Agenzie per il Lavoro: approvato dal Garante Privacy il Codice di condotta

Inquadramento, ambito di applicazione e adesione

Il codice promosso da Assolavoro, Associazione Nazionale delle APL, è stato pubblicato in G.U. il 6 marzo 2024 ed è efficace dal giorno successivo alla pubblicazione. Si applica a tutte le agenzie associate alla promotrice, ma possono aderirvi anche APL non associate, purché con sede legale in Italia e iscritte all’Albo informatico Nazionale delle APL.

L’adesione è volontaria e richiede la compilazione on line della relativa domanda.

Il meccanismo di adesione e le relative istruzioni saranno messi a disposizione sui siti internet di Assolavoro e dell’Organismo di Monitoraggio (“OdM”), ma al momento in cui si scrive (27 marzo 2024) nulla di quanto indicato risulta ancora pubblicato dalla promotrice mentre il sito web dell’OdM è ancora in corso di attivazione.

Effetti dell'adesione

L'adesione al codice non solleva l'agenzia dall'adempimento degli obblighi previsti dal GDPR, dal d.lgs. 196/03, dall'ulteriore normativa applicabile o dalla consapevolezza delle linee guida dell'EDPB e dei provvedimenti applicabili del Garante, ma orienta certamente nel senso della conformità alle regole vigenti e può essere valorizzata in termini di responsabilizzazione, cd. “accountability”. Tale principio fondamentale del GDPR, che trova espressione, fra l'altro, agli artt. 5.2 e 24 GDPR, emerge infatti dall'adozione di pratiche uniformi già oggetto di un vaglio preliminare del Garante.

Le APL aderenti si impegnano a:

• rispettare i principi e applicare le indicazioni contenuti nel CDC;
• accettare e collaborare alle attività di sorveglianza e controllo previste nel CDC;
• concorrere all'attuazione del CDC;
• in ogni caso, trattare i dati personali nel rispetto delle disposizioni e principi del GDPR.

Definizione dei ruoli di trattamento delle APL

È interessante, e merita di essere evidenziato, il chiarimento operato dal codice, all’art. 4, sulla corretta individuazione dei ruoli di trattamento. In particolare, l’agenzia, nello svolgimento delle proprie attività tipiche, è individuata come titolare autonomo. Ciò facilita notevolmente l’analisi di consulenti e DPO e permette di escludere l’ipotesi della contitolarità tra APL e clienti/utilizzatori. La correttezza dell’impostazione tuttavia andrà verificata alla luce della giurisprudenza della CGUE, che appare orientata a un favor per la contitolarità, cfr. CGUE, 7 marzo 2024, IAB Europe, C-604/2022, punti 68 e 77.

Nell’ambito di un incarico di outsourcing, definito all’art. 1, n. 21 CDC, l’APL, trattando i dati per conto del cliente titolare, è invece qualificata come responsabile del trattamento e dovrà essere designata con contratto ex art. 28 GDPR.

Tutela degli interessati

Il codice introduce previsioni a tutela dei candidati, dettando regole in merito alla selezione degli stessi e alla raccolta dei loro dati personali, puntando ad evitare possibili discriminazioni nell’accesso al mercato del lavoro. Le previsioni non aggiungono nulla rispetto alla normativa già applicabile, ma contribuiscono a chiarirla sul piano operativo.

Categorie di dati

Si osserva che la definizione di dati comuni ex art. 1, n. 13 CDC, corrisponde alla definizione di dato personale di cui all’art. 4.1) GDPR, dunque non appare appropriata. Manca cioè proprio il quid distintivo, ossia che si intendono comuni solo i dati personali diversi da quelli particolari (art. 9 GDPR) e giudiziari (art. 10 GDPR).

Il codice identifica i principali dati comuni trattati dalle APL, ad es.: identificativi, di contatto, esperienze professionali, titoli di studio, certificazioni, patenti, idoneità a svolgere determinate mansione. Questa individuazione è certamente utile perché facilita l’esegesi di DPO e consulenti.

Le agenzie trattano inoltre categorie particolari di dati, ad es.: idonei a rivelare lo stato di salute quali l’appartenenza a categorie protette o limitazioni allo svolgimento di determinate mansioni per disabilità e dati idonei a rivelare l’origine razziale ed etnica. Occasionalmente, può venire in considerazione anche il trattamento di dati giudiziari.

Quanto ai dati particolari, è specificato, ad esempio, che nella fase di ricerca e selezione del personale tali dati possono essere trattati dalle APL solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare il rapporto di lavoro/collaborazione. Nulla di nuovo rispetto all’art. 5 GDPR, ma costituisce precisazione opportuna. Il codice ricorda altresì che nel rispetto dell’art. 113 d.lgs. 196/2003 e delle norme ivi richiamate, non possono essere effettuate indagini su opinioni politiche o sindacali etc. e su fatti non rilevanti ai fini dell’attività lavorativa.

Le APL devono astenersi totalmente dall’utilizzare informazioni eventualmente presenti nei CV ma non pertinenti alla finalità perseguita. Anche questa, a ben guardare, è un’applicazione del principio di minimizzazione. Inoltre, la regola era già stata specificata dal Garante nelle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, cfr. provv. n. 146 del 5 giugno 2019 [9124510].

Per riportare un altro esempio tratto dal codice, nella fase di instaurazione e gestione del rapporto di somministrazione di lavoro, i dati giudiziari possono essere trattati solo in presenza di una norma di legge, o nei casi previsti dalla legge, di regolamento, che autorizzi il trattamento (cfr. art. 2-octies d.lgs. 196/2003). Può ad esempio essere il caso dell’obbligo, ex art. 2, d.lgs. 39/2014, di raccolta del certificato penale del casellario giudiziale nel caso di assunzione di lavoratori per lo svolgimento di attività che comportino contatti diretti e regolari con i minori.

Referenze professionali e illeciti disciplinari

Ai sensi dell’art. 8.2 CDC, le APL possono raccogliere e comunicare ai propri clienti referenze professionali ottenute presso i precedenti datori di lavoro solo previa autorizzazione esplicita dell’interessato. Il punto appare come una deroga volontaria degli aderenti rispetto all’art. 6.1.f) GDPR non potendo astrattamente escludersi che costituisca interesse legittimo di un datore di lavoro conoscere le referenze del candidato, fermo restando l’obbligo di informativa. È disposto inoltre il divieto di trattare precedenti disciplinari o illeciti giudiziari, con la sola eccezione in cui siffatto trattamento sia imposto da una disposizione di legge.

Diffusione di dati

Il codice precisa che la diffusione dei dati è sempre vietata salvo che non sia stato fornito dall’interessato un consenso “esplicito”, requisito questo rafforzato che non può quindi essere dedotto da comportamenti impliciti e che nel GDPR ritroviamo solo agli artt. 9.2.a), 22.2.c) e 491.a). Si osserva, che nel GDPR non sono rinvenibili generali divieti alla diffusione dei dati personali, pur essendo gli stessi deducibili da una combinazione di norme, il codice invece sul punto opera una scelta chiara.

Basi giuridiche

L’utilità applicativa del codice riguarda anche la corretta individuazione della base giuridica del trattamento, ravvisata nell’art. 6.1.b) GDPR, necessità di eseguire un contratto o misure precontrattuali di cui sia parte l’interessato. Colpisce tuttavia l’assenza di riferimento anche alla lett. c) dell’art. 6.1 GDPR, vale a dire l’obbligo legale, che di regola in ambito giuslavoristico si collega per molteplici vie alla base contrattuale. È una mancanza che desta perplessità, perché può avere ricadute concrete non banali.

Per il trattamento delle categorie particolari di dati, in aggiunta all’art. 6.1.b) GDPR e ferma l’applicazione delle misure di garanzia di cui all’art. 2septies, d.lgs. 196/2003 (nei casi in cui verranno in considerazione), le APL possono fare affidamento sulle condizioni di liceità previste all’art. 9.2.b) GDPR, assolvimento di obblighi ed esercizio di diritti specifici di titolare e/o interessato in materia di diritto del lavoro e agli artt. 9.4 e 88 GDPR, adempimento di specifici obblighi o esecuzione di specifici compiti previsti dalla normativa unionale o da leggi, regolamenti o contratti collettivi anche aziendali ai sensi del diritto interno connessi al rapporto di lavoro.

Anche in questo caso il codice non aggiunge nulla di nuovo a quanto già previsto dal Regolamento, ma aiuta i pratici a un’applicazione corretta e alla comprensione dei principali estremi normativi di cui tenere conto.

Va notato, peraltro, che non è chiara la ragione del richiamo all’art. 88 GDPR solo per il trattamento di dati particolari e non anche in senso più generale, ossia rispetto ai dati comuni, permettendo la disposizione unionale citata agli Stati membri di prevedere norme più specifiche per la protezione di diritti e delle libertà in relazione al trattamento dei dati personali, complessivamente intesi, nei rapporti di lavoro.

Al contrario, l’art. 9.4 GDPR riguarda certamente i soli dati particolari, ma si applica solo a tre sottocategorie specifiche: dati genetici, biometrici e relativi alla salute. La disposizione permette al legislatore nazionale di introdurre non solo normativa più specifica, ma anche limitazioni (ossia deroghe) al Regolamento.

Informativa sul trattamento dei dati

Il codice chiarisce quali informazioni devono essere fornite agli interessati e il momento in cui fornirle, precisando che tutte le informazioni devono essere reperibili in un unico luogo o in un documento completo, e non quindi in maniera sparsa e frammentata, e si premura di allegare un modello di informativa, non vincolante, ma di sicuro supporto per l’espletamento dell’obbligo informativo del titolare.

Raccolta dati presso l’interessato (informativa ex art. 13 GDPR)

In occasione dell’iscrizione sul portale web di una APL e al momento della raccolta dei dati (più precisamente prima della stessa) l’agenzia mette a disposizione dell’interessato un link all’informativa sul trattamento. Il codice precisa che l’invio di CV da parte del candidato mediante sezione dedicata presente sul sito web di una APL non costituisce candidatura spontanea e la raccolta dei dati dovrà quindi essere preceduta dalla messa a disposizione dell’informativa.

Raccolta dati a seguito di candidatura spontanea

Nei CV spontaneamente trasmessi dagli interessati non è dovuto il consenso al trattamento dei dati e le informazioni di cui all’art. 13 GDPR devono essere fornite al momento del primo contatto utile. La previsione, anche in questo caso, non si discosta da quanto previsto dalla normativa generale, tuttavia la precisazione operata dal codice appare estremamente opportuna considerando gli equivoci ancora oggi diffusi tra i pratici in merito al consenso al trattamento dei dati contenuti nei curricula.

Raccolta dati presso terzi (informativa ex art. 14 GDPR)

Le APL possono avvalersi di informazioni pubbliche inerenti al profilo on line degli interessati solo se disponibili su social network di natura professionale, deve quindi ritenersi, per deduzione, esclusa ogni altra informazione pubblica eventualmente reperibile su social o siti generalisti. Non è invece precisato se possano essere cercate informazioni tramite motori di ricerca oppure avvalendosi di servizi informativi di terzi. Il trattamento, inoltre, deve essere limitato alle sole informazioni connesse alle attitudini professionali. Qualora l’agenzia intenda contattare l’interessato a seguito di consultazione di un profilo social dovrà fornirgli l’informativa ex art. 14 GDPR e il trattamento dovrà essere portato all’attenzione del candidato prima dell’avvio della selezione. Il riferimento all’art. 14, tuttavia, potrebbe apparire improprio, almeno rispetto alle informazioni pubblicate dallo stesso candidato sul proprio profilo.

Termini di conservazione

Da sempre il tempo di conservazione dei dati costituisce uno degli aspetti più critici da determinare ed è spesso stato fonte di contezioso presso il Garante che più volte ha irrogato sanzioni sul punto. In questo caso, la conservazione è definita, all’art. 9, in termini molto generosi (ma altresì certamente ragionevoli), vale a dire in 48 mesi dall’ultima attività svolta di ricerca e selezione dei candidati e addirittura in 11 anni nei rapporti di somministrazione. Quest’ultimotermine è stato individuato, tenendo conto della prescrizione ordinaria di legge con l’aggiunta di un anno ritenuto necessario per la cancellazione completa dei dati. La previsione, pur opportuna e condivisibile, sorprende se si tiene conto della posizione più volte assunta dal Garante sul rapporto tra termini di prescrizione e conservazione, secondo il quale una conservazione parametrata al termine ordinario di prescrizione non sarebbe congrua, ove non vi sia evidenza ragionevole di contenzioso. Sul punto si rimanda, tra i molti, ai provv. n. 255 del 21 luglio 2022 [9809466] e n. 353 del 29 settembre 2021 [9719914], da leggere mutatis mutandis.

Decisioni basate unicamente sul trattamento automatizzato

Preme innanzitutto osservare che mentre l’art. 10.1 del codice dispone che le APL possano effettuare trattamenti automatizzati ai sensi dell’art. 22.2 lett. a) e c) del GDPR, quest’ultima disposizione pone l’accento non sui trattamenti unicamente automatizzati ma piuttosto sulle decisioni che ne derivano, purché producano effetti giuridici significativi sull’interessato o “incidano sulla sua persona”, aspetto questo poi precisato al comma 2 dell’art. 10 CDC.

Il GDPR non definisce la nozione di “decisione”, tuttavia va ricordata l’interpretazione ampia di recente fornita dalla CGUE con la nota sentenza del 7 dicembre 2023, Schufa, C-634/21, cfr. punto 43.

L’art. 10.1 CDC, nel prevedere la possibilità per le APL di effettuare i trattamenti in argomento ove ciò sia necessario per lo svolgimento delle proprie attività ovvero previo consenso dell’interessato e valutazione d’impatto, appare ripetitiva delle corrispondenti previsioni del GDPR. Quanto alla DPIA, quella in esame appare un’ipotesi comunque obbligatoria, almeno ad attenersi alle Linee guida WP29/EDPB del 4 aprile 2017, cfr. sezione III.B.7. Viene in considerazione infatti la combinazione di più indici rilevanti: un processo decisionale automatizzato, una valutazione o assegnazione di un punteggio (se questo è il caso), un trattamento di dati particolari, la natura di soggetti vulnerabili degli interessati, quali sono appunto i dipendenti. Tuttavia, l’espressa previsione del codice costituisce di certo una valida guida pratica per le APL e le vincola esplicitamente – il che è opportuno – a procedere con la DPIA, così evitando al DPO di formulare espresso parere sulla necessità o no di procedervi.

Va precisato che la previsione della misura di garanzia dell’intervento umano ex art. 10.3 CDC si applica solo se siano già stati soddisfatti i presupposti di cui alle lett. a) o c) dell’art. 22.2 GDPR. In mancanza, la decisione in parola è assunta in violazione di legge.

Limitazione ai diritti dell’interessato

Ex art. 2-undecies d.lgs. 196/2003 e nei casi ivi espressamente indicati, può essere limitato l’esercizio dei diritti di cui agli artt. 15-22 GDPR e non come diversamente indicato dal codice all’art. 10.8 degli artt. “12-22” (sic). Si tratta, con ogni probabilità, di un mero refuso non potendo il codice, evidentemente, limitare i diritti di un terzo, derogando a quanto previsto dalla normativa primaria. Sul punto si auspica un intervento correttivo dell’errore materiale.

Organismo di monitoraggio

L’OdM, accreditato dal Garante, è esterno all’organizzazione di Assolavoro ed è composto da tre membri che devono avere riconosciuta esperienza giuridica e informatica in materia di tutela dei dati personali e approfondita conoscenza nello svolgimento di compiti di vigilanza. Le attività dell’organismo saranno finanziate dalle aderenti al codice secondo quote stabilite dal regolamento interno dello stesso. L’OdM è dotato delle caratteristiche di onorabilità, indipendenza e imparzialità, come previsto dall’art. 41 GDPR e dall’All. 1 al provv. n. 98 del 10 giugno 2020 [9432569] del Garante, resta in carica per un periodo massimo di 5 anni, non rinnovabile. L’organismo verifica la sussistenza dei requisiti necessari per l’adesione al codice e dell’assenza di circostanze ostative. Tra i compiti vi è quello di farlo rispettare, promuovere l’applicazione dello stesso e della normativa sulla protezione dei dati personali, sensibilizzare le aderenti alle tematiche del GDPR e trasmettere al Garante una relazione annuale circa l’andamento del codice, i controlli effettuati e le azioni intraprese in caso di violazione.

È altresì preposto alla ricezione, gestione e decisione dei reclami e tiene aggiornato il relativo registro. La procedura per la gestione dei reclami avrebbe dovuto essere pubblicata dall’organismo entro 10 giorni dalla pubblicazione del codice, ma al momento in cui si scrive non è ancora disponibile. Il codice precisa che il procedimento di reclamo deve concludersi entro un massimo di 90 giorni lavorativi dalla presentazione dello stesso e che la presentazione di un reclamo al Garante determina l’improcedibilità del reclamo davanti all’organismo.

Nei confronti delle APL inadempienti ed esito del procedimento di reclamo, l’organismo, in base alla gravità della violazione riscontrata, potrà adottare un invito a modificare la condotta, un richiamo formale, la sospensione temporanea o l’esclusione dal codice.

Conclusioni

Un codice di condotta, come specificato dalla Linee guida 1/2019 dell’EDPB, non dovrebbe semplicemente parafrasare il regolamento e dovrebbe rappresentare un modo pratico per ottenere maggiori livelli di coerenza nella tutela dei diritti dell’interessato, seguendo un approccio concreto. Nel caso di specie, pur non mancando parti ampiamente ripetitive del GDPR, si apprezza lo sforzo di precisare maggiormente e, in alcuni casi, dettare prescrizioni più garantiste per l’interessato, ribadendo e rimarcando previsioni vigenti a prescindere, ma, forse, non necessariamente ovvie e conosciute nella prassi.

Il codice ha l’indiscutibile vantaggio e la grande utilità di delineare un quadro omogeneo per le APL. Fornisce dettami e indicazioni su comportamenti da adottare per una più stretta aderenza al GDPR permettendo agli operatori del settore di disporre di orientamenti già vagliati dal Garante su specifiche attività di trattamento.

Sono rinvenibili tuttavia margini di miglioramento di alcune disposizioni che potranno certamente essere oggetto di futuro intervento di revisione, in particolare quella relativa all’ampiezza delle limitazioni ex art. 2-undecies d.lgs. 196/2003.