Nel dettaglio, il CDC chiarisce che:
- la principale base giuridica del trattamento dei dati comuni dei candidati è l'esecuzione di un contratto di cui l'interessato è parte o l'adozione di misure precontrattuali su richiesta dello stesso; le categorie particolari di dati (e.g., dati inerenti alla salute), invece, in aggiunta alla base giuridica che precede, possono essere trattate in presenza di una delle condizioni di liceità del trattamento di cui all'art. 9 GDPR (e.g., per assolvere obblighi ed esercitare diritti del titolare o dell'interessato in materia di diritto del lavoro e della sicurezza e protezione sociale);
- le informazioni sul trattamento, siano esse fornite online o con differenti modalità, devono essere adeguatamente distinte da differenti clausole contrattuali, complete e disponibili presso un unico documento cui gli interessati possano accedere facilmente;
- in punto di social network, il titolare può avvalersi esclusivamente di informazioni disponibili presso profili social del candidato di natura professionale; in ogni caso, il titolare dovrà
- adottare misure preventive per la corretta acquisizione della candidatura presso detti social,
- fornire adeguata informativa all'interessato ai sensi dell'art. 14 GDPR e
- limitare l'analisi alle sole informazioni connesse all'attitudine professionale al lavoro del candidato, nella misura meno intrusiva possibile, adottando ogni misura necessaria a garantire un corretto bilanciamento tra il legittimo interesse del titolare e le libertà fondamentali dell'interessato;
- in caso di curricula trasmessi spontaneamente dai candidati, in linea con il Codice della Privacy, le informazioni sul trattamento devono essere fornite all'interessato al primo contatto utile, successivo all'invio del curriculum (non costituisce trasmissione spontanea l'invio del CV tramite sezione dedicata del sito web del titolare);
- la comunicazione dei dati a terzi, senza consenso dell'interessato, è ammessa esclusivamente per finalità strettamente connesse alla selezione / instaurazione dell'eventuale rapporto di lavoro e/o in esecuzione di obblighi di legge, regolamento o contratti collettivi;
- eventuali referenze professionali presso precedenti datori di lavoro possono essere raccolte esclusivamente previa esplicita autorizzazione del candidato, fermo il divieto di richiedere e/o trattare informazioni inerenti ai precedenti illeciti disciplinari e/o procedimenti giudiziari che abbiano coinvolto il candidato (ad esclusione delle ipotesi in cui tale conoscenza sia richiesta dalla legge);
- in caso di decisioni automatizzate, fermo lo svolgimento della valutazione di impatto, ai sensi dell'art. 35 GDPR, in ottica di trasparenza, il titolare deve fornire al candidato informazioni chiare circa i meccanismi posti alla base dell'automatizzazione, le valutazioni periodiche poste in essere per verificare l'affidabilità dello strumento automatizzato e le indicazioni circa le forme di accesso ai dati;
- devono essere predisposte misure organizzative e tecniche idonee a garantire un riscontro telematico, tempestivo e completo alle richieste di esercizio dei diritti avanzate dagli interessati ai sensi del GDPR.
Quali allegati al CDC e in linea con le disposizioni ivi contenute, infine, sono disponibili un modello di informativa e di registro, compilati con i dati relativi al trattamento in questione.
In tale contesto, dunque, gli operatori di mercato potrebbero valutare l'opportunità di rivedere le modalità di trattamento dei dati personali dei candidati nell'ambito dei processi di selezione – in uno con la documentazione predisposta al riguardo – tenuto conto degli utili inputs forniti dal CDC.