Lo scorso mese di gennaio il Garante per la protezione dei dati personali ha approvato il Codice di Condotta per il settore delle Agenzie per il Lavoro (“Agenzie”) promosso da Assolavoro, che si pone l’obiettivo di definire una serie di “buone prassi” per il corretto trattamento dei dati personali effettuato dalle stesse Agenzie nell’ambito delle loro tipiche attività.

Nello specifico, se da un lato il Codice ribadisce l’importanza di realizzare un trattamento di dati personali in linea con i principi sanciti dal Regolamento UE 2016/679 (“GDPR”), dall’altro fornisce indicazioni precise e puntuali rispetto agli adempimenti che le Agenzie devono attuare per garantire il rispetto della normativa privacy. Andiamo a vedere insieme quelle più rilevanti.

  • RUOLO PRIVACY DELLE AGENZIE

Nel rapporto con clienti e/o utilizzatori e per lo svolgimento delle loro attività tipiche (tra cui la somministrazione di lavoro e la ricerca e selezione del personale) le Agenzie si qualificano Titolari autonomi dei dati trattati e riferiti a candidati e/o somministrati. Ciò, in quanto sia i clienti e/o gli utilizzatori, che le Agenzie determinano autonomamente finalità e modalità del trattamento.

Tale impostazione, però, non si applica qualora le Agenzie abbiano ricevuto l’incarico in outsourcing; in questo caso le Agenzie dovranno essere nominate Responsabili del trattamento ai sensi dell’art. 28 del GDPR da parte di clienti e/o utilizzatori.

  • INFORMATIVA SUL TRATTAMENTO DEI DATI PER I CANDIDATI

L’informativa deve essere chiara e di semplice comprensione, oltre che facilmente reperibile e consultabile da parte dei soggetti interessati. Quali sono, però, le informazioni che deve contenere e quando deve essere fornita?

Sul primo aspetto, il Codice prevede tra i suoi allegati un modello di informativa, il cui utilizzo è caldamente consigliato; sul secondo aspetto, invece, l’informativa deve essere consegnata al momento del primo contatto utile con il candidato, ovvero dopo aver ricevuto il curriculum o tramite apposito link nel caso in cui la raccolta dei dati avvenga in portali web.

  • RACCOLTA DI INFORMAZIONI PUBBLICHE TRAMITE SOCIAL NETWORK DI NATURA PROFESSIONALE

I dati personali pubblicati nei profili social “professionali” dei candidati possono essere trattati dalle Agenzie limitatamente alle informazioni connesse alla loro attitudine lavorativa e al solo fine di valutare gli specifici rischi legati all’attività che dovrà da loro essere svolta. Anche in questo caso, le Agenzie dovranno rendere al candidato un’apposita informativa prima dell’avvio del processo di selezione.

  • COMUNICAZIONE DEI DATI

Le Agenzie possono comunicare i dati personali dei:

  • candidati ai clienti per fini legati alla selezione e all’instaurazione dell’eventuale contratto di lavoro, senza necessità di consenso. La raccolta del consenso dei candidati è, però, necessaria nel caso in cui le Agenzie vogliano acquisire informazioni (ad esempio, referente professionali) da precedenti datori di lavoro per poi comunicarle ai clienti. Resta, invece, vietato il trattamento di tutte quelle informazioni relative a precedenti illeciti disciplinari o procedimenti giudiziari che abbiano coinvolto il candidato, fatto salvo le ipotesi espressamente previste dalla legge;
  • somministrati agli utilizzatori per le finalità strettamente connesse all’instaurazione, esecuzione ed estinzione dell’eventuale contratto di lavoro individuale, nonché in esecuzione di obblighi di legge o, nei casi previsti dalla legge, di regolamento o previsti dai contratti collettivi. La diffusione dei loro dati è, invece, sempre vietata, ad eccezione delle informazioni indispensabili per l’esecuzione della prestazione lavorativa (ad esempio, affissione in bacheca dei turni e di ordini di servizio) e a meno che i somministrati non abbiamo espresso un consenso esplicito e specifico, a seguito di ricezione di idonea informativa (ad esempio, pubblicazione dell’immagine).
  • CONSERVAZIONE DEI DATI

Nel rispetto del principio di limitazione della conservazione, le Agenzie potranno conservare i dati riferiti ai:

  • candidati per un periodo massimo di 48 mesi dall’ultima attività svolta per finalità connesse alla ricerca e selezione e ferma la possibilità per gli stessi candidati di richiedere la cancellazione;
  • somministrati per un periodo di 11 anni dalla data di cessazione del rapporto di lavoro.
  • DECISIONI BASATE SU UN PROCEDIMENTO AUTOMATIZZATO

È ammesso l’utilizzo dei processi decisionali automatizzati da parte delle Agenzie, nella misura in cui questo sia necessario allo svolgimento delle attività loro affidate ovvero previo consenso dell’interessato e previa effettuazione di una valutazione di impatto. Le Agenzie dovranno, in aggiunta, fornire agli interessati informazioni chiare rispetto ai meccanismi alla base dell’automatizzazione, alle valutazioni periodiche adottate per verificare l’affidabilità del sistema automatizzato oltre che indicazioni sulle forme di accesso ai dati. Nel caso di trattamenti totalmente automatizzati deve essere comunque sempre garantito agli interessati almeno il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.

  • SICUREZZA DEL TRATTAMENTO

Le Agenzie devono garantire l’adozione di misure di sicurezza adeguate. Nella loro individuazione, è opportuno tenere conto di una serie di buone pratiche e standard, tra cui le norme internazionali ISO/IEC 27001:2017 e 27002:2013.