Con l’introduzione del GDPR – Regolamento Generale sulla Protezione Dati – entrato in vigore in tutta l’UE dal 25 Maggio 2018, anche l’Italia si è dovuta adeguare alle nuove norme sulla privacy. Visto il suo impatto significativo nel mondo della ricerca e selezione, dedico questo articolo a GDPR e privacy sul CV: cosa è cambiato per i candidati e come si è sviluppata la tematica negli anni a venire.

Perché inserire l’autorizzazione al trattamento dei dati nel CV?
Quando si scrive un CV per l’Italia, uno degli errori più comuni è dimenticare di inserire l’autorizzazione al trattamento dei dati personali. Sebbene non sia (più) obbligatoria secondo il GDPR, è una prassi utile per autorizzare il datore di lavoro o il recruiter a “trattare” i dati personali contenuti nel CV. Questa autorizzazione facilita le aziende nell’adempimento degli obblighi di trasparenza previsti dalla legge.
Senza una dichiarazione di consenso esplicita, le aziende potrebbero decidere di non considerare la candidatura per evitare problemi legali. Sebbene non sia un obbligo normativo, includere questa autorizzazione è spesso richiesto nella pratica.
Con l’entrata in vigore del GDPR, l’importanza di questa pratica è aumentata, poiché sono previsti controlli più rigorosi e sanzioni significative per violazioni gravi, che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuale, a seconda della violazione.
Riferimenti normativi
In Italia, la privacy e i dati personali sono regolati dal Decreto Legislativo Dlgs 196 del 30 giugno 2003 (“Codice della privacy”), come modificato dal Decreto Legislativo 101/2018, che integra le disposizioni del GDPR 2016/679. Il GDPR rafforza e rende più omogenea la protezione dei dati personali tra gli Stati membri dell’UE.
Autorizzare un’azienda al trattamento dei dati personali facilita il rispetto delle normative. In assenza della dichiarazione, chi riceve il CV potrebbe non considerarlo per evitare rischi di violazioni normative.
Non tutte le imprese si sono adeguate allo stesso modo: mentre tutte devono rispettare i principi generali del GDPR, le imprese con meno di 250 dipendenti godono di alcune flessibilità nella documentazione dei trattamenti, pur garantendo la protezione dei dati dei candidati.
Cosa è cambiato per i candidati?
Con il GDPR, le candidature devono rispettare alcune regole fondamentali:
-
Utilizzare i canali ufficiali: Le candidature devono passare attraverso i siti web ufficiali delle aziende o i software ATS per la gestione dei candidati. Modalità non ufficiali potrebbero non essere accettate. Per piccole imprese, è sempre possibile inviare il CV via email.
-
Evitare invii non ufficiali: Inviare candidature tramite LinkedIn o altri canali diretti senza utilizzare i canali ufficiali è spesso inefficace. Solo dopo aver inviato il CV tramite i canali ufficiali, è possibile inoltrarlo a persone fisiche come promemoria, includendo sempre l’autorizzazione aggiornata e riferimenti precisi all’offerta di lavoro.
-
Diritto alla cancellazione: I candidati possono richiedere la cancellazione dei propri dati in modo più semplice rispetto al passato, mantenendo maggiore controllo sui propri dati personali.
Non rispettare queste pratiche aumenta il rischio che la candidatura venga ignorata, ma di per sé non garantisce un esito negativo.
Quale dicitura inserire nel CV?
Ecco alcune formule valide per l’autorizzazione:
-
Formula breve: “Autorizzo il trattamento dei miei dati personali ai sensi del Regolamento UE 2016/679 (GDPR).”
-
Formula completa: “Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae ai sensi del Regolamento UE 2016/679 (GDPR) e del D. Lgs. 196/2003, ai soli fini della ricerca e selezione del personale.”
Precise limitazioni sull’utilizzo dei dati per finalità di selezione sono facoltative, ma le formule più lunghe sono spesso superflue.
Dove inserire l’autorizzazione?
La dichiarazione deve essere inserita in calce al CV, al termine dell’ultima pagina. La firma non è necessaria e si sconsiglia di stampare, firmare e scannerizzare il CV, poiché questo potrebbe:
-
Compromettere la leggibilità del documento.
-
Aumentarne le dimensioni, rendendolo difficile da gestire per i software ATS.
Che uso può fare l’impresa del mio CV?
Con il GDPR, l’impresa non può utilizzare i dati presenti in un CV per finalità diverse da quelle dichiarate, come la ricerca e selezione del personale, senza esplicito consenso del candidato. Il regolamento impone che:
-
Finalità specifica e trasparenza: I dati devono essere raccolti per scopi specifici, espliciti e legittimi (art. 5 del GDPR). Usarli per altri fini, come benchmarking della concorrenza o spionaggio industriale, rappresenterebbe una grave violazione.
-
Base legale per il trattamento: Il trattamento dei dati deve basarsi su una delle basi legali previste dal GDPR (art. 6), tra cui il consenso dell’interessato, l’esecuzione di un contratto o obblighi legali.
-
Proporzionalità: I dati raccolti devono essere pertinenti e limitati alle finalità dichiarate. Utilizzare informazioni contenute in un CV per spionaggio industriale o altri scopi non legittimi sarebbe non solo illecito, ma anche sproporzionato rispetto all’obiettivo di una candidatura.
-
Responsabilità dell’impresa: Le aziende devono adottare misure adeguate per garantire la conformità, come la redazione di informative trasparenti, la protezione dei dati e la registrazione delle attività di trattamento.
In caso di abuso dei dati personali, l’azienda potrebbe incorrere in pesanti sanzioni amministrative (fino al 4% del fatturato globale annuo o 20 milioni di euro, a seconda di quale sia maggiore) e danni reputazionali. I candidati, inoltre, possono presentare reclami alle autorità competenti (come il Garante per la protezione dei dati personali) o avviare azioni legali.
GDPR e tutela della privacy
Un’agenzia di recruitment può contattare l’impresa attuale di un candidato per verificare CV e referenze?
Il curriculum vitae di un candidato è un dato personale protetto dalle norme sulla privacy in Europa, inclusa l’applicazione del GDPR. Divulgare informazioni sul processo di candidatura, inclusa l’intenzione di cambiare lavoro, senza il consenso del candidato è una violazione della privacy.
Pertanto, un’agenzia di recruiting può contattare il datore di lavoro attuale solo se il candidato ha fornito un consenso scritto esplicito. Questa pratica è solitamente evitata per proteggere il candidato da eventuali ripercussioni.
Rischi per il candidato
-
Conflitti con il datore di lavoro – Far sapere al datore di lavoro che un dipendente sta cercando altre opportunità potrebbe compromettere il rapporto di fiducia. In casi estremi, il dipendente potrebbe subire discriminazioni o penalizzazioni.
-
Danno reputazionale – Questo comportamento potrebbe danneggiare la reputazione professionale del candidato, sia nel breve che nel lungo termine, se interpretato come disinteresse per il lavoro attuale.
Pratiche etiche e professionali
-
Verifica indiretta – Le agenzie di recruiting solitamente verificano le esperienze lavorative del candidato chiedendo referenze precedenti, non dell’attuale datore di lavoro.
-
Trasparenza nel processo – Se un’agenzia ritiene necessario verificare informazioni con il datore di lavoro attuale, dovrebbe prima discutere con il candidato e ottenere il suo consenso scritto.
Cosa fare se accade? Se un’agenzia contatta il datore di lavoro senza consenso:
-
Il candidato può segnalare il comportamento all’agenzia, richiedendo spiegazioni.
-
Può presentare un reclamo all’autorità garante per la protezione dei dati personali in caso di violazioni della normativa sulla privacy
Commento finale
Se tutto questo ti sembra un’inutile complicazione o una ridondanza giuridica, hai ragione.
Lo scandalo Facebook & Cambridge Analytica ha evidenziato un problema noto da tempo: il rischio di “regalare” i propri dati personali, soprattutto alle grandi imprese del web. Per tale motivo, aggiungere una singola riga alla fine del CV rimane un atto di eleganza ed accortezza, che può prevenire situazioni indesiderate anche se di per sé raramente fornisce un valore aggiunto.
A prescindere, invito sempre a prestare la massima attenzione al proprio comportamento online ed offline ed ai propri dati, senza sottovalutare l’uso che persone in mala fede potrebbero farne!
8 risposte
Quindi non è più possibile consegnare il curriculum cartaceo di persona in azienda? E chi non ha Internet?
Come spiegato, c’è una flessibilità che distingue le micro-imprese dalle grandi imprese. Alle micro-imprese è certamente possibile consegnare il CV a mano, a quelle più grandi e strutturate no.
Se la domanda non è di vuota provocazione, la risposta è anche che oggi nessun professionista è senza email: bisogna essere in grado di controllarla anche solo dallo smartphone, altrimenti ci sono sempre gli internet point e gli accessi gratuiti per gli studenti. Se poi si è privi di e-mail, allora c’è un problema molto più grosso da risolvere di alfabetizzazione informatica. Spero che non sia questo il caso!
Innanzitutto grazie per la precisazione. La mia domanda non era una provocazione. Io ho un’ottima preparazione informatica, per esempio uso software open source e conosco i linguaggi di programmazione più diffusi. Tuttavia non possiedo uno smartphone, ma un cellulare GSM di vecchia maniera (per fortuna i provider tengono ancora attiva la cara e vecchia rete GSM). Detto questo, anche se allo stato attuale posso comunicare e quindi cercare lavoro con Internet, il dubbio mi era sorto perché nel momento in cui dovrò fare una scelta su quali spese tagliare in famiglia, Internet sarà purtroppo la prima nella lista; per questo motivo sorgeva la domanda se la legge consentiva alle aziende di raccogliere CV su supporto cartaceo: prevedo sarà questo il metodo che continuerò a usare in futuro.
L’accesso alla Rete non è gratuita in Italia. Non credo che la categoria dei disoccupati si possa registringere a quella dei “liberi professionisti”, anzi la maggior parte magari cerca lavoro come dipendente. Non mi affiderei mai agli Internet Point per inviare dati personali, né lo consiglierei ad altri. Inoltre, anche questi offrono l’accesso a un costo non indifferente. La mia opinione personale è che la gente abbia perso il contatto con la realtà: lo smartphone assunto come status symbol della vita quotidiana, associato persino al disoccupato in cerca di lavoro? È inverosimile, mi creda! Se è vero ciò che ha detto, allora veramente chi ha scritto la legge GDPR ha perso ogni contatto con la realtà quotidiana vissuta dalla gente comune come me. Lo scrivo a malincuore senza voler polemizzare!
Capisco il punto di vista ed in parte lo condivido, ma tant’è: le leggi non le facciamo noi, le copie stampate sono ingestibili dalle grandi imprese ed esistono (o dovrebbero esistere) i punti di accesso gratuiti, come librerie, Centri Giovani, Centri per il Lavoro e affini.
Vista la situazione, il consiglio che do è quello di specificare nel CV come farsi contattare. Ad esempio:
Mario Rossi
Cell: 393 XX XX XXX – contatto preferito
email: mariorossi ET mail . com
…. specificando poi nella lettera di presentazione in chiusura.
“attendo gentilmente un vs. riscontro tramite telefono in quanto, per motivi tecnici, non ho accesso regolare alla email”.
In bocca al lupo…
Buongiorno, al momento sto cercando lavoro anche all’estero (UE), in questo caso quale frase dovrei inserire per il trattamento dei dati personali?
Grazie in anticipo
Ciao Cristina, bisogna verificare le leggi della nazione di destinazione. In generale un riferimento al GDPR va sempre bene in quanto sono leggi europee, ma devi verificare volta per volta. In UK per esempio non si pongono questo problema, e nemmeno in Svizzera (anche se trovi articoli sulla confederazione elvetica che paiono suggerire diversamente).
L’articolo 13 del Codice Privacy è stato abrogato per l’adeguamento al GDPR. Pertanto, nella dicitura in calce per l’autorizzazione al trattamento non sarebbe più opportuno non specificare gli articoli ma inserire genericamente “ai sensi del D.Lgs. 196/2003 e..ecc” ?
Ciao, dato che non sono un giurista mi avvalgo di fonti esterne: https://www.professionegiustizia.it/documenti/notizia/2018/gdpr-il-codice-privacy-verra-novellato-e-non-abrogato-dal-nuovo-regolamento-europeo
Come già spiegato, il GDPR rafforza e completa il quadro a livello comunitario.