1.RISCHI
L’omessa o incompleta informativa privacy di cui agli articoli 13 e 14 del regolamento UE privacy 679/2016 (GDPR) ai candidati all’instaurazione di un rapporto di lavoro, importa il rischio di sanzioni pecuniarie amministrative a carico della Società.
2.SCOPO
Descrivere le regole che governano la raccolta di dati relativi ai soggetti persone fisiche che inviano curricula alla Società.
3.AMBITO DI APPLICAZIONE
Questa policy si applica a tutti i soggetti persone fisiche che inviano curricula alla Società.
4.DESCRIZIONE
Al candidato va comunicato il seguente testo di informativa (consegnandolo a mano, pubblicandolo sul sito web della società della Società).
INFORMATIVA SULLA PRIVACY (ARTT. 13-14 REGOLAMENTO UE PRIVACY 2016/679)
1) La informiamo che i dati personali da Lei forniti sono trattati, in forma cartacea e/o automatizzata per la sola finalità di ricerca e selezione del personale e con modalità tecnico-organizzative strettamente correlate a tali finalità.
La raccolta dei dati avviene, secondo i casi, mediante spontaneo invio alla ns. Società da parte dell’interessato delle informazioni personali e relative alla propria esperienza professionale, organizzate in forma di curriculum vitae (C.V.) a mezzo posta, telefax o e-mail o a mano oppure tramite registrazione del medesimo nel sito web della ns. Società. I dati trattati sono quelli anagrafici e identificativi, quelli di contatto (residenza, telefono, e-mail), le pregresse esperienze professionali e competenze e le motivazioni personali del candidato.
L’invio alla ns. Società del suo C.V. può rappresentare: a) una candidatura spontanea, b) la risposta a specifici annunci di ricerca e selezione del personale pubblicati su quotidiani o periodici locali, nazionali o esteri, oppure sul ns. sito web o su social network o su portali di terzi, dalla ns. Società o c) la risposta ad iniziative di ricerca del personale effettuate da terzi autonomamente, in quest’ultimo caso i dati vengono da noi raccolti presso tali società terze cui la ns. Società segnala preventivamente le ns. esigenze di ricerca del personale. La invitiamo a non inserire nel suo CV dati non pertinenti alla ricerca/offerta di lavoro.
2) La Società ha facoltà di trattare i dati anche particolari contenuti nel C.V. anche senza un espresso previo consenso dell’interessato (art. 111 bis D.Lgs. 196/2003) e anche qualora il C.V. venga valutato dal Titolare nell’ambito di successive selezioni diverse da quella in relazione alla quale è stato spontaneamente inviato o è stato sollecitato dal Titolare.
3) Il conferimento di dati particolari tramite il CV è sempre facoltativo – né da parte nostra sollecitato. I dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica sono trattati solo se necessari ai fini dell’instaurazione del rapporto di lavoro o similare con la nostra Società. La ns. Società si astiene dall’utilizzare informazioni da Lei fornitici non pertinenti rispetto alle predette finalità.
Ai sensi della L. 276/2003 (Legge Biagi) ci è fatto divieto di effettuare qualsivoglia preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute nonchè ad eventuali controversie con i precedenti datori di lavoro, a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento della attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell'attività lavorativa. Pertanto nel caso di dati idonei a rivelare lo stato di salute dei familiari o dei conviventi della S.V., il trattamento sarà finalizzato al solo riconoscimento di uno specifico beneficio in favore del candidato, in particolare ai fini di un’assunzione obbligatoria o del riconoscimento di un titolo derivante da invalidità, infermità, da eventi bellici o da ragioni di servizio.
4) Il fatto che un profilo social di un candidato sia disponibile al pubblico, non può fare ritenere che sia automaticamente consentito al potenziale datore di lavoro un utilizzo indiscriminato delle informazioni presenti in esso per le proprie finalità. A tale fine, in ottemperanza al parere n. WP249 espresso dal “Gruppo di Lavoro art. 29” la ns. Società rispetta le seguenti regole:
5) La base giuridica del trattamento dei dati ordinari e particolari è il ns. legittimo interesse - da noi reputato come prevalente sugli interessi o i diritti e le libertà fondamentali dell’interessato - di poter valutare la compatibilità e inerenza del profilo del candidato alle esigenze aziendali e di organizzare i relativi processi selettivi.
6) Al termine del processo di selezione, i curricula ritenuti non in linea con le ns. esigenze vengono conservati in archivi accessibili solo da parte del personale autorizzato per iscritto dalla ns. Società, custoditi a vista in orario lavorativo e chiusi a chiave dopo l’orario di lavoro. I curricula in formato elettronico sono custoditi nei nostri sistemi informatici, il cui accesso è consentito ai soli utenti autorizzati mediante inserimento di password univoca. I dati non verranno trasferiti all’estero. I suoi dati non saranno mai diffusi. I CV e i dati ad essi connessi (valutazioni, ecc.) sono conservati al massimo per 24 mesi, unicamente al fine di razionalizzare le ulteriori ns. procedure di selezione e formazione del personale, dopodichè verranno distrutti o anonimizzati.
I dati personali trattati per finalità di sicurezza informatica (es. registrazioni di logs creati dai sistemi on-line tramite cui il candidato ha inviato alla ns. Società la sua candidatura), verranno conservati per il tempo sufficiente a esaurire i controlli di sicurezza relativi e valutarne gli esiti ex attuare eventuali misure tecniche correttive di possibili inconvenienti (1 anno dalla data della raccolta).
7) I dati possono essere comunicati a enti di formazione e società di selezione del personale, consulenti del lavoro, fiscali e legali, enti finanziatori di iniziative di formazione, società di somministrazione di personale, gestori di siti e portali web di ricerca e selezione del personale, che assumono la veste di responsabili esterni o autonomi Titolari. per le stesse finalità. Nel caso di responsabili esterni obblighiamo preventivamente il terzo destinatario dei dati a comunicarci eventuali ulteriori terzi ai quali i dati vengano comunicati e autorizziamo tale comunicazione ulteriore, inoltre vigiliamo sulla conformità del loro trattamento ai requisiti di cui alla normativa privacy. Un elenco dei responsabili esterni può essere reso disponibile su richiesta scritta dell'interessato.
8) I dati personali sono trasferiti dalla ns. Società ai seguenti terzi fornitori con sede extra-UE:
• USA: verso il terzo fornitore Microsoft Corporation con sede 1 Microsoft Way, Redmond, WA 98052, USA. quale fornitore della piattaforma di videoconferenza denominata “Teams”, per l’organizzazione delle attività correlate all’esecuzione della prestazione contrattuale verso il cliente.
Come indicato espressamente nell’Allegato 1 alle Condizioni per l’Utilizzo dei Servizi Online, con riferimento al Servizio 365 Microsoft si impegna ad archiviare i dati della Società inattivi trattati da FORMA 2000 come segue: “qualora la Società effettui il provisioning del proprio tenant (…) nell’Unione Europea, Microsoft archivierà i seguenti Dati della Società Inattivi solo all’interno di tale Area Geografica: (1) il contenuto della cassetta postale di Exchange Online (corpo del messaggio di posta elettronica, voci del calendario e contenuto degli allegati di posta elettronica), (2) il contenuto del sito SharePoint Online e i file archiviati su tale sito e (3) i file caricati su OneDrive for Business.” Per tali dati, quindi, non avviene alcun trasferimento negli USA o lo stesso ha natura prettamente occasionale.
Si veda la policy di Microsoft all’indirizzo: https://docs.microsoft.com/it-it/microsoft-365/enterprise/o365-data-locations?view=o365-worldwide. È possibile visionare la privacy policy di Microsoft al seguente indirizzo: https://privacy.microsoft.com/it-it/privacystatement.
E' tuttavia possibile che altri dati inattivi, in particolare diversi da quelli sopra indicati, vengano trasferiti dalla UE agli USA per il servizio in esame e che il loro trasferimento abbia frequenza non occasionale.
Con riferimento a tale ipotesi, FORMA 2000 applica garanzie adeguate consistenti nella stipulazione – automatica all’attivazione del servizio – delle Clausole Contrattuali Standard (CCS), per effetto delle quali il fornitore, relativamente ai trattamenti di propria competenza, si impegna al rispetto di obblighi privacy sostanzialmente equivalenti a quelli previsti dal GDPR a carico di FORMA 2000. Tali CCS sono state preventivamente sottoposte da Microsoft al Gruppo di lavoro articolo 29 dell'Unione europea ed hanno conseguito la relativa approvazione.
Nonostante in astratto non possa escludersi con certezza il rischio che in determinate occasionali situazioni l'autorità pubblica americana effettui l’accesso a dati personali trasferiti dalla UE agli Usa in base alla normativa USA in materia di intelligence (ovvero l’art. 702 della FISA e l'Executive Order EO 12333 che legittima l'autorità pubblica americana a tale accesso per finalità di sicurezza nazionale), sulla base della comune esperienza, considerati/e: i) il core business di FORMA 2000 ii) la tipologia di dati personali trattati da FORMA 2000 e iii) le limitate categorie di interessati cui i dati si riferiscono (dipendenti / clienti/prospect e lead), la possibilità che in concreto vi sia un interesse pubblico a tale sporadico accesso ai dati (di cui il fornitore può non dare avviso) appare trascurabile.
Poiché le CCS, fatta salva la suddetta improbabile ipotesi di accesso da parte dell’autorità pubblica americana, ragionevolmente garantiscono una tutela dei diritti degli interessati sostanzialmente identica a quella prevista dal GDPR, FORMA 2000 allo stato non ritiene necessario concordare con il fornitore Microsoft Corporation ulteriori misure supplementari. L'adozione di future misure supplementari sarà comunicata da FORMA 2000 al dipendente.
Per analogia si applicano le medesime garanzie anche con riferimento al trasferimento verso il terzo fornitore Cisco Systems, Inc., con sede in 170 West Tasman Dr. San Jose, CA 95134 USA, del servizio “Cisco Webex”.
9) Relativamente ai dati personali la S.V. può esercitare i seguenti diritti:
- chiedere al Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
- qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate relative al trasferimento;
- richiedere, ed ottenere senza ingiustificato ritardo, la rettifica dei dati inesatti; tenuto conto delle finalità del trattamento, l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
- richiedere la cancellazione dei dati se a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) (omissis); c) l'interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento (…); d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- richiedere la limitazione del trattamento che riguarda l’interessato, quando ricorre una delle seguenti ipotesi: a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; d) l'interessato si è opposto al trattamento svolto per finalità di marketing diretto, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.;
- ottenere dal titolare del trattamento, su richiesta, la comunicazione dei terzi destinatari cui sono stati trasmessi i dati personali;
- revocare in qualsiasi momento il consenso al trattamento ove in precedenza comunicato per una o più specifiche finalità dei propri dati personali, restando inteso che ciò non pregiudicherà la liceità del trattamento basata sul consenso prestato prima della revoca.
In particolare, per revocare il consenso precedentemente dato alla ns. Società l’interessato può inviare una richiesta specifica in uno dei modi seguenti: i) attenendosi alle istruzioni di cancellazione indicate in fondo a ciascun messaggio e-mail, oppure ii) inviando una e-mail a privacy.gdpr@forma2000.it contenente la richiesta.
- l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (NB: La ns. Società comunque non opera tale tipo di decisioni automatizzate).
- l’interessato in ogni momento può altresì proporre reclamo all’Autorità di controllo competente in base al GDPR (Garante privacy) e può esercitare i suoi diritti avanti al giudice ordinario (Tribunale del luogo di residenza o sede).
10) Titolare del trattamento dei dati personali è FORMA 2000 SPA con sede legale in 30029 - San Stino di Livenza (VE), Via G. Di Vittorio n. 25, e-mail privacy.gdpr@forma2000.it.