NEWS

Il nuovo Codice di condotta delle Agenzie per il Lavoro e gli impatti in materia di privacy

Il Codice di condotta (d'ora in poi anche “Cdc”) per il settore delle Agenzie per il Lavoro (APL), emanato ai sensi dell'art. 40 (del Regolamento UE 2016/679), riguarda soggetti imprenditoriali iscritti nell'apposito albo che è articolato in cinque sezioni: agenzie di somministrazione di tipo generalista, di tipo specialista (queste potendo somministrare lavoratori solo a tempo indeterminato), agenzie di intermediazione, agenzie di ricerca e selezione del personale, agenzie di supporto alla ricollocazione professionale.

Le Agenzie per il Lavoro sono operatori autorizzati dalla Agenzia Nazionale delle Politiche Attive del Lavoro sotto la vigilanza del Ministero del Lavoro a seguito di una procedura disciplinata dal d. lgs. n. 276/2003 (c.d. “decreto Biagi”).

Il Cdc è stato redatto e proposto sulla base di quanto previsto dagli artt. 40 e 41 da Assolavoro, associazione di categoria aderente a Confindustria, con l’obiettivo di contribuire alla corretta applicazione del Regolamento UE 2016/679 (GDPR) in considerazione delle specificità del settore delle APL.

Il Codice di condotta acquisterà efficacia il giorno successivo alla (prossima) pubblicazione nella Gazzetta Ufficiale.

Esso si applica a tutte le APL associate al Soggetto Promotore (Assolavoro) che vi aderiscono nel rispetto della procedura adottata. L'adesione è aperta anche alle APL non associate, purché aventi sede legale in Italia e iscritte all’Albo informatico Nazionale delle Agenzie per il Lavoro a seguito del rilascio dell’autorizzazione da parte della agenzia nazionale ANPAL.

Naturalmente, come vale anche per le certificazioni, l’adesione al Codice di condotta - che è libera e facoltativa - non solleva l’organizzazione aderente dall’adempimento degli obblighi previsti dal Regolamento, dal Codice privacy, dai provvedimenti applicabili emessi dal Garante e dall’osservanza delle linee guida o di indirizzo emesse dal Comitato europeo per la protezione dei dati personali.

L’adesione al Codice di condotta fa sorgere in capo alla APL aderente l’impegno e il vincolo di rispettare i principi e di applicare le indicazioni in esso contenuti, di accettare e collaborare alle attività di sorveglianza e controllo dell'OdM (Organismo di monitoraggio).

Il soggetto che aderisce al Cdc è l’unico responsabile della corretta applicazione ed attuazione degli obblighi in esso previsti.

Dopo questa premessa, idonea alla contestualizzazione del testo in esame, si può passare ad esaminare il cuore del Cdc, fatto di indicazioni e prescrizioni relative agli obblighi/misure discendenti dal Regolamento UE 2016/679.

Registro dei trattamenti. Giustamente è in testa il registro dei trattamenti, il 'campo base' di ogni tentativo di progettazione e costruzione di un modello organizzativo 'privacy'.

Il maggior numero di trattamenti di dati personali elencati nel registro allegato al Cdc (allegato 1) - che ha natura esemplificativa, non vincolante, dei trattamenti tipici delle APL - ha a che fare con l'adempimento di obblighi discendenti dai contratti e con l'adempimento di obblighi di legge.

E' quindi fisiologico che le APL svolgano, come si legge nel Cdc, “trattamenti non specifici del proprio settore” ma “funzionali alla corretta gestione dell'organizzazione aziendale”.

Qualificazioni soggettive. Il ruolo rivestito normalmente da una APL nello svolgimento delle attività di somministrazione di lavoro, di ricerca e selezione del personale, di intermediazione, di supporto alla ricollocazione professionale, per come definite nel testo, è quello di Titolare.

Il Cdc riferisce che in tutti i casi indicati il rapporto tra APL e Cliente/Utilizzatore si concretizza in una relazione Titolare-Titolare, “in quanto entrambi i soggetti determinano autonomamente le finalità e le modalità dei trattamenti”.

Naturalmente lo schema non può avere valore assoluto e si danno anche ipotesi diverse – come quella della APL che effettui per conto del Titolare/Cliente un incarico in 'outsourcing' – dove il rapporto tra i due soggetti muta caratteristiche e si porta nel campo di applicazione dell'art. 28, trasformandosi in un rapporto Titolare-Responsabile.

Categorie di dati trattati. È capitolo alquanto opportuno e di sicuro ausilio per le APL, in quanto va ad identificare nel dettaglio le tipologie di dati comuni e di dati sensibili trattati dalle stesse (vedasi tabella), sia nelle attività di ricerca e selezione del personale che in quelle preordinate alla instaurazione e gestione dei rapporti di somministrazione di lavoro.

Basi giuridiche dei trattamenti. In forza della preponderanza dei rapporti contrattuali, la base giuridica maggiormente richiamata è quella dell'art. 6.1, lett. b).

Per quanto concerne il trattamento di dati sensibili, è evidente che esso possa avere luogo al fine delle (ovvero nelle) selezioni dei candidati e per questo, in aggiunta alla base giuridica dell'art. 6.1, lett. b), ferma l'applicazione delle misure ex art. 2-septies, d. lgs. 196/2003, le APL possono fare affidamento sulle seguenti deroghe (nel documento sono erroneamente definite “condizioni di liceità”): quella dell'art. 9.2, lett. b) (necessità di assolvere agli obblighi ed esercitare i diritti del titolare o dell'interessato in materia di diritto del lavoro, ecc.), cui seguono le fattispecie dell'art. 9.4 con l'art. 88 (adempimento di specifici obblighi ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, tra cui la fornitura di servizi/azioni mirate all'assistenza di lavoratori svantaggiati nella ricerca di una occupazione) e quella ai sensi dell'art. 9.4 con l'osservanza del Provvedimento del Garante 146 del 5 giugno 2019 (Allegato 1, par. 1, relativo alle prescrizioni sui trattamenti di dati sensibili nei rapporti di lavoro).

Informative agli interessati/candidati. Si tratta di un argomento ben sviluppato, anche considerando il modello di informativa (cfr. allegato 2, che include alcune possibili varianti) che naturalmente non è vincolante ma è in grado di aiutare le organizzazioni di settore nello sforzo di procurare informazioni sui trattamenti chiare ed esaurienti.

Le basi giuridiche richiamate sono quella dell'art. 6.1., lett. b) (inevitabile), dell'art. 6.1, lett. a) (il consenso gioca un ruolo nei trattamenti di tutte quelle informazioni che abbiano a che vedere con esperienze di lavoro pregresse e referenze di precedenti datori) e dell'art. 6.1., lett. e) (il legittimo interesse è per quei trattamenti intrapresi dalle APL con la acquisizione di determinate informazioni sui candidati dai social network professionali).

A quest'ultimo proposito le prescrizioni/precisazioni contenute nel Cdc ricordano alcuni suggerimenti contenuti nel Parere 2/2017 del Gruppo art. 29 sul trattamento dei dati sul posto di lavoro (WP 249) e sono degne di menzione anche se ribadiscono concetti non nuovi: 1) intanto, “il fatto che il profilo social di un Candidato sia disponibile al pubblico non può essere considerato di regola quale presupposto di liceità del trattamento dei dati personali contenuti nello stesso. Prima di esaminare il profilo sul social network di un potenziale Candidato, le APL verificano che il social network abbia natura professionale al fine di verificare l'ammissibilità dell'analisi dello stesso”; 2) il trattamento dei dati deve essere “limitato alle sole informazioni connesse all'attitudine professionale al lavoro” (criterio robusto, una stella polare capace di illuminare il perimetro di altre attività di trattamento in ambito lavorativo); 3) “i dati raccolti durante il processo di selezione dovrebbero essere cancellati non appena sia evidente che non verrà fatta alcuna offerta di impiego o nel caso in cui l'offerta non venga accettata dal candidato” (restando salva l'opportunità per l'APL di conservare i dati in previsione di ulteriori opportunità lavorative, a condizione che l'interessato ne sia stato informato e non si sia opposto); 4) nel caso di invio del curriculum vitae da parte dell'interessato “il consenso al trattamento dei dati personali (…) non è dovuto, la base giuridica appropriata già c'è ed è l'art. 6.1, lett. b).

Avv. Paolo Marini

(Nella foto: l'Avv. Paolo Marini)

Comunicazioni dei dati personali. E allora, la stessa comunicazione dei dati dei candidati tra APL e datori di lavoro/clienti è del tutto coerente con le finalità di selezione/instaurazione dell'eventuale contratto di lavoro; i dati debbono essere, ovviamente, quelli strettamente indispensabili alla valutazione dei candidati circa la rispondenza dei profili con le posizioni ricercate.

Per quanto concerne la raccolta da parte delle APL di informazioni che siano state trattate e conservate presso precedenti datori, essa potrà avvenire solo col consenso dei candidati.

Non potranno invece essere richieste e/o trattate “informazioni inerenti ai precedenti illeciti disciplinari o procedimenti giudiziari che abbiano coinvolto il Candidato, ferme le ipotesi in cui ciò sia necessario in base ad una disposizione di legge”.

Altresì operazioni di comunicazioni di dati dei lavoratori non potranno non verificarsi tra APL e soggetti utilizzatori dei lavoratori somministrati. Si tratta di un flusso necessario a consentire lo svolgimento del rapporto di lavoro nel contesto dell'organizzazione del datore di lavoro funzionale (che si distingue dal datore di lavoro gerarchicamente inteso, l'APL appunto).

Tempi di conservazione dei dati. Sono interessanti le prescrizioni in materia di termini massimi di conservazione dei dati: 48 mesi (dall'ultima attività svolta per finalità connesse o strumentali allo svolgimento della ricerca e selezione dei candidati nonché per usufruire dei servizi gratuiti prestati dalle APL) per i dati relativi ai candidati; mentre nell'ambito della somministrazione è stabilito un termine di 11 anni (dalla cessazione del rapporto di lavoro), in ragione di quello decennale di prescrizione ordinaria previsto dalla legge, cui è aggiunto quell'ulteriore anno che, con stimabile buon senso, è “termine tecnico necessario affinché la cancellazione venga completata”.

Esercizio dei diritti degli interessati e garanzie nei trattamenti con processi automatizzati. Qui è da segnalare il riferimento iniziale e precipuo alla possibilità per le APL di “effettuare trattamenti totalmente automatizzati nella misura in cui ciò sia necessario per lo svolgimento delle proprie Attività ovvero previo consenso dell'interessato e previa effettuazione di una Valutazione di Impatto”.

Rientrano nel campo di applicazione dell'art. 22 “le decisioni finali di un processo che siano prese in maniera completamente automatizzata (ovvero senza l'intervento umano) mediante l'utilizzo di algoritmi (tipicamente fattori di calcolo matematici e processi statistici) applicati ad un insieme di dati personali di partenza effettivamente riconducibili all'interessato”.

Nel caso di trattamenti interamente automatizzati le APL debbono attuare misure appropriate alla tutela dei diritti, delle libertà, dei legittimi interessi delle persone, al loro diritto di ottenere l'intervento umano, di esprimere opinioni, di contestare le decisioni, così come vuole l'art. 22.3.

Nelle medesime fattispecie le APL rispetteranno il principio di trasparenza fornendo agli interessati “informazioni chiare circa i meccanismi posti alla base dell'automatizzazione”, informazioni concernenti le valutazioni periodiche eseguite per le verifiche di affidabilità degli strumenti automatizzati nonché di conformità rispetto al divieto di discriminazioni, indicazioni sulle forme di accesso ai dati.

Misure di sicurezza. Il Cdc esige che le valutazioni del rischio eseguite dalle APL siano effettuate “utilizzando metodologie formalizzate e basate su criteri quanto più possibile oggettivi, che tengano conto delle componenti di probabilità e impatto dei diversi rischi”.

Per l'individuazione delle misure di sicurezza adeguate debbono essere prese in esame le buone pratiche e gli standard di settore (valga per tutti il riferimento alla norma ISO/IEC 27001:2017).

Conservazione dei documenti. Argomento non scontato e sempre bisognevole di richiamo: le APL sono impegnate dal Cdc “a custodire presso la propria sede sociale la documentazione aggiornata relativa alla conformità al Regolamento e al presente Codice di condotta”.

Molto importante è quello che potremmo chiamare il 'principio di tracciabilità delle successioni documentali', ben presente a chi si occupa di Qualità, qui fatto proprio dal Cdc nella misura in cui prescrive che l'aggiornamento dei documenti “deve essere oggetto di un processo formale di modifica che garantisca la conservazione delle diverse versioni nel tempo adottate”.

Note sull'Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev La privacy non è un diritto assoluto del lavoratore ma il trattamento dei suoi dati personali deve essere ridotto al minimo necessario
Next Dossier, intercettazioni, fughe di notizie. Un po’ di ordine nel caos d’informazioni

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy