GDPR e curriculum vitae: come gestire i dati dei candidati

A partire da maggio 2018, le organizzazioni che raccolgono dati personali dei cittadini residenti nell’UE devono conformarsi al Regolamento Generale sulla Protezione dei Dati.

Il GDPR nasce allo scopo di rafforzare i diritti degli utenti alla privacy, proteggendo i loro dati personali.
Uno dei momenti in cui un’azienda può ritrovarsi a gestire una mole importante di dati riguarda la selezione di personale in seguito all’apertura di una o più posizioni lavorative. Cosa dovrebbero fare i datori di lavoro per garantire che l’attività di recruiting sia svolta in conformità al GDPR? Scopriamolo insieme.

Cosa c’è da sapere

Una procedura di recruiting coinvolge, da un lato, i candidati o gli interessati ad una posizione lavorativa, dall’altro l’azienda che deve assumere. Attraverso i dati personali che forniscono alle aziende (nome, indirizzo, numero di telefono ecc.), i candidati impongono alle organizzazioni di seguire una particolare procedura affinché queste informazioni siano utilizzate nel modo corretto.
I datori di lavoro o coloro che all’interno dell’azienda agiscono da recruiter sono tenuti a stabilire lo scopo legato alla raccolta dei dati personali degli utenti. Ciò li rende responsabili del trattamento e, allo stesso tempo, della protezione dei dati dei candidati e del loro utilizzo in forma legittima.

Cosa dice il GDPR

Il GDPR dice che i dati possono essere raccolti solo per scopi specifici, espliciti e legittimi. Questo vuol dire che è possibile reperire i dati dei candidati, purché le informazioni raccolte siano connesse a tale specifica finalità.
Per l’elaborazione dei dati sensibili, è indispensabile il consenso dell’interessato. Il consenso va richiesto in modo chiaro e comprensibile ed è necessario fornire ai candidati istruzioni chiare su come revocarlo qualora lo desiderino.
Le organizzazioni devono essere dotate di politiche sulla privacy chiare e trasparenti. È compito dei recruiter mettere a disposizione dei candidati le politiche sulla privacy. Le aziende, tra l’altro, sono tenute ad indicare in che modo verranno archiviati i dati dei candidati e a dichiarare che i dati stessi verranno utilizzati solo a scopo di reclutamento.

I diritti dei candidati

Le aziende che ricercano personale sono tenute a rispettare i diritti che i candidati esercitano ai sensi del GDPR. Ad esempio, i candidati hanno il diritto all’oblio, ossia il diritto di chiedere di eliminare o interrompere l’elaborazione dei loro dati personali. Spetta all’azienda individuare il luogo, fisico o virtuale che sia, in cui sono conservate le informazioni e cancellarle entro un mese dalla ricezione della richiesta del candidato.
I candidati hanno anche il diritto di rettifica che concerne la correzione di eventuali inesattezze. L’azienda ha un mese di tempo per procedere alla rettifica ed ha l’obbligo di fornire ai candidati una copia elettronica gratuita dei loro dati personali.

Aggiungere una notifica sui cookie

Per motivi di semplificazione, è necessario informare l’utente circa l’utilizzo dei cookie non soltanto tramite privacy policy ma anche attraverso un avviso di accettazione di carattere informativo che compare nel momento in cui l’utente entra in qualunque pagina del sito. Anche in questo caso, molti plugin WordPress possono venire in aiuto.

Cosa devono fare le aziende per conformarsi al GDPR

La prima cosa da fare è un audit dei dati a livello aziendale. Questo processo servirà ad individuare quali dati vengono raccolti, in che modo e perché. Per orientarsi al meglio in una materia abbastanza complessa, ecco alcune domande che un’azienda che tratta i dati personali degli utenti dovrebbe porsi:

  • Come vengono raccolti i dati personali?
  • Da quali fonti provengono i curricula dei candidati?
  • Quale tipologia di dati viene raccolti e quanti degli stessi vengono effettivamente utilizzati?
  • Come vengono utilizzati i dati personali durante le varie fasi del processo di recruiting?
  • Dove vengono archiviati i dati?
  • Chi può accedervi?
  • In che modo i dati circolano all’interno dell’azienda?
  • Quali sono i processi di condivisione, trasferimento, modifica ed eliminazione dei dati?
  • Quali procedure vengono utilizzate per correggere inesattezze o per condividere i documenti?

Dalle risposte a tali domande sarà più semplice riuscire a definire tutte le azioni necessarie per mettersi in regola e per trattare i dati dei candidati nel rispetto della privacy degli utenti e delle indicazioni fornite dal GDPR.