{"id":569,"date":"2024-04-16T13:48:00","date_gmt":"2024-04-16T11:48:00","guid":{"rendered":"https:\/\/staging.in-recruiting.com\/gdpr-la-guida-per-hr-e-recruiter\/"},"modified":"2024-04-17T14:42:42","modified_gmt":"2024-04-17T12:42:42","slug":"gdpr-la-guida-per-hr-e-recruiter","status":"publish","type":"post","link":"https:\/\/staging.in-recruiting.com\/it\/gdpr-la-guida-per-hr-e-recruiter\/","title":{"rendered":"Privacy e recruiting: come gestirla secondo il GDPR"},"content":{"rendered":"\n<p><em>Come trattare i dati personali dei candidati? Per quanto tempo tenerli e come rispettare la normativa GDPR durante il processo di recruitment? A queste e tante altre domande rispondiamo in questo articolo.<\/em><\/p>\n\n\n\n<p>Fare recruiting significa, come sappiamo, tantissime cose. Ma non \u00e8 \u201csolo\u201d una questione di trovare persone talentuose, riuscire a capire se sono adatte al ruolo vacante, considerarle valide per un\u2019eventuale altra selezione o arricchire la talent pipeline. C\u2019\u00e8 un altro aspetto che conta tantissimo e cui i recruiter devono prestare tantissima attenzione: la privacy.<\/p>\n\n\n\n<p><strong>Saper trattare e gestire i dati sensibili delle persone<\/strong> \u00e8 importante e ogni recruiter deve comportarsi in maniera etica, non solo per questioni legate alle normative, ma anche di reputation dell\u2019azienda, oltre che, ovviamente, nei confronti di chi dimostra fiducia candidandosi per una posizione.<\/p>\n\n\n\n<p>Cerchiamo di capire in questo articolo come al giorno d\u2019oggi vada gestita la <strong>privacy<\/strong>, alla luce del <strong>GDPR <\/strong>e non solo.<\/p>\n\n\n\n<h4>SOMMARIO<\/h4>\n\n\n\n<ul><li><a href=\"#gdpr-privacy\">GDPR e privacy: trattare dati personali e particolari<\/a><\/li><li><a href=\"#dati-candidati-vietati\">Quali dati non possono essere raccolti dai recruiter?<\/a><\/li><li><a href=\"#trattamento-dati\">Cosa si intende per trattamento dei dati personali?<\/a><\/li><li><a href=\"#dati-candidatura\">Dati personali e candidatura a una posizione aperta<\/a><\/li><li><a href=\"#informativa\">Cosa deve contenere l\u2019informativa sulla privacy<\/a><\/li><li><a href=\"#dati-candidatura-spontanea\">Trattamento dei dati e candidatura spontanea<\/a><\/li><li><a href=\"#autorizzazione-dati\">Autorizzazione al trattamento dei dati personali<\/a><\/li><li><a href=\"#consenso-candidati\">Quali caratteristiche deve avere il consenso dei candidati?<\/a><\/li><li><a href=\"#limiti-consenso-candidati\">Quali limiti ha il consenso fornito dai candidati?<\/a><\/li><li><a href=\"#data-retention\">Per quanto tempo si possono tenere i dati dei candidati?<\/a><\/li><\/ul>\n\n\n\n<h2 id=\"gdpr-privacy\">GDPR e privacy: trattare dati personali e particolari<\/h2>\n\n\n\n<p>A regolare il trattamento dei dati personali \u00e8, come sappiamo, il <strong>GDPR<\/strong>. L\u2019acronimo sta per General Data Protection Regulation ed \u00e8 il regolamento UE sulla privacy introdotto nel 2018. Si applica a tutte le aziende che trattano dati di<strong> residenti in Europa<\/strong> (per esempio consumatori, prospect, dipendenti o candidati).<\/p>\n\n\n\n<p>Le aziende che ignorano questa normativa rischiano sanzioni fino a 20 milioni di euro o il 4% del loro fatturato globale.<\/p>\n\n\n\n<p>Nel caso dei recruiter, il GDPR \u00e8 ovviamente importante perch\u00e9 la ricerca e selezione di personale richiede l\u2019acquisizione di diversi <strong>dati personali<\/strong>.<\/p>\n\n\n\n<p>Cosa si intende con queste due parole? Il dato personale, come precisato dal GDPR, \u00e8 qualsiasi informazione relativa a una persona che pu\u00f2 essere utilizzata <strong>direttamente o indirettamente per identificarla<\/strong>.&nbsp;<\/p>\n\n\n\n<p>Questo, nell\u2019attivit\u00e0 del recruiting, pu\u00f2 succedere quando si riceve il CV di una persona in cui ci sono, per l\u2019appunto, diversi dati personali: il nome e cognome, il posto in cui risiede, l\u2019e-mail, il numero di cellulare. Il GDPR protegge tutti questi dati e richiede, a chi viene a contatto con essi, di attivare degli adempimenti perch\u00e9 vengano garantite l\u2019integrit\u00e0, la riservatezza e il corretto trattamento di queste informazioni.<\/p>\n\n\n\n<p>Peraltro, se ci pensi bene, in un CV oltre a queste info, possono essere presenti categorie di \u201c<strong>dati particolari<\/strong>\u201d come li definiscono gli articoli 9 e 10 del GDPR.<br>Dati particolari sono, secondo l\u2019articolo 9, quelli che rivelano l\u2019origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l&#8217;appartenenza sindacale cos\u00ec come lo sono i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all&#8217;orientamento sessuale della persona. Tutti dati che possono essere trattati solo dietro consenso delle persone interessate e in altri casi definiti dall\u2019articolo 9 del GDPR.<\/p>\n\n\n\n<p>Altre categorie particolari di dati personali sono quelle relative a condanne penali e reati, come specificato dall\u2019articolo 10 del GDPR.<\/p>\n\n\n\n<h2 id=\"dati-candidati-vietati\">Quali dati non possono essere raccolti dai recruiter?<\/h2>\n\n\n\n<p>Allo stesso tempo ci sono dei dati che i recruiter non possono assolutamente raccogliere. Come, per esempio:<\/p>\n\n\n\n<ul><li>codice fiscale e coordinate bancarie (che possono essere raccolti quando si sta, invece, avviando un\u2019assunzione)<\/li><li>informazioni su altri membri della famiglia o sull\u2019idea di avere figli o meno<\/li><li>informazioni relative all\u2019aspetto fisico<\/li><\/ul>\n\n\n\n<p>Inoltre, <strong>\u00e8 importante evitare il trattamento di dati giudiziari<\/strong>, come per esempio l&#8217;accesso al casellario giudiziale dei candidati, che di norma \u00e8 vietato, sebbene esistano delle eccezioni previste per determinate figure e mansioni particolari, come lavori che prevedono il contatto diretto e regolare con i minori.<\/p>\n\n\n\n<h2 id=\"trattamento-dati\">Cosa si intende per trattamento dei dati personali?<\/h2>\n\n\n\n<p>Fin qui abbiamo parlato di \u201ctrattamento dei dati personali\u201d (data processing), ma cosa si intende? Secondo il GDPR, \u00e8 \u201cogni operazione o insieme di operazioni, compiute con o senza l\u2019ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l\u2019organizzazione, la strutturazione, la conservazione, l\u2019adattamento o la modifica, l\u2019estrazione, la consultazione, l\u2019uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l\u2019interconnessione, la limitazione, la cancellazione o la distruzione\u201d.<\/p>\n\n\n\n<p>In questo ovviamente rientrano tutte le informazioni che si chiedono a una persona quando si candida per una posizione aperta o durante ogni fase del processo di recruiting (sia manuale che automatizzato tramite un software ATS come Inrecruiting).<\/p>\n\n\n\n<h2 id=\"dati-candidatura\">Dati personali e candidatura a una posizione aperta<\/h2>\n\n\n\n<p>Andando maggiormente nel dettaglio, vediamo a cosa il recruiter dovrebbe prestare attenzione quando pubblica un annuncio di lavoro per una posizione vacante. Gi\u00e0 al momento della compilazione del form online per effettuare la registrazione all\u2019annuncio, \u00e8 necessario far sapere ai candidati come saranno gestiti loro i dati. E questo deve avvenire in maniera \u201cpreliminare\u201d.&nbsp;<br>Cosa significa? Che \u00e8 necessario fornire un<strong> apposito modello di informativa<\/strong>, come dice l\u2019articolo 13 del GDPR, gi\u00e0 nel momento in cui la persona sta decidendo di candidarsi.<\/p>\n\n\n\n<h2 id=\"informativa\">Cosa deve contenere l\u2019informativa sulla privacy<\/h2>\n\n\n\n<p>L\u2019informativa pu\u00f2 essere inserita in calce al form di raccolta o nell\u2019area in cui viene caricato il CV affinch\u00e9 la persona ne sia a conoscenza. In dettaglio, come dice il GDPR, nell\u2019informativa devono essere indicati:<\/p>\n\n\n\n<ul><li>identit\u00e0 e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;<\/li><li>&nbsp;i dati di contatto del responsabile della protezione dei dati, ove applicabile;<\/li><li>le finalit\u00e0 del trattamento cui sono destinati i dati personali nonch\u00e9 la base giuridica del trattamento;<\/li><li>qualora il trattamento si basi sull\u2019articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;<\/li><li>gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;<\/li><li>ove applicabile, l&#8217;intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un&#8217;organizzazione internazionale.<\/li><\/ul>\n\n\n\n<p>L\u2019informativa deve poi garantire un trattamento corretto e trasparente e in dettaglio indicare:&nbsp;<\/p>\n\n\n\n<ul><li>il periodo di conservazione dei dati personali oppure, se non \u00e8 possibile, i criteri utilizzati per determinare tale periodo;<\/li><li>l&#8217;esistenza del diritto dell&#8217;interessato di chiedere al titolare del trattamento l&#8217;accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilit\u00e0 dei dati;&nbsp;<\/li><li>qualora il trattamento sia basato sull&#8217;articolo 6, paragrafo 1, lettera a), oppure sull&#8217;articolo 9, paragrafo 2, lettera a), l&#8217;esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceit\u00e0 del trattamento basata sul consenso prestato prima della revoca;<\/li><li>il diritto di proporre reclamo all&#8217;autorit\u00e0 di controllo;<\/li><li>se la comunicazione di dati personali \u00e8 un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l&#8217;interessato ha l&#8217;obbligo di fornire i dati personali nonch\u00e9 le possibili conseguenze della mancata comunicazione di tali dati;<\/li><li>l&#8217;esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all&#8217;articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonch\u00e9 l&#8217;importanza e le conseguenze previste di tale trattamento per l&#8217;interessato.<\/li><\/ul>\n\n\n\n<p>Le aziende e i recruiter dovranno essere trasparenti con i candidati in merito ai dati che trattano. Dovranno creare privacy policy e metterle a disposizione dei candidati, ma non solo: dovranno anche esplicitare dove e in che modo archiviano i dati (per esempio all\u2019interno di un ATS) e dichiarare che utilizzano i dati esclusivamente per finalit\u00e0 di reclutamento.<\/p>\n\n\n\n<h2 id=\"dati-candidatura-spontanea\">Trattamento dei dati e candidatura spontanea<\/h2>\n\n\n\n<p>Tutto questo vale nel caso di una <strong>candidatura spontanea<\/strong> che avviene per esempio tramite l\u2019invio del CV via mail o quando &#8211; cosa rara, ma succede &#8211; viene portato a mano in azienda.<\/p>\n\n\n\n<p>In una situazione simile, c\u2019\u00e8 per\u00f2 una differenza: i contenuti dell\u2019informativa della privacy vengono forniti durante il <strong>primo contatto utile<\/strong> e non preliminarmente e questo perch\u00e9, appunto, tale candidatura avviene senza che l\u2019azienda stia effettivamente ricercando qualcuno in modo attivo.<\/p>\n\n\n\n<p>Cosa si intende per \u201cprimo contatto utile\u201d? Il momento in cui il recruiter risponde all\u2019e-mail di candidatura spontanea, allegando l\u2019informativa della privacy o linkandola dal sito aziendale, o in cui contatta per la prima volta la persona che ha portato il CV a mano.&nbsp;<\/p>\n\n\n\n<h2 id=\"autorizzazione-dati\">Autorizzazione al trattamento dei dati personali<\/h2>\n\n\n\n<p>D\u2019altro canto, c\u2019\u00e8 da dire che i candidati dovrebbero indicare nel proprio CV l\u2019<strong>autorizzazione al trattamento dei dati personali<\/strong>. Si tratta infatti di un consenso scritto a tutte le informazioni che sono contenute all\u2019interno di esso che non \u00e8 obbligatorio, ma consigliato e che permette al recruiter di mettersi direttamente in contatto.&nbsp;<\/p>\n\n\n\n<p>Quando infatti non \u00e8 cos\u00ec, come dicevamo prima, il recruiter dovrebbe inviare al candidato l\u2019informativa e solo successivamente pu\u00f2 procedere con la valutazione del CV.&nbsp;<\/p>\n\n\n\n<h2 id=\"consenso-candidati\">Quali caratteristiche deve avere il consenso dei candidati?<\/h2>\n\n\n\n<p>Il GDPR richiede che il consenso sia libero, specifico, informato e inequivocabile (infatti non \u00e8 ammesso il consenso tacito o presunto, come nel caso di caselle pre-flaggate di un modulo).<\/p>\n\n\n\n<p>Il consenso non deve essere necessariamente, come dicevamo, \u201cdocumentato per iscritto\u201d, n\u00e9 \u00e8 richiesta la \u201cforma scritta\u201d, anche se questa \u00e8 una modalit\u00e0 idonea a configurare l\u2019inequivocabilit\u00e0 del consenso e il suo essere \u201cesplicito\u201d (per i dati sensibili). Inoltre, il titolare deve essere in grado di dimostrare che l\u2019interessato ha prestato il consenso a uno specifico trattamento.<\/p>\n\n\n\n<h2 id=\"limiti-consenso-candidati\">Quali limiti ha il consenso fornito dai candidati?<\/h2>\n\n\n\n<p>Il consenso deve essere \u201cspecifico\u201d, questo significa che il GDPR richiede di non utilizzare i dati dei candidati per altri scopi rispetto a quelli per i quali sono stati raccolti (da te o dal tuo ATS). Per esempio, non si potranno inviare delle e-mail di marketing agli indirizzi forniti dai candidati che hanno risposto ad un annuncio di lavoro (lo scopo sarebbe un altro e supererebbe i confini del consenso specifico).<\/p>\n\n\n\n<p>Inrecruiting, per esempio, avendo la possibilit\u00e0 di gestire in maniera centralizzata l\u2019<strong><a href=\"https:\/\/staging.in-recruiting.com\/it\/comunicare-con-i-candidati-con-sms-e-newsletter\/\">invio di SMS e Newsletter massive<\/a><\/strong>, ha predisposto la possibilit\u00e0 gestire separatamente la richiesta del consenso per l\u2019e-mail marketing e SMS marketing. Al momento della configurazione del form di candidatura, i recruiter potranno abilitare queste voci e permettere ai candidati di esprimere il loro consenso alla ricezione di messaggi o email.<\/p>\n\n\n\n<h2 id=\"data-retention\">Per quanto tempo si possono tenere i dati dei candidati?<\/h2>\n\n\n\n<p>Il GDPR esplicita che non \u00e8 possibile tenere in archivio i dati dei candidati per un tempo indefinito, ma \u00e8 obbligatorio indicare nell\u2019informativa per i candidati il tempo di conservazione.<\/p>\n\n\n\n<p>Il GDPR non \u00e8 per\u00f2 esplicito sul tempo massimo di archiviazione dei dati dei candidati. C\u2019\u00e8 un elemento che bisogna tenere in considerazione: se si mantengono i dati dei candidati oltre un tempo congruo per il proprio scopo, si ha l\u2019onere di dimostrare la necessit\u00e0 alla base di questo trattamento pi\u00f9 lungo del previsto.&nbsp;<\/p>\n\n\n\n<p>Quando si usa un software per il recruiting, inoltre, \u00e8 importante gestire correttamente le richieste di aggiornamento dei dati, modifica o cancellazione dei profili dei candidati ecc.<\/p>\n\n\n\n<p>Oltre al tema della data retention, tra le configurazioni di Inrecruiting, alcune sono specificatamente dedicate agli aspetti della privacy. \u00c8 possibile inserire una o pi\u00f9 informative privacy a seconda della finalit\u00e0 (commerciale, marketing, condizioni d\u2019uso ecc.) e regolarne l\u2019obbligatoriet\u00e0 nei form di candidatura.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Come trattare i dati personali dei candidati? Per quanto tempo tenerli e come rispettare la normativa GDPR durante il processo di recruitment? A queste e tante altre domande rispondiamo in questo articolo. Fare recruiting significa, come sappiamo, tantissime cose. Ma non \u00e8 \u201csolo\u201d una questione di trovare persone talentuose, riuscire a capire se sono adatte<\/p>\n","protected":false},"author":5,"featured_media":40322,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"ub_ctt_via":""},"categories":[16],"tags":[],"featured_image_src":"https:\/\/staging.in-recruiting.com\/wp-content\/uploads\/recruiting_privacy-1.jpg","author_info":{"display_name":"Cristina Maccarrone","author_link":"https:\/\/staging.in-recruiting.com\/it\/author\/cristina-maccarrone\/"},"_links":{"self":[{"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/posts\/569"}],"collection":[{"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/comments?post=569"}],"version-history":[{"count":29,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/posts\/569\/revisions"}],"predecessor-version":[{"id":40405,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/posts\/569\/revisions\/40405"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/media\/40322"}],"wp:attachment":[{"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/media?parent=569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/categories?post=569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.in-recruiting.com\/it\/wp-json\/wp\/v2\/tags?post=569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}