.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

27 settembre 2024

"Esiste, dunque, un giudice a Berlino"... ed un Garante a Roma.



"Esiste, dunque, un giudice a Berlino"...

ed un Garante a Roma.




Ancora non ho capito perché mi abbiano chiamato “No-FSE” ma, alla luce dei recenti accadimenti, non è stata una buona idea.



Qualche mese fa, si è creata registrata una certa agitazione, generale e mediatica, riferita al “termine di opposizione al pregresso”, prevista dalla normativa di riforma del Fascicolo Sanitario Elettronico. La scadenza del termine per l’esercizio del diritto di opposizione, fissata per il 30 giugno 2024, era rimasta in sordina per molti mesi, anche perché la campagna informativa che il governo avrebbe dovuto realizzare ha avuto la stessa risonanza di un petardo bagnato.


All’epoca scrissi un articolo abbastanza ruvido (https://bernieri.blogspot.com/2024/06/dark-pattern-di-stato.html) per evidenziare una serie di problemi legati all rispetto della normativa in materia di protezione dei dati personali: dark pattern, esclusione di determinate categorie dal diritto di accesso, mancanza di informazione relativa ai trattamenti, ecc. Fui intervistato dal Corriere della sera, da Radio 24 ed ebbi occasione di spiegare i termini della questione in varie sedi. Solo negli ultimi giorni, molte persone hanno preso coscienza della situazione.

Negli stessi giorni, come spesso accade, il dibattito si polarizzò su schieramenti opposti, mortificando il concetto stesso di esercizio di un diritto ed il valore della libertà di scelta.

In quegli stessi giorni, inoltre, ho avuto modo di dialogare con professionisti della sanità, convinti che si possa fare ricerca con i dati, approssimativi, parziali e non significativi, contenuti nel Fascicolo Sanitario Elettronico. Altri professionisti erano convinti che, senza accesso alle analisi del sangue risalenti al decennio precedente, non sarebbero stati in grado di curare una distorsione alla caviglia di un loro paziente in pronto soccorso. Che dire, non tutti possono essere aiutati.



Il 30 giugno arrivò, la possibilità di opporsi al trattamento del pregresso cessò, la pagina del portale venne chiusa e tutto fu dimenticato sia dalla cronaca che dalla gente.


Fortunatamente non da tutti.

Alcune persone mi hanno chiesto aiuto e, con loro, ho preparato e presentato alcuni reclami al Garante Privacy.


Dopo complessi passaggi tecnici e molto lavoro nei palazzi del potere, oggi è arrivata la pec che annuncia l’esito dell’istruttoria.


Forse le mie osservazioni non erano del tutto peregrine dal momento che il Garante ha accolto le richieste presentate recependo le osservazioni nel provvedimento del 12 settembre 2024, di imminente pubblicazione sul sito https://www.garanteprivacy.it/.


Dietro le quinte, sono state organizzate specifiche interlocuzioni con il Ministero dell’economia e delle finanze e con il Ministero della salute per superare le difficoltà segnalate e valutare la possibilità di una riapertura dei termini per l’esercizio della facoltà di opposizione nei confronti di determinate categorie di interessati.

A conclusione di questo lavoro di indirizzo, il Governo ha presentato all’autorità lo schema del decreto di riapertura dei termini per l’esercizio della facoltà di opposizione. Il Garante ha esaminato il testo e ha dato parere favorevole. Oltre alla riapertura dei termini, il decreto introduce le modifiche necessarie per garantire l’esercizio dei diritti a chi non era nemmeno stato preso in considerazione dalla versione originaria della norma.


Parallelamente, il Garante ha analizzato le informative dedicate al FSE predisposte dalle Regioni, riscontrando gravi violazioni e aprendo specifici procedimenti correttivi e sanzionatori  nei confronti di 18 Regioni e 2 Province autonome. Anche questo punto è stato oggetto di segnalazione da parte di molti cittadini ed esperti della materia.


Sono state riscontrate, dunque, intere categorie di interessati alle quali il diritto di opposizione, previsto dalla legge, è stato negato. Una “piccola” dimenticanza che, tuttavia, non può essere ignorata. In effetti, come evidenziato nell’articolo sui Dark Pattern di stato, alcuni elementi farebbero pensare più ad una azione intenzionale che ad un mero errore. Le categorie di interessati escluse, o meglio, le persone escluse devono poter esercitare il loro diritto di opposizione e lo stato deve garantire loro la possibilità di farlo.


Basta questo per ridimensionare le accuse di luddismo e cancellare la suggestiva ma inconsistente l’etichetta “NoFSE” subito attribuita a chi ha osato farsi una domanda e mettere in discussione la faciloneria con la quale il Governo ha gestito il passaggio da FSE ad FSE2.0  (Si veda l’articolo citato per ogni dettaglio in merito).



Il Garante ha supportato le correzioni della norma in modo eccellente, ampliandone la portata originaria in modo da includere una platea decisamente più ampia e abbracciando, finalmente, anche i più deboli ed invisibili.


Ecco in sintesi i principali contenuti del decreto di imminente pubblicazione:


  1. Riapertura dei termini di opposizione per tutti gli assistiti, al fine di consentire a coloro che non abbiano potuto esercitare la predetta facoltà, anche per impedimenti di natura tecnica dipesi dai sistemi regionali e da quello centrale, di esercitare tale facoltà per un ulteriore periodo di trenta giorni dalla pubblicazione in Gazzetta Ufficiale del predetto decreto;


  1. L’estensione del diritto di opposizione anche alle persone con codice fiscale o con codice STP (straniero temporaneamente presente in Italia) che non siano più assistiti dal servizio sanitario nazionale;


  1. L’estensione del diritto di opposizione sine die per i soggetti non più assistiti dal SSN, ma che lo siano stati in passato, entro 30 giorni dalla riattivazione dell’assistenza al SSN;


  1. L’estensione del diritto di opposizione per tutti gli assistiti che nel tempo diventeranno maggiorenni, entro 30 giorni dal compimento della maggiore età;


  1. Uno specifico onere alle Asl di dare informazione circa tale facoltà di opposizione al soggetto che riattiva l’assistenza sanitaria specificando i termini e le modalità per l’esercizio di tale diritto.




In conclusione, a brevissimo verrà pubblicato il provvedimento del Garante con il parere favorevole sul decreto ministeriale; successivamente, il decreto completerà il suo iter e verrà pubblicato in gazzetta ufficiale.

Da allora, tutti avranno nuovamente 30 giorni per esercitare il diritto di opposizione, per non far confluire i dati pregressi (ante maggio 2020) dal fascicolo sanitario elettronico vecchia maniera al nuovo FSE2.0.


Ricordo che il FSE vecchia maniera aveva finalità di trattamento dei dati imitate unicamente alla gestione sanitaria e l’accesso era possibile solo nell’ambito della sanità. Il FSE2.0 ha molte finalità aggiuntive (descritte QUI) che nulla hanno a che vedere con la sanità e, inoltre, l’ambito di condivisione dei dati è enormemente amplificato.


A breve, chi non si è accorto di nulla e chi si è sentito escluso potrà beneficiare nuovamente della facoltà di scelta che non ha esercitato. Chi ha già scelto, potrà riconsiderare la propria posizione e cambiare idea.


Ringrazio personalmente la tenacia di chi ha creduto di poter cambiare le cose, di chi non si è limitato a protestare dal divano e si è speso per il bene di tutti. Queste persone avranno sempre la mia stima e, entro le mie competenze, potranno contare sul mio supporto.



Prosit.









SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


25 settembre 2024

APP e privacy... ora si fa sul serio

L'immagine a corredo di questo articolo ha il solo scopo di attirare l'attenzione degli sviluppatori di APP!



 APP e privacy... ora si fa sul serio

Da oggi cambia tutto.

Il Garante francese (CNIL) ha pubblicato un documento di raccomandazioni dedicato alla compliance delle APP. Una bomba, un fulmine a ciel sereno.

Sino ad oggi, ogni sviluppatore ha potuto fare spallucce e lasciare decidere all'azienda i requisiti tecnici relativi in conformità alle norme in materia di privacy. Comodissimo, anche perchè l'azienda è fatta di gente del marketing, gente dell'amministrazione, gente delle risorse umane, gente dell'IT, gente dell'ufficio legale, gente dell'amministrazione, gente come il DPO... tutta gente che non riesce a mettersi d'accordo e che, alla fine, decide sulla base di criteri arbitrari. Chi urla di più, ha ragione, e alla fine decide chi ci mette la faccia (o altre parti anatomiche).

Da oggi, con la guida del CNIL, diventa molto più difficile sentirsi liberi di inventare e, di fatto, perpetrare ogni nefandezza protetti dai soliti vecchi alibi: "lo fanno tutti", "il garante non si è espresso", "stiamo sperimentando", "siamo innovativi, "è un nuovo approccio basato sull'algoritmo di AI", "sono trattamenti tecnicamente necessari", "sono partner selezionatissimi", "sono autonomi titolari, noi non centriamo niente","ci teniamo molto ai dati dell'utente"... ops, lapsus, volevo dire "ci teniamo molto alla privacy dell'utente". 

Con le sue poderose (quasi) 100 pagine, il documento del Garante francese sgombra il campo dalle incertezze e dalla malizia tipica del settore. 

NB: ogni riferimento all'ittiologia è puramente intenzionale.


Ci vorrà un po' di tempo prima che le aziende si rendano conto che la portata del documento di raccomandazioni non può essere paragonata ad un pacato consiglio, ma è quella di una linea guida, non una best practice una vera e propria guida alla conformità normativa. Fare qualcosa di diverso sarà certamente possibile, ma non vorrei trovarmi nei panni di chi dovrà sostenerne la bontà.

Anche il fatto che l'autore sia oltralpe non aiuta alla comprensione di ciò che sta accadendo: i garanti si specializzano, si suddividono il lavoro, si dedicano ciascuno ad un aspetto della materia e, soprattutto, beneficiano reciprocamente del lavoro svolto. In altre parole, il Garante italiano potrà contestare ad uno sviluppatore italiano di aver violato il GDPR, basandosi sul confronto della APP con i requisiti indicati dalle linee guida (raccomandazioni) del CNIL. 

Orrore...

ma noi siamo sovrani

come si permettono

è solo questione di interpretazione

impugneremo il provvedimento...


ok ok, caro sviluppatore, ma intanto che ti lamentavi hai realizzato una app non rispettosa del GDPR e lontana dallo stato dell'arte.

Eccolo il concetto fondamentale, ben noto a chi maneggia norme UNI ISO EN ECC... lo stato dell'arte.

Sviluppare una APP, ovunque nel mondo, se destinata a trattare i dati di persone europee, dovrà essere fatto tenendo le linee guida del CNIL sul tavolo, consultandole di continuo e, di fatto, adottandole come una nuova bibbia.


Il documento originale è disponibile a questo indirizzo: 

https://www.cnil.fr/en/mobile-applications-cnil-publishes-its-recommendations-better-privacy-protection  


Non escludo che il CNIL produca una versione del documento in inglese o in altre lingue. Per ora, il documento tradotto in italiano (in automatico - traduzione di cortesia) è qui:

https://drive.google.com/file/d/1dXbwnADtFpzl5h4rOcIYaBOhv4m3HzwD/view?usp=drive_link 



Prosit




SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 






19 settembre 2024

Informative fantastiche e dove trovarle


Informative fantastiche e dove trovarle



Non so perchè ma le leggo sempre.

Gli amici mi prendono in giro per questo ma non posso farci niente, è più forte di me: se trovo un’informativa privacy devo leggerla. Mi dicono che scuoto la testa, sbuffo, a volte picchio i pugni sul tavolo e alla fine mi arrabbio, rimanendo, poi, di malumore per un po’.


Al ristorante, quando trovo cartoline con iscrizioni a newsletter, prenotazioni online, qrcode per il menù e simili, mentre aspetto il mio piatto, mi metto a correggere i testi  delle informative e li lascio in regalo con una avvertenza: “cambiate consulente”. Stranamente nessuno pare apprezzare questo gesto perché, in cambio, non mi hanno mai offerto nemmeno un caffè.


Molto spesso trovo formulari molto standard, presi da qualche circolare delle associazioni di categoria, altre volte trovo testi spudoratamente copiati da altri siti o altre realtà produttive, assai differenti da quella che vedo attorno a me.

In alcuni casi riesco ad ampliare la mia collezione degli orrori con reperti archeologici che citano oscure norme risalenti al secolo scorso, ormai dimenticate.


Qualche volta sorrido, trovo spunti interessanti per migliorare il mio lavoro e imparo qualcosa di nuovo.

Un'informativa suscita in me la stessa trepidazione che ho visto nelle mie figlie la notte di Natale.


Le uniche informative che non leggo sono quelle di Iubenda. Evito di farlo per tre buoni motivi: 

  1. sono tutte ontologicamente sbagliate e contengono, come minimo, gli stessi errori concettuali.

  2. contengono dei tracker di profilazione del traffico e i miei sistemi di autodifesa le bloccano. Sono per me inaccessibili.

  3. sono sempre incomplete perché il titolare del trattamento non sa cosa fa realmente, e iubenda nemmeno.


Ho già avuto modo di approfondire l’argomento iubenda in un articolo che richiamo volentieri: https://bernieri.blogspot.com/2024/02/il-taccone-e-peggio-del-buco.html 



In alcuni casi trovo delle vere e proprie perle, meraviglie dell’ingegno umano e mi piacerebbe poter fare i complimenti all’autore.

Eccone una: la metropolitana di Torino.







Si, lo so, non è una informativa privacy ma è l’unico difetto che ha. Si tratta di un'informativa legata alla sicurezza e destinata ai bambini per evitare che mettano le mani vicino la bordo scorrevole delle porte automatiche.


Perfetta!


Chi l’ha scritta ha fatto esattamente ciò che dovrebbe fare un titolare del trattamento nella stesura delle sue informative privacy: mettersi nei panni di chi le leggerà.




La passione per le informative mi ha spinto a sperimentare e, una volta, ho coinvolto anche le mie figlie.

Un divertente progetto, nato in seno ai Legal Hackers Roma (https://www.legalhackersroma.it/), ha attirato la mia attenzione e ho deciso di partecipare assieme a tre Minions.

HACK THE DOC (qui spiegato bene dalla ottima Stefania Passera @StewieKee https://www.youtube.com/watch?v=qlZuzrRoA7Y  e qui descritto bene https://www.utopiathesoftware.com/blog-post/privacy-policy-leggibile-hackthedock ) ci ha permesso di reinventare un’informativa pallosissima, quella di MS TEAMS, proponendola in una veste più adatta ai reali fruitori (bambini che a scuola ne fanno largo uso) e con un tocco di maggiore trasparenza.

Erano tempi duri, tempi di scuola a distanza e pandemia… la trasparenza era una "fisima" passata in secondo piano. Ma non per tutti.


Ne è uscito un fumetto in stile Scottecs (chiediamo per sempre scusa a Sio per averlo accostato a questo lavoro) che ha meritato una menzione d’onore della giuria della manifestazione.


Una grande soddisfazione, un divertente esperimento e una informativa anomala che ora è a disposizione di tutti:



Hack The Doc

Informativa Privacy di MS TEAM rivisitata e corretta dai Minions.



https://youtu.be/FNvSXv2Zh0w 


 


HackTheDoc è stato solo un gioco ma ha richiesto il coinvolgimento diretto dei destinatari dell’informativa.


Quando un professionista deve preparate lo stesso documento, da usare nel mondo reale, non può accontentarsi di due disegnini ma ha bisogno di capire quale trattamento deve descrivere, deve indagare sui possibili destinatari, possibilmente deve esplorare la storia e la cultura aziendale, lo stile, il modo in cui l’impresa si relaziona con i clienti (o utenti) e, in alcuni casi, prevedere il futuro. 


Tutto ciò non è solo necessario per predisporre un testo coerente con l’azienda, ma è un vero e proprio adempimento poiché costituisce la manifestazione e applicazione concreta del principio di trasparenza.


Non si può essere trasparenti se si fa compilare l’informativa ad un professionista tuttofare, come spesso accade di vedere in certi studi legali. Occorrono diverse competenze tra le quali il legal-design, la comunicazione, l’esperienza del DPO e la conoscenza della materia e dei suoi meandri e applicazioni. Purtroppo queste sono doti rare perchè, troppo spesso, prevale la forma alla sostanza, difficilmente si riesce a scrollarsi di dosso i tecnicismi, il linguaggio esoterico che caratterizza la professione del consulente di riferimento. Così, sovente, l’avvocato scriverà pensando che il testo verrà letto da un altro avvocato. Tutto ciò è normale, fisiologico, ma è anche un grosso ostacolo all’applicazione corretta del GDPR.


Prosit.






(C) immagine di apertura: https://www.vangogheverything.com/


SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


11 settembre 2024

CV e formule di chiusura relative alla privacy



Un illustre collega ha pubblicato un post su linkedin che collocherei a metà tra uno sfogo e un contributo in materia di privacy nei CV.

Tranne qualche refuso, il collega non dice nulla di errato, tuttavia non è molto costruttivo e, accentuandone un po’ la rilevanza, rende il mondo peggiore di come lo ha trovato.

 


 

Nel mio piccolo amo migliorare le cose e provo sempre ad essere di aiuto persino a chi critico aspramente. Ecco, dunque, un mini-articolo focalizzato sui CV, sulle diciture standard di chiusura relative ai consensi e alle “frasette sulla privacy”.

 

Cosa dice la legge?

Nel Codice Privacy, il D.lgs. 196/03, si trova un articolo dedicato alle aziende che ricevono i CV inviati spontaneamente dalle persone che si propongono per un possibile lavoro.



 

Il testo non richiede particolare analisi ed è immediatamente comprensibile.

L'articolo 111-bis esime le aziende dal dover mandare informazioni sul trattamento (l'informativa) a chi invia la propria candidatura. In effetti, un invio spontaneo, non sollecitato in alcun modo, non dovrebbe comportare obblighi per il ricevente che resterà sempre libero di cestinare o prendere in considerazione il CV giunto nella posta. La stessa cosa conferma la norma stabilendo che il titolare, l’azienda, dovrà dare informazioni sul trattamento al candidato solo qualora decida di contattarlo. Se il CV finisce nel cestino o in archivio, l’azienda non ha alcun onere informativo verso il mittente.

 

Fine della storia.

Non era una storia molto interessante, dopotutto.

 



La trama si infittisce con il secondo episodio, o meglio, il secondo periodo dell’articolo 111-bis che affronta il delicato tema del consenso.

Per comprendere questa norma, in realtà abbastanza pleonastica, è necessario richiamare il concetto di base di legittimazione: per trattare un dato lecitamente è indispensabile una base di legittimazione (di seguito BdL) tra le poche previste dal GDPR. Le BdL hanno una loro gerarchia interna e la loro individuazione deve rispondere a precisi criteri. Il consenso, da sempre considerato la panacea legittimante per qualsiasi trattamento, con il GDPR ha una funzione solo residuale, vale a dire che si può ricorrere al consenso solo ed esclusivamente se non si può contare su un’altra BdL più appropriata.

Tra le BdL previste dal GDPR troviamo, oltre al consenso, anche il contratto che, peraltro, include anche tutte le attività precontrattuali.

 

Dato che l’assunzione e la collaborazione lavorativa si fonda su un contratto, è necessario ricondurre tutti i trattamenti ad essa riferiti proprio alla BdL specificamente prevista per ogni contratto. Sarebbe un grave errore basare questi trattamenti sul consenso, sia per rispettare l’articolo 6 che ci chiede di individuare quella più appropriata, sia perché il consenso, per definizione, è sempre revocabile.

 

Non oso immaginare un lavoratore che, dopo un paio di anni di lavoro, chieda alla propria azienda di cancellare tutti i dati relativi alla sua assunzione, alla selezione a suo tempo effettuata o relativi al CV consegnato come referenze. Soprattutto per questo non si può fondare il trattamento del CV sul consenso.

 

Per questa ragione un CV non deve e non può riportare alcuna dicitura di acquisizione di informativa, nessuna formula autorizzativa o di consenso al trattamento: il problema non è citare una norma abrogata quanto, piuttosto, sbagliare clamorosamente su un aspetto tecnico, normativo e afferente alla meccanica della legittimità del trattamento. 

 


Tutto questo, naturalmente, ha senso solo in relazione ad un ipotetico titolare presso il quale si desideri presentare direttamente la propria candidatura.

Se il CV fosse destinato ad altro, per esempio, a confluire in un database o in un archivio presso una agenzia per il lavoro, un cacciatore di teste, un intermediario nel mondo del lavoro, la BdL contrattuale probabilmente non sarebbe più sufficiente poiché i trattamenti si moltiplicherebbero e avverrebbero presso diversi titolari. In questi casi occorrerà analizzare più nel dettaglio la natura dei soggetti coinvolti, l’obbligatorietà di determinati trattamenti, l’eventuale mandato ricevuto dall’intermediario per ricerca e selezione da una specifica azienda che rimarrà unico titolare, ecc. Si apre dunque una infinita casistica da analizzare di volta in volta, una grossa matassa da dipanare.

 


E chi non si candida spontaneamente? Chi risponde ad un annuncio di lavoro? Chi compila un form online su una pagina web che descrive una posizione aperta? Chi trova il lavoro dei propri sogni appeso nella bacheca della palestra o esposto in una colorata vetrina?

Beh, sono candidature spontanee anche queste. Non si può certo dire che siano candidature obbligatorie o forzate ma, generalmente, si distinguono dalle candidature spontanee per via del fatto che, a monte, esiste una offerta esplicita.

L’offerta di lavoro diventa un elemento importante perché rende possibile dare al candidato anche una informativa sul trattamento dei suoi dati. Se questo elemento venisse ritardato, avremmo una mancanza di trasparenza, di buonafede e, in sostanza, una violazione del GDPR che chiede di dare l’informativa PRIMA del trattamento.

Un titolare che pubblica un annuncio non potrà dire di aver ricevuto dei CV in modo causale, non potrà buttarli nel cestino o archiviarli con disinvoltura. Quei CV gli sono stati inviati in risposta ad una specifica offerta che, pertanto, deve specificare nel dettaglio come saranno trattati i dati che quell’azienda riceverà dai candidati.

 

Dunque, per le candidature spontanee, l’informativa verrà data solo se l’azienda deciderà di contattare alcune delle persone che hanno inviato il proprio CV e il trattamento non richiederà mai un consenso poiché finalizzato al contratto di assunzione.

 

Per i CV inviati in risposta ad annunci di lavoro, l’informativa dovrà essere resa ai candidati già all’interno dell’annuncio stesso, per dar loro modo di evitare di inviare dati personali a chi non promette di trattarli con il dovuto garbo. Anche in questo caso non dovrà essere chiesto, e non dovrà essere dato alcun consenso, a meno che non ci siano particolari forme di ricerca e selezione che lo richiedono.

 

In ultimo, con riferimento allo strampalato neologismo dei “casi sensibili” citati dal collega, penso che valga la pena di parlare dei dati sensibili contenuti in un CV. I dati sensibili sono quelli riconducibili all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, ai dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Sono sensibili anche i dati genetici e biometrici ma direi che è poco probabile ritrovarli in un CV.

 

In presenza di questi dati è necessaria, oltre ad una base di legittimazione, anche una esenzione da un divieto generale di trattamento (art. 9 del GDPR). Tra le esenzioni compare, di nuovo, il consenso, ma anche ogni trattamento necessario per esercitare i diritti specifici del titolare o dell'interessato in materia di diritto del lavoro, ovviamente ove previsto dalla legge e con adeguate garanzie.

 


Mi rendo conto che molti lavoratori sbaglino anche perché, dopo una breve verifica, ho potuto constatare che molti siti danno indicazioni errate e forvianti in merito alle formule di chiusure e autorizzazione al trattamento:

https://www.ticonsiglio.com/autorizzazione-trattamento-dati-personali/ (BOCCIATO) https://www.adecco.it/come-trovare-lavoro/trattamento-dati-personali-cv (BOCCIATO) https://it.indeed.com/guida-alla-carriera/cv-lettere-presentazione/autorizzazione-trattamento-dati-personali-cv (BOCCIATO)



Il mio consiglio ad un candidato è di non includere mai dati sensibili nel proprio CV.

Ad un titolare consiglierei di cestinare ogni CV che contenga questa tipologia di dati personali.

Nei rarissimi casi in cui un CV possa riportare dati sensibili per una buona ragione come, per esempio, nel caso di assunzione di una categoria protetta, direi che il GDPR, anche in questo caso, include quanto necessario per esimere dal divieto di trattamento senza dover fare ricorso all’insidioso e ingannevole consenso.

 

Giusto ieri ho sento dire da un autorevole statista che il GDPR ostacola e appesantisce le aziende.

A mio parere, è vero il contrario.

 


Prosit

 

 

SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇