Le procedure di selezione e assunzione comportano la raccolta e il trattamento di informazioni private dei candidati, i così detti “dati personali”, che possono andare dal percorso di studi sino a certificati di idoneità medica. L’indirizzo odierno generale è quello di raccogliere solo informazioni rilevanti per i criteri di recruiting definiti sulla base della posizione che si vuole andare a ricoprire, ma vediamo più nel dettaglio come l’entrata in vigore del regolamento europeo sulla protezione dei dati personali, noto come GDPR, ha avuto forti effetti anche nell’ambito delle Risorse Umane.
HR, GDPR: il regolamento a tutela dei dati personali del candidato
Per gli esperti HR il GDPR, acronimo di General data protection regulation, rappresenta il regolamento al quale doversi allineare senza possibilità di deroga quando si parla di trattamento dei dati personali del candidato.
Diventato operativo nel maggio 2018, il GDPR mette al primo posto la privacy dei cittadini europei qualsiasi azione essi compiano che li porti a dover comunicare i propri dati personali, che possono andare dall’indirizzo di posta elettronica, al sesso, all’etnia, all’età o altro. È chiaro, dunque, quante di queste informazioni possano essere presenti all’interno di un curriculum e come potrebbe essere poco gradito al candidato se queste informazioni venissero trasmesse a terzi non autorizzati che nulla hanno a che vedere con la finalità a monte dell’invio del curriculum stesso. Ecco perché rispettare la privacy nel recruiting è estremamente importante per acquisire come azienda la fiducia dei candidati e aumentare così l’employer branding, oltre al fatto che il mancato rispetto di queste regole può comportare multe davvero salate.
Cosa è cambiato con l’applicazione nelle HR del GDPR
In generale il GDPR ha influito sul recruiting modificando il modo in cui i dati personali possono essere raccolti, archiviati e utilizzati. A seguire le principali novità introdotte nelle HR dal GDPR.
Prima di tutto il GDPR ha introdotto quello che viene definito il principio della privacy by design obbligando ad una gestione corretta dei dati personali sin dalla progettazione di un servizio o prodotto che comporti la loro raccolta. L’articolo 25 del regolamento Ue al punto 2 recita dunque così: “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Col GDPR il consenso al trattamento dei dati personali diventa ora obbligatorio. Ciò significa che colui che rilascia informazioni personali deve comunicare esplicitamente il proprio benestare che tali dati vengano elaborati per le finalità per le quali sono stati trasmessi. Banalmente un curriculum, sia in formato elettronico spedito via e-mail sia cartaceo consegnato a mano, per essere preso in considerazione dalle aziende deve contenere il consenso dell’interessato nero su bianco.
L’articolo 15 del GDPR regola quello che viene definito il diritto di accesso dell’interessato: “L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: le finalità del trattamento; le categorie di dati personali in questione; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; nonché l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall’Unione Europea”.
Molta attenzione il GDPR dedica alla conservazione dei dati che è esclusa a tempo indeterminato. Al punto e) dell’articolo 5 del regolamento infatti si prevede che i dati personali debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Inoltre il punto 2 dell’articolo 13 vuole che tra le informazioni necessarie per garantire un trattamento corretto e trasparente il titolare del trattamento fornisca all’interessato informazioni relative al “periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.
I vantaggi di un software ATS per il trattamento dei dati personali nell’e-recruiting
Basterebbe pensare al fatto che il GDPR consta di ben 99 articoli per capire quanto possa essere complicato per un HR manager districarsi tra le sue regole. Ecco perché affidarsi ad un software ATS – Applicant Tracking System per l’attività di e-recruiting rappresenta una più che valida soluzione per ottenere un supporto concreto nella gestione delle centinaia di curriculum che posso arrivare per una singola offerta di lavoro. Grazie agli ATS recruitment system è infatti possibile convogliare tutti i curriculum attraverso un form preimpostato per raccogliere il consenso dei candidati, ottemperare facilmente al diritto alla cancellazione dei dati come alla loro eventuale rettifica da parte dell’interessato.
