): queste sono le prime informazioni che indichiamo nel CV e nella lettera di presentazione, indispensabili per essere contattati se la selezione va a buon fine.

Ma non solo. A volte includiamo l’indirizzo di residenza. E poi, naturalmente, completiamo con dovizia di dettagli il nostro percorso professionale e formativo, le aziende per le quali abbiamo lavorato, gli istituti e le scuole frequentate (se vuoi un compendio di tutte le buone pratiche di compilazione del caso, leggi i nostri articoli su come scrivere un CV professionale).

Per attestare la solidità delle nostre capacità, indichiamo talvolta contatti di terze parti (le referenze), e cioè nomi, cognomi, indirizzi email o numeri di telefono di ex datori di lavoro o collaboratori. 

Secondo la GDPR, queste informazioni sono considerate dati personali perché identificano, direttamente o indirettamente, una persona fisica.

Se, da un lato, è assolutamente legittimo che recruiter e futuro datore di lavoro dispongano di questi dati per poter valutare i candidati (e contattarli), dall’altro è altrettanto legittimo che la privacy dei candidati venga rispettata. In che modo? Per rispondere, dobbiamo fare un passo indietro.

Perché è importante tutelare i dati personali nel CV?

La tutela dei dati personali nel CV, e non solo nel CV, ha assunto importanza crescente con l’avvento di Internet e dei mezzi informatici.

Se in passato le informazioni erano principalmente raccolte e conservate in formato cartaceo, a diffusione limitata, l’accesso alla rete ha radicalmente cambiato lo scenario.

Oggi i nostri dati viaggiano online, virtualmente ovunque, ed è cruciale adottare misure di protezione per evitare accessi non autorizzati e utilizzi impropri (all’ordine del giorno, in rete).

La situazione in Italia: dalla Costituzione alla GDPR

Ogni paese, a questo fine, ha dovuto inventare strumenti ad hoc: regolamenti e normative nuove, adeguate all’era digitale. 

Prima del nuovo millennio, in Italia, il riferimento normativo era la Costituzione, che però non include un esplicito riferimento alla protezione dei dati personali (risale al 1948!).

La prima norma specifica a tutela della privacy arriva con la legge 675 del 1996, poi disciplinata dal Decreto legislativo 30 giugno 2003, n. 196, con cui nasce il Codice sulla protezione dei dati personali (o Codice Privacy). 

Il Codice viene infine modificato con il Decreto legislativo 101 2018, per adeguare la normativa italiana a quella europea in materia di tutela dei dati personali, che è appunto la GDPR, ovvero il regolamento UE 2016 679. 

L’adozione della GDPR è dunque un traguardo, perché rappresenta la summa di tutti i regolamenti in materia e stabilisce un riferimento normativo valido per tutti i paesi dell’UE: conferisce certezza giuridica e armonizzazione a un panorama legislativo molto complesso, che riguarda ogni cittadino.

GDPR e trattamento dati personali nel CV: i doveri delle aziende

Ora, circoscrivendo il campo al nostro discorso, l’entrata in vigore della GDPR fa sì che aziende e candidati abbiano precisi diritti e doveri, e che ogni violazione possa essere perseguibile per legge. 

Vediamo che cosa significa, tutto questo, per le aziende che ricevono il CV.

Legalità, trasparenza, integrità

Aziende, imprese e organizzazioni che ricevono il curriculum, nonché, ovviamente, le agenzie di recruiter e risorse umane, devono trattare i dati contenuti nel documento in conformità a quanto stabilito dalla GDPR.

Di seguito, alcuni dei princìpi e degli obblighi fondamentali. 

• I dati personali devono essere trattati in modo lecito, equo e trasparente.

• Possono essere raccolti soltanto per scopi specifici, espliciti e legittimi.

• I dati personali richiesti devono essere quelli strettamente necessari al perseguimento delle finalità dichiarate (ovvero all’assunzione del candidato per un determinato ruolo).

• Dopo averli raccolti, le aziende devono assicurarsi che i dati siano accurati e, se necessario, aggiornati.

• I dati personali devono rimanere nei data base aziendali soltanto per il tempo necessario al conseguimento delle finalità per cui sono stati raccolti. 

• Le aziende devono garantirne la protezione contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentali.

La GDPR nel CV e nella lettera di presentazione 

Nessun trattamento dei dati può essere messo in atto se a monte non c’è il consenso del candidato. 

Per questo motivo in molti annunci di lavoro, dopo la descrizione della posizione aperta e dei requisiti richiesti, compare un reminder di questo tipo: “Inserire nel CV il consenso al trattamento dei dati personali ai sensi della GDPR 679/16”.   

E per questo motivo, quando si compila una job application online, è richiesto esplicitamente il consenso al trattamento dei dati personali, sempre ai sensi della stessa norma, prima di procedere con l'invio della candidatura.

L’autorizzazione può essere espressa con alcune varianti: la frase può fare riferimento al Decreto legislativo 2018/101, al Regolamento UE 2016/679 o, ancora più in dettaglio, all’art. 13 del Regolamento UE 2016/679. Indicano tutti la GDPR. 

Se il tuo curriculum non include il consenso al trattamento dei dati, selezionatori e futuro datore non potranno toccarli, nemmeno per contattarti (non a caso, i nostri di modelli di curriculum vitae lo includono di default). 

È buona norma inserire l’autorizzazione al trattamento anche nella lettera di presentazione. Nei nostri modelli di lettera di presentazione, puoi agevolmente inserire il consenso usando la stessa formula presente nel CV (negli esempi di lettera di presentazione, come vedi, c’è sempre lo spazio per includerla).

“Oggi i nostri dati viaggiano online, virtualmente ovunque, ed è cruciale adottare misure di protezione per evitare accessi non autorizzati e utilizzi impropri (all’ordine del giorno, in rete).”

GDPR e trattamento dati personali nel CV: i diritti dei candidati 

Ai sensi della GDPR, concedere l’autorizzazione al trattamento dei dati corrisponde anche a una serie di diritti. Di seguito indichiamo quelli più rilevanti.

• Diritto all’informazione: come candidato, hai il diritto di essere informato su ogni aspetto del trattamento dei dati, comprese finalità, categorie e destinatari dei dati.

• Diritto di accesso: puoi sempre accedere ai tuoi dati personali o chiederne una copia. 

• Diritto di rettifica: puoi sempre richiedere correzione e aggiornamento dei dati personali inesatti o incompleti. 

• Diritto alla cancellazione: se non sono più necessari per le finalità per cui sono stati raccolti, o se il trattamento non è conforme alla legge, hai il diritto di richiedere la cancellazione dei dati.

Precisazioni ulteriori su GDPR e dati personali nel CV

La legge, si sa, non ammette ignoranza. E nemmeno la GDPR. Dedichiamo ancora un po’ di attenzione ad alcuni aspetti particolari che ogni candidato, e ogni azienda, dovrebbe da oggi in poi tener presenti, in materia di trattamento dati personali e CV.

Per quanto tempo possono essere conservati i dati dalle aziende?

Abbiamo detto che i dati non possono essere conservati oltre un certo limite di tempo: una volta utilizzati per il fine consentito (la valutazione del candidato e l’eventuale assunzione), l’azienda deve eliminarli. 

Tuttavia, non esiste un periodo di conservazione standard definito dalla GDPR per i dati dei candidati. Il periodo di conservazione dipende dalle specifiche esigenze dell’azienda e dalla natura del processo di selezione. 

Se hai dei dubbi, leggi l’informativa sulla privacy dell’azienda. Il sito aziendale, proprio ai sensi della GDPR, dovrebbe disporre di tutte le informazioni in chiaro. Se non è così, hai il diritto di chiedere direttamente all’azienda, che è tenuta a rispondere in modo esplicito e completo.

Come si fa a sapere se il trattamento dei dati personali nel CV è conforme alla GDPR?

Lo stesso discorso vale per ogni altro aspetto del trattamento dei dati su cui si abbiano dei dubbi. Ogni azienda dovrebbe disporre di un’informativa sulla privacy che mette in chiaro tutto. 

Se non è così, o se il linguaggio e la mole di questi testi risultano ostici, puoi chiedere spiegazioni. I datori di lavoro, lo ribadiamo, hanno il dovere di dimostrare la conformità dei propri comportamenti alla GDPR.

Che cosa succede se il trattamento dei dati personali nel CV non è conforme alla GDPR? 

Se i dati del CV non sono trattati in modo conforme alla GDPR, l’azienda rischia sanzioni amministrative e penali. Il candidato che dovesse rilevare una violazione ha il diritto di segnalarlo all’autorità competente, che in Italia è il Garante della Privacy, il quale avvierà gli accertamenti necessari e le eventuali sanzioni o misure correttive.

È una circostanza che le aziende fanno molta attenzione a evitare: sia per le sanzioni, sia per i danni reputazionali (che a volte sono ancora più gravosi e difficili da emendare).

Regole trasparenti, dati personali più sicuri 

Grazie alla GDPR, il trattamento dei dati personali nel CV è più sicuro e trasparente: impone una serie di dritti e doveri, sia per le aziende che per i candidati, e rappresenta senza dubbio un passo avanti per il rispetto e la tutela della privacy.

Ora che conosci l’importanza della questione, non dimenticare di inserire nel CV l’autorizzazione al consenso, e non esitare a leggere l’informativa sulla privacy nel sito aziendale o a chiedere direttamente spiegazioni all’azienda, se hai dei dubbi. 

Soprattutto, prosegui le tue ricerche in tranquillità e concentra tutta l’attenzione sui tuoi obiettivi: il lavoro che desideri ti aspetta!