NEWS

Richiesta copia della bolletta della luce per esercitare i diritti sulla privacy, sanzionata agenzia di selezione del personale

È risaputo che trovare lavoro è sempre più difficile, ma pare che anche la gestione delle proprie candidature sui siti di recruitment sia diventata una corsa a ostacoli. Se finora chi si iscriveva su uno dei vari portali di selezione del personale era già abituato a dover fornire molte informazioni sul proprio conto, di certo non ci si aspetterebbe poi che per accedere al proprio account l’agenzia chieda anche copia della bolletta dell’energia elettrica o dell’acqua potabile.

Nicola Bernardi, presidente di Federprivacy

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

E questo è proprio quello che è accaduto a una donna olandese, iscritta sul sito della nota agenzia di collocamento Michael Page, che non riuscendo ad entrare nel suo account per aggiornare il suo curriculum vitae online aveva quindi deciso di scrivere una mail per richiedere l’accesso ai suoi dati personali, diritto che è riconosciuto dall’art.15 del Regolamento UE 2016/679 (Gdpr).

Se in presenza di un account regolarmente attivato in precedenza era già sproporzionato da parte dell’agenzia chiedere all’utente di fornire copia del documento di identità e della sua tessera di assicurazione sanitaria per dimostrare la sua identità (prassi illecita e già sanzionata anche di recente), la cittadina olandese deve essere rimasta però sbalordita quando si è sentita chiedere addirittura copia di una bolletta recente dell’energia elettrica o dell’acqua potabile, che sarebbe stata necessaria “per verificare che il suo indirizzo fosse corretto” prima di riconcederle l’accesso al suo account.

Comprensibile quindi che la signora in cerca di lavoro avesse perso la calma decidendo di rivolgersi all’autorità per la protezione dei dati per capire se le inverosimili richieste burocratiche che aveva ricevuto fossero davvero giustificabili dalle normative sulla privacy.

Anche se il reclamo era stato presentato da una cittadina olandese, poiché il team di legal compliance che gestisce le richieste d’accesso degli utenti della Michael Page Group Europe ha sede a Barcellona,  a norma dell’art. 56 del Regolamento europeo la gestione del caso era quindi di competenza della AEPD (Agencia Española de Protección de Datos), che procedeva con l’istruttoria del caso.

Per esercitare i propri diritti privacy non è lecito sentirsi chiedere la bolletta delle utenze domestiche

Alla richiesta di informazioni del garante spagnolo sulle motivazioni per cui la procedura di riscontro alle richieste di esercizio dei diritti degli interessati prevedesse copia di documento d’identità, copia della tessera di assicurazione sanitaria e perfino copia della bolletta delle utenze domestiche, la Michael Page si giustificava asserendo che “trattando dati di un gran numero di candidati in molti paesi, per rispettare il proprio dovere di riservatezza e segretezza” avesse dovuto attuare “un rigoroso processo per la verifica dell’identità così da garantire che i dati personali dei loro iscritti non siano ceduti a terzi solo perché possiedono lo stesso indirizzo di posta elettronica”.

Come era da aspettarsi, l’autorità iberica giudicava la richiesta di tali documenti illecita ai sensi dell’art. 5.1.C del Gdpr (relativa al principio di “minimizzazione” dei dati), e riscontrava anche la violazione dell’art. 12 del Regolamento europeo, secondo cui “il titolare del trattamento agevola l'esercizio dei diritti dell'interessato”, mentre gli utenti di Michael Page che si trovavano a dover dimostrare la propria identità per accedere ai propri account erano di fatto ostacolati con richieste sproporzionate.

Quando è troppo è troppo, e quindi giusta la sanzione di 240.000 euro che l’AEPD ha infine inflitto all’agenza di recruitment con il Provvedimento N. PS/00003/2021.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Viola la privacy l'invio di un sms all'utente per chiedergli il consenso ad inviare messaggi pubblicitari
Next La telefonata dell’infermiera che non rivela informazioni sensibili al marito non vìola la privacy della paziente

Privacy Day Forum 2024: intervista a Pasquale Stanzione

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy