Il Pensatoio: settembre 2024

19 settembre 2024

Informative fantastiche e dove trovarle

Informative fantastiche e dove trovarle

Non so perchè ma le leggo sempre.

Gli amici mi prendono in giro per questo ma non posso farci niente, è più forte di me: se trovo un’informativa privacy devo leggerla. Mi dicono che scuoto la testa, sbuffo, a volte picchio i pugni sul tavolo e alla fine mi arrabbio, rimanendo, poi, di malumore per un po’.

Al ristorante, quando trovo cartoline con iscrizioni a newsletter, prenotazioni online, qrcode per il menù e simili, mentre aspetto il mio piatto, mi metto a correggere i testi delle informative e li lascio in regalo con una avvertenza: “cambiate consulente”. Stranamente nessuno pare apprezzare questo gesto perché, in cambio, non mi hanno mai offerto nemmeno un caffè.

Molto spesso trovo formulari molto standard, presi da qualche circolare delle associazioni di categoria, altre volte trovo testi spudoratamente copiati da altri siti o altre realtà produttive, assai differenti da quella che vedo attorno a me.

In alcuni casi riesco ad ampliare la mia collezione degli orrori con reperti archeologici che citano oscure norme risalenti al secolo scorso, ormai dimenticate.

Qualche volta sorrido, trovo spunti interessanti per migliorare il mio lavoro e imparo qualcosa di nuovo.

Un'informativa suscita in me la stessa trepidazione che ho visto nelle mie figlie la notte di Natale.

Le uniche informative che non leggo sono quelle di Iubenda. Evito di farlo per tre buoni motivi:

sono tutte ontologicamente sbagliate e contengono, come minimo, gli stessi errori concettuali.
contengono dei tracker di profilazione del traffico e i miei sistemi di autodifesa le bloccano. Sono per me inaccessibili.
sono sempre incomplete perché il titolare del trattamento non sa cosa fa realmente, e iubenda nemmeno.

Ho già avuto modo di approfondire l’argomento iubenda in un articolo che richiamo volentieri: https://bernieri.blogspot.com/2024/02/il-taccone-e-peggio-del-buco.html

In alcuni casi trovo delle vere e proprie perle, meraviglie dell’ingegno umano e mi piacerebbe poter fare i complimenti all’autore.

Eccone una: la metropolitana di Torino.

Si, lo so, non è una informativa privacy ma è l’unico difetto che ha. Si tratta di un'informativa legata alla sicurezza e destinata ai bambini per evitare che mettano le mani vicino la bordo scorrevole delle porte automatiche.

Perfetta!

Chi l’ha scritta ha fatto esattamente ciò che dovrebbe fare un titolare del trattamento nella stesura delle sue informative privacy: mettersi nei panni di chi le leggerà.

La passione per le informative mi ha spinto a sperimentare e, una volta, ho coinvolto anche le mie figlie.

Un divertente progetto, nato in seno ai Legal Hackers Roma (https://www.legalhackersroma.it/), ha attirato la mia attenzione e ho deciso di partecipare assieme a tre Minions.

HACK THE DOC (qui spiegato bene dalla ottima Stefania Passera @StewieKee https://www.youtube.com/watch?v=qlZuzrRoA7Y e qui descritto bene https://www.utopiathesoftware.com/blog-post/privacy-policy-leggibile-hackthedock ) ci ha permesso di reinventare un’informativa pallosissima, quella di MS TEAMS, proponendola in una veste più adatta ai reali fruitori (bambini che a scuola ne fanno largo uso) e con un tocco di maggiore trasparenza.

Erano tempi duri, tempi di scuola a distanza e pandemia… la trasparenza era una "fisima" passata in secondo piano. Ma non per tutti.

Ne è uscito un fumetto in stile Scottecs (chiediamo per sempre scusa a Sio per averlo accostato a questo lavoro) che ha meritato una menzione d’onore della giuria della manifestazione.

Una grande soddisfazione, un divertente esperimento e una informativa anomala che ora è a disposizione di tutti:

Hack The Doc

Informativa Privacy di MS TEAM rivisitata e corretta dai Minions.

https://youtu.be/FNvSXv2Zh0w

HackTheDoc è stato solo un gioco ma ha richiesto il coinvolgimento diretto dei destinatari dell’informativa.

Quando un professionista deve preparate lo stesso documento, da usare nel mondo reale, non può accontentarsi di due disegnini ma ha bisogno di capire quale trattamento deve descrivere, deve indagare sui possibili destinatari, possibilmente deve esplorare la storia e la cultura aziendale, lo stile, il modo in cui l’impresa si relaziona con i clienti (o utenti) e, in alcuni casi, prevedere il futuro.

Tutto ciò non è solo necessario per predisporre un testo coerente con l’azienda, ma è un vero e proprio adempimento poiché costituisce la manifestazione e applicazione concreta del principio di trasparenza.

Non si può essere trasparenti se si fa compilare l’informativa ad un professionista tuttofare, come spesso accade di vedere in certi studi legali. Occorrono diverse competenze tra le quali il legal-design, la comunicazione, l’esperienza del DPO e la conoscenza della materia e dei suoi meandri e applicazioni. Purtroppo queste sono doti rare perchè, troppo spesso, prevale la forma alla sostanza, difficilmente si riesce a scrollarsi di dosso i tecnicismi, il linguaggio esoterico che caratterizza la professione del consulente di riferimento. Così, sovente, l’avvocato scriverà pensando che il testo verrà letto da un altro avvocato. Tutto ciò è normale, fisiologico, ma è anche un grosso ostacolo all’applicazione corretta del GDPR.

Prosit.

(C) immagine di apertura: https://www.vangogheverything.com/

SEI UN PROFESSIONISTA?

FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.

Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?

bene... allora mi devi una birra.

Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:

- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.

👇 👇 Clicca qui 👇 👇

11 settembre 2024

CV e formule di chiusura relative alla privacy

Un illustre collega ha pubblicato un post su linkedin che collocherei a metà tra uno sfogo e un contributo in materia di privacy nei CV.

Tranne qualche refuso, il collega non dice nulla di errato, tuttavia non è molto costruttivo e, accentuandone un po’ la rilevanza, rende il mondo peggiore di come lo ha trovato.

Nel mio piccolo amo migliorare le cose e provo sempre ad essere di aiuto persino a chi critico aspramente. Ecco, dunque, un mini-articolo focalizzato sui CV, sulle diciture standard di chiusura relative ai consensi e alle “frasette sulla privacy”.

Cosa dice la legge?

Nel Codice Privacy, il D.lgs. 196/03, si trova un articolo dedicato alle aziende che ricevono i CV inviati spontaneamente dalle persone che si propongono per un possibile lavoro.

Il testo non richiede particolare analisi ed è immediatamente comprensibile.

L'articolo 111-bis esime le aziende dal dover mandare informazioni sul trattamento (l'informativa) a chi invia la propria candidatura. In effetti, un invio spontaneo, non sollecitato in alcun modo, non dovrebbe comportare obblighi per il ricevente che resterà sempre libero di cestinare o prendere in considerazione il CV giunto nella posta. La stessa cosa conferma la norma stabilendo che il titolare, l’azienda, dovrà dare informazioni sul trattamento al candidato solo qualora decida di contattarlo. Se il CV finisce nel cestino o in archivio, l’azienda non ha alcun onere informativo verso il mittente.

Fine della storia.

Non era una storia molto interessante, dopotutto.

La trama si infittisce con il secondo episodio, o meglio, il secondo periodo dell’articolo 111-bis che affronta il delicato tema del consenso.

Per comprendere questa norma, in realtà abbastanza pleonastica, è necessario richiamare il concetto di base di legittimazione: per trattare un dato lecitamente è indispensabile una base di legittimazione (di seguito BdL) tra le poche previste dal GDPR. Le BdL hanno una loro gerarchia interna e la loro individuazione deve rispondere a precisi criteri. Il consenso, da sempre considerato la panacea legittimante per qualsiasi trattamento, con il GDPR ha una funzione solo residuale, vale a dire che si può ricorrere al consenso solo ed esclusivamente se non si può contare su un’altra BdL più appropriata.

Tra le BdL previste dal GDPR troviamo, oltre al consenso, anche il contratto che, peraltro, include anche tutte le attività precontrattuali.

Dato che l’assunzione e la collaborazione lavorativa si fonda su un contratto, è necessario ricondurre tutti i trattamenti ad essa riferiti proprio alla BdL specificamente prevista per ogni contratto. Sarebbe un grave errore basare questi trattamenti sul consenso, sia per rispettare l’articolo 6 che ci chiede di individuare quella più appropriata, sia perché il consenso, per definizione, è sempre revocabile.

Non oso immaginare un lavoratore che, dopo un paio di anni di lavoro, chieda alla propria azienda di cancellare tutti i dati relativi alla sua assunzione, alla selezione a suo tempo effettuata o relativi al CV consegnato come referenze. Soprattutto per questo non si può fondare il trattamento del CV sul consenso.

Per questa ragione un CV non deve e non può riportare alcuna dicitura di acquisizione di informativa, nessuna formula autorizzativa o di consenso al trattamento: il problema non è citare una norma abrogata quanto, piuttosto, sbagliare clamorosamente su un aspetto tecnico, normativo e afferente alla meccanica della legittimità del trattamento.

Tutto questo, naturalmente, ha senso solo in relazione ad un ipotetico titolare presso il quale si desideri presentare direttamente la propria candidatura.

Se il CV fosse destinato ad altro, per esempio, a confluire in un database o in un archivio presso una agenzia per il lavoro, un cacciatore di teste, un intermediario nel mondo del lavoro, la BdL contrattuale probabilmente non sarebbe più sufficiente poiché i trattamenti si moltiplicherebbero e avverrebbero presso diversi titolari. In questi casi occorrerà analizzare più nel dettaglio la natura dei soggetti coinvolti, l’obbligatorietà di determinati trattamenti, l’eventuale mandato ricevuto dall’intermediario per ricerca e selezione da una specifica azienda che rimarrà unico titolare, ecc. Si apre dunque una infinita casistica da analizzare di volta in volta, una grossa matassa da dipanare.

E chi non si candida spontaneamente? Chi risponde ad un annuncio di lavoro? Chi compila un form online su una pagina web che descrive una posizione aperta? Chi trova il lavoro dei propri sogni appeso nella bacheca della palestra o esposto in una colorata vetrina?

Beh, sono candidature spontanee anche queste. Non si può certo dire che siano candidature obbligatorie o forzate ma, generalmente, si distinguono dalle candidature spontanee per via del fatto che, a monte, esiste una offerta esplicita.

L’offerta di lavoro diventa un elemento importante perché rende possibile dare al candidato anche una informativa sul trattamento dei suoi dati. Se questo elemento venisse ritardato, avremmo una mancanza di trasparenza, di buonafede e, in sostanza, una violazione del GDPR che chiede di dare l’informativa PRIMA del trattamento.

Un titolare che pubblica un annuncio non potrà dire di aver ricevuto dei CV in modo causale, non potrà buttarli nel cestino o archiviarli con disinvoltura. Quei CV gli sono stati inviati in risposta ad una specifica offerta che, pertanto, deve specificare nel dettaglio come saranno trattati i dati che quell’azienda riceverà dai candidati.

Dunque, per le candidature spontanee, l’informativa verrà data solo se l’azienda deciderà di contattare alcune delle persone che hanno inviato il proprio CV e il trattamento non richiederà mai un consenso poiché finalizzato al contratto di assunzione.

Per i CV inviati in risposta ad annunci di lavoro, l’informativa dovrà essere resa ai candidati già all’interno dell’annuncio stesso, per dar loro modo di evitare di inviare dati personali a chi non promette di trattarli con il dovuto garbo. Anche in questo caso non dovrà essere chiesto, e non dovrà essere dato alcun consenso, a meno che non ci siano particolari forme di ricerca e selezione che lo richiedono.

In ultimo, con riferimento allo strampalato neologismo dei “casi sensibili” citati dal collega, penso che valga la pena di parlare dei dati sensibili contenuti in un CV. I dati sensibili sono quelli riconducibili all'origine razziale o etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all'appartenenza sindacale, ai dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Sono sensibili anche i dati genetici e biometrici ma direi che è poco probabile ritrovarli in un CV.

In presenza di questi dati è necessaria, oltre ad una base di legittimazione, anche una esenzione da un divieto generale di trattamento (art. 9 del GDPR). Tra le esenzioni compare, di nuovo, il consenso, ma anche ogni trattamento necessario per esercitare i diritti specifici del titolare o dell'interessato in materia di diritto del lavoro, ovviamente ove previsto dalla legge e con adeguate garanzie.

Mi rendo conto che molti lavoratori sbaglino anche perché, dopo una breve verifica, ho potuto constatare che molti siti danno indicazioni errate e forvianti in merito alle formule di chiusure e autorizzazione al trattamento:

https://www.ticonsiglio.com/autorizzazione-trattamento-dati-personali/ (BOCCIATO) https://www.adecco.it/come-trovare-lavoro/trattamento-dati-personali-cv (BOCCIATO) https://it.indeed.com/guida-alla-carriera/cv-lettere-presentazione/autorizzazione-trattamento-dati-personali-cv (BOCCIATO)

Il mio consiglio ad un candidato è di non includere mai dati sensibili nel proprio CV.

Ad un titolare consiglierei di cestinare ogni CV che contenga questa tipologia di dati personali.

Nei rarissimi casi in cui un CV possa riportare dati sensibili per una buona ragione come, per esempio, nel caso di assunzione di una categoria protetta, direi che il GDPR, anche in questo caso, include quanto necessario per esimere dal divieto di trattamento senza dover fare ricorso all’insidioso e ingannevole consenso.

Giusto ieri ho sento dire da un autorevole statista che il GDPR ostacola e appesantisce le aziende.

A mio parere, è vero il contrario.

Prosit