Il Garante Privacy Approva il Codice di Condotta per il settore delle Agenzie per il Lavoro

Con provvedimento dell’11 gennaio scorso, il Garante privacy ha approvato il Codice di Condotta per il settore delle Agenzie per il Lavoro (c.d. “APL”) promosso dall’Associazione Nazionale delle Agenzie per il Lavoro, Assolavoro.

Le Agenzie per il Lavoro svolgono un ruolo fondamentale nel mercato del lavoro, collegando domanda e offerta di lavoro e contribuendo alla flessibilità delle imprese e alla stabilità dei lavoratori. Infatti, le Agenzie per il Lavoro operano in un mercato complesso, caratterizzato da disoccupazione, richiesta di nuove competenze e necessità di conciliare diverse forme di rapporti lavorativi. Il loro ruolo è, quindi, cruciale per migliorare l’efficienza del mercato del lavoro e garantire condizioni eque e dignitose per tutti i lavoratori.

In questo contesto, il Codice di Condotta elaborato da Assolavoro assume grande importanza in quanto mira a stabilire gli standard etici e comportamentali che le Agenzie per il Lavoro devono rispettare nel trattamento dei dati dei candidati e dipendenti effettuato nelle loro attività di intermediazione, ricerca e selezione del personale, somministrazione di lavoro e supporto alla ricollocazione professionale, con l’obiettivo di garantire l’integrità e la professionalità nel settore in linea con la normativa in materia di protezione dei dati applicabile.

Infatti, con l’occasione, Assolavoro e il Garante per la protezione dei dati personali hanno inteso rimarcare alcuni principi fondamentali del Regolamento UE 679/2016 (“GDPR”), del D. Lgs. 196/2003, come da ultimo modificato dal D. Lgs. 101/2018 (meglio conosciuto, come “Codice Privacy”), nonché dei provvedimenti di indirizzo che, negli anni, sia il Garante per la protezione dei dati personali sia l’European Data Protection Board hanno adottato rispetto al trattamento dei dati dei candidati e dipendenti effettuato nel contesto lavorativo (ad esempio, riguardo al trattamento delle categorie particolari di dati, dei dati giudiziari, delle basi giuridiche applicabili, o ancora relativamente al periodo di conservazione dei dati ritenuto adeguato). Non solo; con il Codice di Condotta si è voluto adeguare tali principi generali all’evoluzione del settore e alle nuove prassi adottate dalle Agenzie per il Lavoro per il reclutamento dei candidati, ad esempio tramite l’utilizzo dei social network professionali come LinkedIn.

Ma quali sono i punti chiave del Codice di Condotta?

1. Ambito di applicazione: il Codice di Condotta si applica a tutte le Agenzie per il Lavoro che vi abbiano aderito. Le Agenzie per il Lavoro che vi possono aderire devono necessariamente avere sede in Italia ed essere regolarmente iscritte, previa autorizzazione delle autorità competenti, all’Albo Informatico Nazionale delle Agenzie per il Lavoro.
2. Obblighi: l’adesione al Codice di Condotta determina, per le Agenzie per il Lavoro aderenti, l’impegno e il vincolo di (i) rispettare i principi e applicare le indicazioni in esso contenuti, (ii) essere soggette alle attività di sorveglianza e controllo in esso previste, e (iii) collaborare all’attuazione del Codice di Condotta e al suo rispetto.
3. Ruolo privacy delle Agenzie per il Lavoro: rispetto al rapporto tra le Agenzie per il Lavoro e gli altri operatori del settore (in particolare, le imprese che si affidano alle Agenzie per il Lavoro per i loro servizi), il Codice di Condotta sancisce che le Agenzie per il Lavoro agiscono come titolari del trattamento dei dati dei candidati e/o dipendenti per le attività di (i) somministrazione di lavoro, (ii) ricerca e selezione del personale, (iii) intermediazione, e (iv) supporto alla ricollocazione professionale. A tal proposito, il Codice di Condotta chiarisce che per suddette attività sia le Agenzie per il Lavoro sia le società che fruiscono dei loro servizi “determinano autonomamente le finalità e le modalità dei trattamenti”, agendo pertanto come autonomi titolari. Diversamente, qualora alle Agenzie per il Lavoro vengano affidati servizi c.d. in outsourcing, allora queste agiscono come responsabili del trattamento delle società clienti ex art. 28 del GDPR, trattando i dati personali per conto di quest’ultime.
4. Base giuridica per il trattamento dei dati da parte delle Agenzie per il Lavoro: reiterando – ancora una volta – che “il consenso al trattamento dei dati presenti nei curricula non è dovuto”, il Codice di Condotta prevede, quale principale base giuridica del trattamento dei dati comuni dei candidati e/o dipendenti, “la necessità di dare esecuzione ad un contratto di cui l’interessato è parte o a misure precontrattuali adottate su richiesta dello stesso” a norma dell’articolo 6, paragrafo 1, lett. b) del GDPR. Come vedremo tra poco, tuttavia, tale principio generale deve, comunque, essere valutato caso per caso, specialmente in riferimento al trattamento di eventuali categorie particolari di dati personali o informazioni relative a condanne penali e reati di cui, rispettivamente, agli articoli 9 e 10 del GDPR. Inoltre, l’eventuale comunicazione o diffusione dei dati (ad esempio, la pubblicazione del profilo professionale del dipendenti su sul sito internet del datore, oppure la pubblicazione dell’immagine del dipendente sui profili social della società) può avvenire, previa informativa, esclusivamente sulla base del consenso esplicito del dipendente o laddove sia strettamente necessario all’esecuzione della prestazione lavorativa (ad esempio, in caso di affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, o di informazioni in relazione all’organizzazione del lavoro e all’individuazione delle mansioni dei dipendenti).
5. Trattamento di categorie particolari di dati personali ex articolo 9 del GDPR: a tal proposito, il Codice di Condotta reitera il principio generale secondo cui le Agenzie per il Lavoro possono trattare i soli dati particolari che sono strettamente necessari alla selezione, collocamento e somministrazione del personale, nonché alla gestione del rapporto di lavoro con loro (ad esempio, i dati relativi allo stato di salute quale l’appartenenza a categorie protette o relativi all’idoneità a svolgere determinate mansioni). Per il loro trattamento, infatti, il Codice di Condotta precisa che le Agenzie per il Lavoro possono fare affidamento (i) sull’assolvimento degli obblighi in materia di diritto del lavoro e della sicurezza e protezione sociale ai sensi dell’articolo 9, paragrafo 2, lett. b) del GDPR; (ii) sull’adempimento di specifici obblighi o l’esecuzione di specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro ai sensi ai sensi dell’articolo 9, paragrafo 4 e dell’articolo 88 del GDPR, inclusa la fornitura di “specifici servizi o azioni mirate per assistere le categorie di lavoratori svantaggiati nella ricerca di una occupazione”; e (iii) sull’osservanza delle Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro di cui al Provvedimento n. 146 del 5 giugno 2019 ovvero delle regole deontologiche di cui all’articolo 2 quater del Codice privacy, ai sensi dell’articolo 9, paragrafo 4 del GDPR.
6. Trattamento di dati relativi a condanne penali e reati ex articolo 10 del GDPR: Secondo quanto previsto dal Codice di Condotta, le Agenzie per il Lavoro possono trattare i cd. dati giudiziari (casellario penale e certificato dei carichi pendenti, in primis) esclusivamente “in presenza dei presupposti di cui all’art. 2-octies del Codice Privacy […] come per esempio nel caso di adempimento dell’obbligo di cui all’art. 2 del d. lgs. 4 marzo 2014, n. 39 di raccolta del certificato penale del casellario giudiziale nel caso di assunzione di lavoratori per lo svolgimento di attività professionali o attività volontarie organizzate che comportino contatti diretti e regolari con minori”. Ciò vale anche per le informazioni inerenti eventuali precedenti di illeciti disciplinari o procedimenti giudiziari che abbiano coinvolto i candidati, che possono essere richieste al precedente datore di lavoro previo consenso del candidato e fermo restando che siano autorizzate da disposizione di legge.
7. Raccolta dei dati dei candidati tramite curricula o questionari: in ossequio al principio di minimizzazione dei dati, il Codice di Condotta precisa che le Agenzie per il Lavoro possono trattare “le sole informazioni strettamente pertinenti e limitate a quanto necessario” ai fini dell’instaurazione del rapporto di lavoro, “anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti”, ovvero nei limiti di quanto consentito dall’articolo 113 del Codice Privacy. Secondo il Codice di Condotta, infatti, eventuali dati non pertinenti, seppur trasmessi volontariamente dai candidati insieme ai propri curricula, non dovranno essere considerati dalle Agenzie per il Lavoro (quindi registrati, trattati ed utilizzati per la selezione).
8. Raccolta di informazioni pubbliche tramite social network: il Codice di Condotta regolarizza la possibilità di utilizzare, “al solo fine di valutare gli specifici rischi legati al tipo di attività che dovrà essere svolta”, le informazioni connesse all’attitudine professionale al lavoro pubblicate sui profili social dei candidati, sul presupposto che “il social network abbia natura professionale”. In caso contrario, infatti, l’utilizzo di informazioni pubbliche non è consentito. Questo anche alla luce del divieto di discriminazione e dell’obbligo di utilizzare informazioni inerenti esclusivamente le attitudini professionali nella valutazione dei candidati, già previsto dalla normativa giuslavoristica.
9. Richiesta di referenze ai precedenti datori di lavoro: il Codice di Condotta ammette espressamente anche la prassi, ormai consolidata, delle Agenzie per il Lavoro di richiedere referenze rispetto agli impieghi precedenti del candidato per comunicarle alla società per conto della quale l’Agenzia per il lavoro sta effettuando la selezione, sul presupposto che ciò avvenga “previa autorizzazione esplicita del candidato”.
10. Informativa sul trattamento dei dati dei candidati: richiamando l’articolo 111-bis del Codice Privacy, il Codice di Condotta obbliga le Agenzie per il Lavoro a fornire l’informativa sul trattamento dei dati ex articolo 13 del GDPR al primo contatto utile con il candidato, per tale intendendosi il primo contatto che avvenga via e-mail o telefono successivamente alla ricezione del curriculum (ad esempio, per fissare un primo colloquio conoscitivo), oppure – laddove il curriculum possa essere inoltrato dal candidato all’Agenzia per il Lavoro direttamente da una sezione del sito della stessa – tramite link alla sezione del sito dove l’informativa è pubblicata. In ogni caso, l’informativa deve essere facilmente reperibile e consultabile dal candidato, nonché di chiara e semplice comprensione per lo stesso. A tal fine, potrebbe quindi essere utile utilizzare tecniche di legal design al fine di meglio veicolarne i contenuti ai candidati. Gli stessi principi valgono qualora i dati vengano raccolti dalle Agenzie per il Lavoro online, ossa da social network di natura professionale; in questi casi, infatti, il Codice di Condotta prevede espressamente l’obbligo, per le Agenzie per il Lavoro, di fornire l’informativa appena i candidati vengono contattati, anche per il tramite del social network stesso, ai sensi dell’articolo 14 del GDPR.
11. Conservazione dei dati: in linea con il principio di limitazione della conservazione previsto dal GDPR, secondo il Codice di Condotta “i dati raccolti durante il processo di selezione dovrebbero essere cancellati non appena sia evidente che non verrà fatta alcuna offerta di impiego o nel caso in cui l’offerta non venga accettata dal candidato”. Tuttavia, Assolavoro e il Garante per la protezione dei dati personali fanno salva la possibilità per le Agenzie per il Lavoro di “conservare tali dati in previsione di ulteriori opportunità lavorative, laddove abbia[no] già provveduto ad informare opportunamente l’interessato e lo stesso non si sia opposto”. Non solo; il Codice di Condotta prevede infatti termini di conservazione specifici per i dati relativi ai candidati e ai lavoratori somministrati. Rispetto ai primi, il Codice di Condotta prevede un periodo di conservazione massimo di 48 mesi dall’ultima attività svolta “per finalità connesse o strumentali allo svolgimento dell’attività di ricerca e selezione dei candidati nonché per usufruire dei servizi gratuiti offerti dalle Agenzie per il Lavoro […], fatta salva la possibilità dell’interessato di poter chiedere in ogni momento la cancellazione”, mentre con riferimento ai dati trattati nell’ambito dei rapporti di somministrazione di lavoro, le Agenzie per il Lavoro possono conservare i dati per un periodo di 11 anni dalla cessazione del rapporto stesso. A tal proposito, il Codice di Condotta precisa che “tale termine è stato definito tenendo conto del termine di prescrizione ordinario previsto dalle disposizioni di legge (a titolo esemplificativo art. 2946 codice covile) con l’aggiunta di un anno, termine tecnico necessario affinché la cancellazione venga completata”. In ogni caso, le Agenzie per il Lavoro hanno la facoltà di adottare tempi di conservazione diversi tenuto conto di specifici obblighi normativi o particolari esigenze organizzative che le stesse devono essere in grado di comprovare adeguatamente alla luce del principio di accountability.
12. Decisioni automatizzate nel processo di selezione dei candidati: il Codice di Condotta ammette l’utilizzo dei c.d. processi decisionali automatizzati di cui all’articolo 22 del GDPR nella misura in cui ciò sia necessario per lo svolgimento delle attività di intermediazione, ricerca e selezione del personale, ricollocazione professionale, somministrazione di lavoro e gestione delle politiche attive del lavoro e della formazione, previo consenso dell’interessato e svolgimento di una Valutazione di Impatto (c.d. DPIA) ai sensi dell’articolo 35 del GDPR e ferma restando la facoltà per l’interessato di opporsi alla decisione e richiedere l’intervento umano.
13. Sicurezza del trattamento: anche per quest’ambito, il Codice di Condotta richiama “le buone pratiche e gli standard di settore” che le Agenzie per il Lavoro devono tenere in conto nella valutazione delle misure tecniche da adottare per la sicurezza dei sistemi, delle informazioni e dei dati personali trattati. A tal proposito, il Codice di Condotta cita espressamente le norme ISO e la disciplina in materia di cybersecurity, come il NIST Cybersecurity Framework.

In sintesi, il Codice di Condotta rappresenta un impegno collettivo per elevare gli standard nel settore delle Agenzie per il Lavoro, contribuendo a un mercato del lavoro più efficiente e inclusivo.

Con lo stesso provvedimento con cui ha approvato il Codice di Condotta, il Garante per la protezione dei dati personali ha infine accreditato l’Organismo di Monitoraggio (OdM), un ente indipendente formato da tre componenti, chiamato a promuove la corretta applicazione del Codice di Condotta, anche verificandone l’osservanza da parte delle Agenzie per il Lavoro aderenti, e a gestire la risoluzione di eventuali reclami.

Cosa fare, quindi, ora?

Sicuramente le Agenzie per il Lavoro – che aderiscano o meno al Codice di Condotta – devono rivedere le proprie policy e procedure interne in materia di trattamento dei dati personali, nonché il registro dei trattamenti, le informative sul trattamento dei dati e le misure di sicurezza adottate, al fine di allinearle alle buone prassi indicate nel Codice di Condotta.

Infatti, sebbene l’adesione al Codice di Condotta sia volontaria, questo documento di indirizzo stabilisce standard qualitativi per le Agenzie per il Lavoro che sono in grado di fargli guadagnare un vantaggio competitivo rilevante in termini di affidabilità e competenze.

DLA Piper ha altresì schematizzato i punti principali del Codice di Condotta in una apposita infografica che è possibile consultare qui:

Su un simile argomento, si può leggere l’articolo “Il Garante privacy sanziona per impianti di videosorveglianza sul luogo di lavoro“.