Le attività di trattamento di dati personali riguardanti i candidati a un posto di lavoro sono spesso banalizzate nella semplice forma di “raccolta di CV”. Ma in realtà, possono nascondere diverse fasi, comprendere l’acquisizione di molteplici tipologie di informazioni, ricorrere a varie fonti e strumenti.
Analizzare nel dettaglio il processo di selezione e reclutamento, risulta quindi fondamentale per assicurarsi di mantenere la conformità al GDPR. A tal proposito, le linee guida della CNIL forniscono degli spunti molto completi, utili a verificare la conformità delle proprie attività di selezione con la normativa privacy. Particolarmente interessanti, i suggerimenti relativi all’utilizzo di quelle tecnologie e quegli strumenti che, sempre più frequentemente, sono integrati nei processi di selezione. Parliamo di software per la registrazione video e video-CV, applicativi intelligenti per l’analisi dei CV, strumenti di valutazione psicologica e psicoattitudinale o test di personalità.
Indice
Quali dati personali vengono trattati per la selezione del personale?
La prima considerazione da fare, è che gli stessi Curricula Vitae contengono varie categorie di informazioni personali. Nome, cognome, esperienza professionale (stage e tirocini, periodi di volontariato, lavori svolti), formazione (diplomi, certificazioni), ecc. Spesso, poi, le informazioni raccolte sui candidati non si limitano ai soli CV. Chi si occupa di selezione può infatti integrare i CV con altri elementi (es. video e lettere di presentazione, allegati, certificati), ricorrere a vari strumenti per valutare le capacità e le competenze dei candidati (es. test di logica, di personalità, ecc.) o effettuare ricerche tramite altre risorse (es. social network, referenze esterne, contatti professionali).
Quali dati possono essere richiesti dai reclutatori?
Troppo ambizioso e forse impossibile fare un elenco esaustivo e generalizzabile dei dati che possono essere richiesti in fase di selezione. Molto più utile comprendere il criterio essenziale da rispettare. Il principio di minimizzazione è la regola aurea: vanno richieste solo le informazioni necessarie… A gestire il processo di selezione. Necessarie a valutare l’idoneità del candidato per la posizione offerta. Necessarie a misurare le sue attitudini professionali. Complessivamente, necessarie a individuare i candidati più adatti.
Quali dati non possono essere raccolti?
Sebbene i reclutatori possano essere tentati di ottenere quante più informazioni possibili sui candidati, occorre quindi evitare le domande non attinenti al contesto e allo scopo. Il Garante francese, ad esempio, pone alcuni divieti:
- no alla richiesta del Codice Fiscale e delle coordinate bancarie (che potranno eventualmente essere raccolti nella gestione delle pratiche di assunzione);
- no alla richiesta di informazioni sugli altri membri della famiglia o prospettive future sull’avere figli (per evitare pratiche discriminatorie);
- no a domande sulle caratteristiche fisiche (es. misure, peso, colore dei capelli). Con l’eccezione di quelle posizioni specifiche quali modelli, piloti, fantini, ecc., per i cui annunci le caratteristiche fisiche ricercate andranno comunque specificate.
Occorre poi prestare particolare attenzione a non cadere in pratiche di trattamenti illeciti di dati sensibili (per i quali occorre assicurarsi di disporre di una idonea base giuridica), o di dati giudiziari (attraverso l’accesso al casellario giudiziario del candidato, in linea di principio vietato, salvo eccezioni previste per figure e mansioni particolari – es. lavoro a contatto con minori).
Quali regole privacy si applicano all’uso di tecnologie video nella selezione del personale?
Per le attività di selezione, è sempre più comune l’uso di software di videoconferenza, video-curriculum (autopresentazioni del candidato in formato video), strumenti per lo svolgimento di test a distanza e soluzioni analoghe. La normativa privacy non bandisce a priori gli strumenti che trasmettono, memorizzano o analizzano immagini video e/o audio. Semplicemente, vanno utilizzati con la consapevolezza delle responsabilità dei trattamenti di dati personali che ne derivano.
[vedi anche Immagini personali e privacy: 7 regole nel trattamento di foto e video e
Da “La Zanzara”, a “Le Iene”, a Clubhouse: l’impatto della voce e delle registrazioni vocali sulla privacy]
In primis, il selezionatore dev’essere in grado di giustificare la necessità di utilizzare i suddetti strumenti. Nel contesto della selezione, le ragioni possono individuarsi nella possibilità di semplificare le comunicazioni, consentire a intervistatori ed intervistati di evitare spostamenti, permettere ai selezionatori di analizzare le interviste in un momento successivo. Dopodiché, per la scelta dello strumento, è senza dubbio opportuno preferire:
- soluzioni supportate da un’adeguata trasparenza verso i candidati
- soluzioni tecnologicamente sicure, testate, e configurate per raccogliere la minima quantità di dati (che non eccedano né siano incompatibili con l’obiettivo della selezione) – nel rispetto del principio di privacy by design e by default
- soluzioni che non trasferiscono dati verso Paesi extra UE
D’altro canto, meglio evitare la tentazione di cedere a funzioni più innovative, come l’analisi automatica dei volti o della voce per la rilevazione delle emozioni dei candidati. Queste tecnologie aumentano notevolmente il livello di rischio per la tutela della privacy dei candidati (e per la compliance dell’azienda!), e andrebbero approcciate con estrema cautela, solo se giustificate da eccezionali necessità. E anche in quei casi eccezionali, dovranno essere oggetto di una valutazione di impatto (DPIA), per assicurarsi di non esporre i candidati a un trattamento illecito.
Come ricorrere a strumenti video per la selezione del personale nel rispetto del GDPR
verificare se e come i dati vengano trattati dal fornitore dello strumento (es. per ulteriori scopi non correlati al reclutamento) e se ciò sia conforme alla normativa
dare la preferenza a soluzioni che riducano al minimo il volume e la natura dei dati raccolti, nonché la privacy del candidato
informare esplicitamente i candidati prima dell’implementazione degli strumenti di elaborazione video
se è stato designato, coinvolgere il DPO nello sviluppo del processo di conformità
Quali regole per i software di selezione, classificazione e valutazione?
Sul mercato esistono molti strumenti informatici pensati per chi si occupa di ricerca e selezione del personale. Nascono, ovviamente, per rendere più efficiente il reclutamento e si sono evoluti con diverse declinazioni. Nonostante la loro grande varietà, una caratteristica sempre più frequente è il fatto di mettere a disposizione specifiche funzionalità automatiche di “supporto delle decisioni” del selezionatore.
Non ci ripeteremo sui principi cardine di conformità al GDPR (trasparenza, liceità, minimizzazione, limitazione della conservazione, ecc.), validi per ogni trattamento. Ma l’uso di questi strumenti impone di porre particolare attenzione al rischio di mettere in atto trattamenti di dati basati sulla profilazione o su decisioni completamente automatizzate, che potrebbero effettuare analisi e previsioni imprecise, portare all’esclusione ingiustificata di persone dal processo di reclutamento, perpetuare stereotipi o, comunque, avere impatti significativi sui candidati.
Il GDPR pone una serie di vincoli sulla profilazione e sulle decisioni completamente automatizzate, riducendo al minimo la possibilità che possano essere considerate lecite, o necessarie, nel processo di selezione. Il criterio più importante a supporto della loro necessità andrà ritrovato nel numero di candidature ricevute per un posto di lavoro: ma solo con numeri “eccezionalmente elevati” di candidature, sarà possibile sostenere la necessità di un trattamento completamente automatizzato.
Come assicurarsi di non incorrere in illeciti nel ricorso a software intelligenti
effettuare una valutazione d’impatto (DPIA) che documenti le misure di mitigazione dei rischi (in particolare contro la discriminazione dei candidati)
dare agli interessati informazioni complete sulla decisione automatizzata che li riguarda, sulla sua logica e sulle sue possibili conseguenze
prevedere procedure e soluzioni organizzative con cui si garantisca il diritto degli interessati di reclamare la decisione automatizzata e richiedere l’intervento umano
Quali regole per l’utilizzo di strumenti e test di personalità?
Esistono molti metodi utilizzati per classificare i candidati in categorie e assegnare tipologie di personalità. Si misurano tratti come resistenza allo stress, creatività, propensione al lavoro in team, autonomia, ecc. La valutazione si svolge tramite l’uso di test formali (domanda/risposta), simulazioni di situazioni di vita reale, quesiti su decisioni da prendere, analizzate successivamente dai selezionatori.
Tali soluzioni vanno scelte con attenzione, e possono essere utilizzate solo in condizioni di assoluta trasparenza verso il candidato. Le dimensione analizzate devono poi avere un legame oggettivo, diretto e necessario con la valutazione dell’idoneità al lavoro o delle competenze professionali.
Nel contesto dell’assunzione, quindi, occorre che il selezionatore si assicuri che le informazioni che intende acquisire attraverso l’uso dello strumento scelto siano pertinenti allo scopo.
Il criterio varierà caso per caso, ma si possono certamente escludere strumenti privi di validità scientifica, non riconosciuti dal mondo accademico (es. che pretendono di dedurre determinate qualità analizzando i tratti del viso, il segno zodiacale, caratteristiche numerologiche della data di nascita, ecc.), basati su teorie inconsistenti o che sfruttano logiche e algoritmi nascosti o non accessibili.
Come utilizzare strumenti di valutazione della personalità nel rispetto del GDPR
individuare gli strumenti di valutazione idonei, sulla base di criteri di validità e pertinenza
definire a priori i criteri oggettivi (es. soglie, punteggi minimi da raggiungere per una determinata capacità professionale valutata) su cui si baserà la selezione
svolgere la valutazione d’impatto (DPIA) e coinvolgere il DPO per assicurarsi di rispettare tutti gli adempimenti del GDPR, identificare i rischi per i diritti dei candidati e adottare idonee misure di sicurezza
