Serve davvero inserire nel curriculum la frase “acconsento al trattamento dei miei dati personali…”?
di Alessandro Amoroso
Se vi siete trovati o vi state trovando a scrivere un curriculum sicuramente vi sarete chiesti: “devo mettere la formula di autorizzazione al trattamento dei dati personali?”. Insomma, si tratta della frase ben nota: “Acconsento al trattamento dei miei dati personali ai sensi della normativa in materia di protezione dei dati personali….ecc.”. Ebbene, serve? Con una veloce ricerca sul nostro motore di ricerca preferito[1] i siti che consigliano di inserirla sono un’infinità[2] e le varianti sono molte.
In considerazione della recente entrata in vigore del Regolamento (UE) 679/2016 (GDPR), alcuni[3] oggi consigliano di fare riferimento sia all’art. 13 del D.Lgs. 196/2003 (Codice Privacy) che all’art. 13 del Regolamento (UE) 679/2016. Ulteriori varianti [4] suggeriscono di citare il famosissimo D.L. 196/2003 (che non esiste) o ancora meglio chi consiglia di citare il D.Lgs 196/2006[5], cioè le “Norme di attuazione dello statuto speciale della regione autonoma Trentino-Alto Adige/Südtirol, concernenti modifiche al decreto legislativo 18 maggio 2001, n. 280, in materia di catasto terreni e catasto urbano“.
In effetti, molti recruiters ritengono che sia necessaria, ma è così? Insomma, questa frase serve davvero?
Il quadro normativo
In Italia una normativa specifica in materia di protezione dei dati personali esiste dal 1996 con la L. 675 del 1996 e da allora ha subito molte modifiche; alcuni elementi chiave, tuttavia, sono rimasti più o meno invariati nel tempo. Già con tale legge si affermava che il consenso al trattamento deve essere “specifico” ed “informato” e quindi riferirsi a un trattamento non generico[6]. Il Garante, pertanto, già nel 1997[7], precisava che in considerazione di tale assunto il consenso può ritenersi effettivamente “libero”, e quindi “valido”, solo laddove permetta all’interessato una reale autodeterminazione. E l’autodeterminazione, come sottolineava Rodotà, si avrà soltanto qualora l’interessato abbia avuto adeguata conoscenza dell’utilizzo che il titolare del trattamento intende fare dei suoi dati, e pertanto soltanto nel caso in cui sia messo effettivamente in grado di esercitare una scelta consapevole[8].
Questo rende evidente che l’utilizzo di una formula aperta di autorizzazione al trattamento inserita direttamente nei curricula, costituisce un’indicazione che non permette all’interessato in alcun modo di rendersi conto dell’ampiezza del proprio consenso ed è pertanto del tutto superflua. A quale trattamento stiamo acconsentendo? Come possiamo acconsentire ad un trattamento prescindendo da un’informativa? È da escludersi la validità di un consenso generalizzato e preventivo[9].
Una distinzione utile da fare
Tra la fine del ‘900 e l’inizio degli anni 2000 il Garante affrontò la questione distinguendo due diverse ipotesi: il caso in cui il curriculum fosse inviato in risposta ad un annuncio di una posizione di lavoro o altra pagina che sollecitasse l’invio di curricula ed il caso in cui fosse inviato spontaneamente.
1) Per quanto riguarda il primo caso, il Garante chiariva (almeno dal 1998[10]), in virtù dei principi sopra citati, la necessità di corredare le offerte di lavoro che sollecitano l’invio di un curriculum con un’informativa “preventiva” alla raccolta dei dati personali dei candidati. Un’informativa successiva alla raccolta degli stessi, precisava l’Autorità amministrativa, sarebbe avvenuta in un momento in cui i dati erano già stati trattati ed in violazione, pertanto, della normativa sulla privacy vigente e del principio di autodeterminazione degli interessati. Ciò veniva ribadito anche nel provvedimento del 13 gennaio 2000[11] con il quale il Garante disponeva, in relazione ad annunci di offerte di lavoro su alcuni giornali, che era indispensabile che taliofferte di lavoro, nonostante la loro naturale esigenza di sintesi, recassero tutte le informazioni previste in materia di trattamento dei dati personali, “anche attraverso l’inserimento di tali informazioni nei bandi o i capitolati – richiamati negli annunci – contenenti i vari requisiti richiesti per l´assunzione”.
2) Per il caso, invece, di ricezione di curricula inviati “spontaneamente” il Garante aveva fatto presente come, in tale ipotesi, al datore di lavoro non viene data alcuna possibilità di informare previamente gli interessati. Anche in questo caso, tuttavia, non fu considerato ammissibile un trattamento effettuato sulla base di una vuota formula “di consenso” contenuta nei curricula. Con provvedimento del 10 gennaio 2002, infatti, pronunziandosi con riferimento ai trattamenti effettuati da alcune società di lavoro temporaneo, il Garante affermava chiaramente che qualsiasi forma di consenso preventivo da parte dei candidati non sarebbe stato valido, in quanto privo dei requisiti per fornire un valido consenso[12] e sollecitava gli operatori ad adempiere comunque all’obbligo dell’informativa in caso di trattamento dei dati contenuti nei curricula spontaneamente inviati e procedere all’eventuale raccolta del consenso laddove fosse necessario ma ribadendo che questo fosse generalmente non necessario salvo che per i dati sensibili. Può sembrare ovvio ma è bene precisare che il trattamento dei dati contenuti nel curriculum dovrà comunque essere limitato alla sola finalità espressamente prevista dalla legge: cioè ai fini dell’instaurazione di un rapporto di lavoro[13].
Ma se il candidato ha inviato il curriculum, appunto, senza dar modo al titolare del trattamento di fornirgli alcuna informativa allora come può il titolare trattare tali dati lecitamente? Ebbene in questo caso, ovviamente, il consenso non è la corretta base giuridica. Rifletteteci: nel momento in cui ho inviato i miei dati non ho in qualche modo manifestato il mio interesse al loro trattamento? Sì. Il Garante, infatti, con il provvedimento del 2000 sopracitato, sottolineava che laddove i dati non fossero stati comunicati a terzi e non avessero natura sensibile il consenso non fosse indispensabile in quanto si sarebbe trattato di un trattamento rientrante nell’ambito dell’esecuzione di misure precontrattuali poste a richiesta dell’interessato (una eccezione che esiste già dal 1996[14]). Il consenso, quindi, come detto, era necessario solo per il trattamento di dati quali l’appartenenza a categorie protette, dati sulla salute, ecc.
La riforma del 2011– I dati comuni
Passarono 10 anni ma, nonostante tutto, la pratica continuava ad essere diffusa. Nel 2011, quindi, decise di intervenire il legislatore nella speranza (purtroppo vana!) di chiudere definitivamente la questione.
Il c.d. “decreto sviluppo” (d.l. 13 maggio 2011, n. 70, convertito in legge, con modificazioni, dall’art. 1, 1° co., l. 2 luglio 2011 n. 106) modificò l’art. 13 del Codice Privacy aggiungendo un comma 5-bis prevedendo che: “l’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, un’informativa breve ….omissis”. Insomma, nel caso di un curriculum spontaneamente inviato, l’informativa sul trattamento dei dati personali doveva essere data solo successivamente, anche in forma semplificata e breve.
Questo sarebbe potuto essere sufficiente, ma il legislatore volle essere ancora più chiaro aggiungendo un riferimento anche nell’art. 24. Nell’articolo 24, infatti, che individua i casi in cui il trattamento può essere effettuato senza consenso, fu aggiunta la lettera i bis) disponendo che “il consenso non è necessario per il trattamento nel caso dei dati contenuti nei curricula nei casi previsti all’art. 13 comma 5-bis”, cioè nei casi di candidature spontanee.
La riforma del 2011 – Ed i dati sensibili?
È vero che l’autorizzazione va ancora inserita se il curriculum contiene dati sensibili? Ebbene, anche questa è una leggenda. Con la novella del 2011, infatti, il legislatore non dimenticò nemmeno i dati sensibili ed inserì un riferimento ad essi nell’art. 26 del Codice Privacy. Nell’articolo 26, co. 3, infatti, introdusse la lett b-bis)[15] volta ad estendere la deroga prevista dall’art. 13, co. 5-bis anche ai dati sensibili.
E ora, dopo il GDPR?
Nel GDPR il consenso dell’interessato trova una collocazione diversa rispetto a quella del Codice Privacy e della precedente legge 675/1996. Mentre, infatti, lo schema adottato dal legislatore italiano in recepimento della direttiva 95/46 fa del consenso la condizione di liceità dei trattamenti tra privati per eccellenza, cui seguono una serie di eccezioni, il GDPR pone il consenso sul medesimo piano delle altre basi giuridiche (quelle che nel sistema italiano erano “clausole di esonero”)[16]. E quindi, l’art. 6 del GDPR, lett. b), prevede come base giuridica (praticamente identica all’eccezione precedente) il caso dell’esecuzione di misure precontrattuali adottate su richiesta dell’interessato. Ebbene, sulla base dell’excursus esposto, sembra evidente che il trattamento dei dati non sensibili inseriti in un curriculum rientri all’interno di tale ipotesi e pertanto, non solo non è necessario richiedere il consenso ma sarebbe addirittura erroneo farlo[17].
Per quanto riguarda i dati sensibili, invece, il GDPR ne esclude generalmente il trattamento salvo nei casi previsti dall’articolo 9 (2). È incerto se i dati contenuti in un CV possano rientrare all’interno della previsione di cui all’articolo 9 (2) lett. b), cioè il caso in cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri”. L’interpretazione letterale tuttavia sembra far propendere verso l’esclusione dell’applicabilità di tale previsione prima dell’assunzione, per lo meno laddove non vi siano elementi nel diritto nazionale che giustifichino un’ampia interpretazione. Come è noto, poi, l’articolo 9 (4) prevede che gli Stati membri possano prevedere ulteriori condizioni rispetto a quelle previste dall’articolo 9 (2) per il trattamento dei dati genetici, biometrici o relativi alla salute, per cui resterà al legislatore nazionale decidere se prevedere tale deroga in futuro.
Nulla cambia, infine, in relazione al fatto che il consenso è ammissibile come base giuridica solo se l’interessato è stato previamente informato [20], come si evince dall’art. 4, n. 11 e dal considerando 32.
— AGGIORNAMENTO —
Con il recente D.Lgs. 101 del 10 agosto 2018 di adeguamento della normativa nazionale al GDPR il legislatore, volendo ancora una volta chiarirlo, ha abrogato le precedenti previsioni ma ha inserito una esplicita previsione, all’articolo 111-bis del Codice Privacy, ribadendo che nei limiti delle finalità di cui all’articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula spontaneamente trasmessi dagli interessati non è dovuto e le informazioni di cui all’articolo 13 del Regolamento gli vengono fornite al primo contatto utile. Lo stesso decreto abroga però l’articolo 26 del Codice Privacy lasciando probabilmente i dati sensibili scoperti da qualsiasi deroga e quindi coperti dal solo consenso.
Insomma, il legislatore ed il Garante non sanno più come spiegarcelo: questa frase non serve a nulla!
PS: molti recruiters purtroppo non avranno letto questo articolo.
[1] No Bing, mi dispiace; però grazie di averci provato (di nuovo). – Cit. S.Vernikov, leggi qui il suo articolo: https://www.cyberlaws.it/2018/il-gdpr-vieta-facebook-ai-minori-di-16-anni-fake-news/.
[2] In via esemplificativa:https://jobberino.com/curriculum/autorizzazione-al-trattamento-dei-dati-personali-nel-cv/; https://news.biancolavoro.it/autorizzazione-al-trattamento-dei-dati-personali-nelle-candidature-inserirla-perche-importante/;https://www.studenti.it/foto/10-cose-importanti-quando-si-scrive-un-curriculum/privacy.html;https://www.newslavoro360.it/autorizzazione-trattamento-dati-personali-curriculum-vitae/
[3]https://www.infogdpr.eu/curriculum-vitae-gdpr-280.html;
[4]http://www.comune.torino.it/lavoro/cercalavoro/la-ricerca-attiva-del-lavoro-curriculum—le-doman-2.shtml
[5] Sono incredibilmente tanti i curricula su internet con questo riferimento!
[6]Garante per la protezione dei dati personali, Istituti di credito – Criteri generali in materia di informativa e richiesta del consenso dell´interessato – 28 maggio 1997.
[7]Garante, Provvedimento del 28 maggio 1997 supra.
[8]Rodotà, Tecnopolitica, la democrazia e le nuove tecnologie della comunicazione, Milano 2004, 161.
[9]G. Finocchiaro, Privacy e protezione dei dati personali – Disciplina e strumenti operativi, Zanichelli Editore, 2016.
[10]Garante per la protezione dei dati personali, Lavoro e previdenza sociale. Trattamento di dati nel settore del mercato del lavoro temporaneo, 24 dicembre 1998.
[11]Garante per la protezione dei dati personali, Informazioni all´interessato – Raccolta di dati personali attraverso coupon, depliant, lettere e annunci pubblicitari, questionari collegati a tessere di ´fidelizzazione´, ricerche di mercato, lotterie, estrazioni di premi od offerte di regali, 13 gennaio 2000. il Garante ribadiva la necessità che l’interessato “sia informato prima di fornire i dati richiesti.
[12]Il riferimento era allora all’art. 11, co. 3 della l. 675/1996. – “in mancanza di tali informative, le dichiarazioni di consenso che sono spesso richieste per i curricula sono da ritenere invalide”.
[13]G. Finocchiaro, Privacy e protezione dei dati personali – Disciplina e strumenti operativi, Zanichelli Editore, 2016, p. 199.
[14]Allora contenuta nell’art 12, comma 1, lett. b) della legge 675/1996.
[15]Lettera aggiunta dall’art. 6, co. 2, lett. b), n. 4, del Decreto Sviluppo.
[16]L. Bolognini, E. Pelino, C. Bistolfi, Il Regolamento Privacy Europeo, Giuffré Editore, 2016, pp. 278 -279.
[17]F. Pizzetti, Gdpr, tutti gli equivoci del “consenso” nei contratti: ecco una guida, Agenda Digitale, 6 luglio 2018.
[18]Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679– Disponibile qui: https://www.cyberlaws.it/wp-content/uploads/2018/05/Nuova_Bozza_Decreto_Privacy_CyberLaws.pdf.
[19]Art. 9 dello Schema di decreto supra.
[20]L. Bolognini, E. Pelino, C. Bistolfi, Il Regolamento Privacy Europeo, Giuffré Editore, 2016, p. 186.
Autore