Nell’Alert del 29 febbraio 2024 si è data notizia del completamento del codice di condotta per le Agenzie per il Lavoro (“APL”) soffermandoci sulle basi giuridiche individuate per i trattamenti tipici dei dati del personale, in quanto esse possono fornire utili indicazioni a qualsiasi datore di lavoro che si cimenta nella compilazione del proprio registro dei trattamenti, in qualità di titolare, anche oltre il contesto del citato codice.

Il Codice di condotta per il settore delle APL è stato elaborato da Assolavoro per contribuire alla corretta applicazione della normativa sulla protezione dei dati personali nel settore delle APL, in conformità all’art. 40.2 del GDPR. Il progetto di Codice, inizialmente, è stato sottoposto a pubblica consultazione per 30 giorni e le osservazioni ricevute sono state considerate per le modifiche apportate.

Successivamente, con provvedimento n. 12 dell’11 gennaio 2024 (doc. web n. 9983415), il Garante ha approvato il codice, la cui pubblicazione è avvenuta nella Gazzetta ufficiale n. 55 del 6/3/2024; di conseguenza, essendo intervenuto il contestuale accreditamento dell’Organismo di monitoraggio, esso è entrato in vigore il 7 marzo 2024, come precisato all’articolo 17 dello stesso codice di condotta.

Ruoli soggettivi di APL e Cliente

Il codice di condotta per le APL precisa i ruoli soggettivi privacy che intervengono tra le medesime APL e i rispettivi Clienti, cioè aziende o enti che si rivolgono alle APL per ottenere determinati servizi (art. 4, cod. condotta APL). Queste indicazioni hanno carattere generale e forniscono utili indicazioni per un corretto inquadramento soggettivo nei rapporti privacy tra queste parti, indipendentemente dall’effettiva adesione dell’APL al codice richiamato.

Nel contesto delle attività delle Agenzie per il Lavoro (APL) con i Clienti, escluse quelle di servizi in outsourcing, l’APL assume generalmente il ruolo di Titolare. Questo significa che nell’effettuazione delle attività come la somministrazione di lavoro, la ricerca e selezione del personale, l’intermediazione e il supporto alla ricollocazione professionale, l’APL risponde in proprio del pertinente trattamento dei dati personali. In tutti questi casi, la relazione tra APL e Cliente si configura come una relazione Titolare-Titolare, poiché entrambi i soggetti determinano autonomamente le finalità e le modalità dei trattamenti dei dati personali. Di conseguenza, il flusso di dati tra APL e Cliente rappresenta una “comunicazione”, cioè una distinta operazione di trattamento soggetta a una specifica base giuridica, come si vedrà in seguito.

Di converso, in caso di incarico in outsourcing, in cui l’APL tratta dati personali per conto del Cliente, l’APL di regola andrebbe designata come Responsabile del trattamento ai sensi dell’art. 28 del GDPR; il relativo flusso di dati tra APL e Cliente, pertanto, si svolgerà pur sempre all’interno dell’ambito dei trattamenti che fanno capo al Cliente titolare.

Finalità	Titolare	Basi giuridiche (art. 6)		Condizioni liceità (art. 9)
Somministrazione di lavoro	APL		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Ricerca e selezione di personale	APL		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Attività di intermediazione	APL		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Supporto ricollocazione professionale	APL		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Alternanza scuola-lavoro	APL		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Incarico in outsourcing	Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Comunicazione dati	APL/Cliente		Esecuzione di un contratto in cui l’interessato è parte o di misure pre-contrattuali. Obbligo di legge	Art. 9(2)(b) e 88 GDPR Art. 9(4) GDPR e Provv. 146/2019 (doc. web n. 9124510) Reg. deontologiche e art. 2-quater Cod. privacy
Diffusione dati	APL		Consenso. Esecuzione contrattuale, se dati strettamente necessari per la prestazione lavorativa	Divieto per dati sulla salute (art. 2-septies, comma 8, cod. privacy)
	Cliente		Consenso. Esecuzione contrattuale, se dati strettamente necessari per la prestazione lavorativa	Divieto per dati sulla salute (art. 2-septies, comma 8, cod. privacy)

Tabella 1 – Finalità, Titolari, basi giuridiche e deroghe per dati sensibili nei trattamenti relativi ai rapporti tra Azienda Cliente e APL.

Nel dettaglio, durante la somministrazione di lavoro, i dati del lavoratore somministrato sono gestiti sia dall’APL in qualità di datore di lavoro, sia dal Cliente, utilizzatore presso cui il lavoratore svolge la missione, utilizzando gli strumenti e i sistemi dell’utilizzatore stesso.

Per la ricerca e selezione del personale, l’APL ricerca e seleziona i candidati per conto dei Clienti, fornendo loro i dati dei candidati preselezionati o selezionati per specifiche posizioni. I dati del candidato trasmessi al Cliente per un posto vacante (comunicazione) sono di norma trattati autonomamente dal Cliente durante la fase di selezione.

Nell’attività di intermediazione, i dati dei potenziali lavoratori sono raccolti e gestiti dall’APL che li inoltra al Cliente per un eventuale inserimento diretto (comunicazione).

Infine, nel supporto alla ricollocazione professionale, le APL forniscono assistenza ai Clienti nell’organizzazione della forza lavoro e supporto ai lavoratori per una transizione sul mercato del lavoro, offrendo servizi come formazione, pianificazione finanziaria, assistenza previdenziale, consulenza professionale e valutazioni.

Trattamenti effettuati nella fase di ricerca e selezione del personale

L’articolo 5 del codice di condotta in tema di categorie di dati trattati, indirettamente risponde alla tradizionale domanda su quali tipologie di dati siano richiedibili ai candidati in fase di ricerca e selezione e se sia lecito, in queste fasi, utilizzare le particolari categorie di dati dell’articolo 9 del GDPR.

Per entrambe le tipologie di dati rientranti o meno nelle particolari categorie, vige il principio di pertinenza e necessità, da attuare con progressivo maggior rigore corrispondentemente al livello di sensibilità dell’informazione. Pertinenza e necessità presuppongono che i dati “sensibili” utilizzati debbano trovare giustificazione nelle particolari mansioni e/o nelle specificità dei profili professionali di riferimento.

Queste indicazioni generali valgono sia nell’ipotesi di ricerca attiva – nel qual caso, chi ricerca nuovo personale deve astenersi dal richiedere informazioni personali non pertinenti o non necessarie tramite propri questionari o modelli di raccolta dati – sia di candidatura spontanea, laddove spetta al titolare ricevente, nell’eventualità che i curricula spontaneamente trasmessi contengano informazioni non pertinenti, di astenersi dall’utilizzare tali informazioni e provvedere alla loro tempestiva cancellazione.

Divieto di indagini sulle opinioni dei lavoratori

Nell’ambito dell’individuazione dei dati personali pertinenti e necessari, il codice di condotta fa esplicito riferimento ai «limiti stabiliti dalle disposizioni richiamate dall’art. 113 del Codice privacy» che, a sua volta, rinvia agli articoli 8 dello Statuto dei lavoratori e 10 del d.lgs. n. 276/2003.

Entrambe le richiamate disposizioni (artt. 8 e 10 delle citate norme) vietano in via assoluta a datori di lavoro e agenzie per il lavoro di effettuare indagini o di trattare dati personali che non siano pertinenti per la valutazione dell’attitudine professionale.

Il richiamato articolo 10 precisa ulteriormente l’ambito del divieto tramite la previsione di due eccezioni al divieto, qualora si tratti di caratteristiche che:

• «incidono sulle modalità di svolgimento dell’attività lavorativa
• costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell’attività lavorativa».

In sintesi, il giudizio di pertinenza presuppone che le informazioni richieste siano appropriate, essenziali e determinanti per lo svolgimento dell’attività lavorativa.

Particolari categorie di dati

Di utilità è anche l’individuazione delle particolari categorie di dati che sono suscettibili di trattamento nelle diverse fasi/finalità del processo lavorativo, in particolare, nello svolgimento dell’attività di ricerca e selezione:

• «dati idonei a rivelare lo stato di salute quali l’appartenenza a categorie protette o limitazioni allo svolgimento di determinate mansioni per disabilità;
• dati idonei a rivelare l’origine razziale ed etnica».

Nella fase di instaurazione e gestione del rapporto di lavoro, le particolari categorie di dati teoricamente riscontrabili sono:

• i dati che rivelino o siano idonei a rivelare lo stato di salute di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi, limitazioni nell’idoneità a svolgere talune mansioni, anticipazione del TFR per motivi di salute, esposizioni a fattori di rischio.

Di converso, i titolari non possono «richiedere e/o trattare informazioni inerenti ai precedenti illeciti disciplinari o procedimenti giudiziari che abbiano coinvolto il Candidato, ferme le ipotesi in cui ciò sia necessario in base ad una disposizione di legge». Al di fuori delle previsioni contenute nel GDPR, infatti, lo Stato membro può stabilire norme più specifiche per l’uso di dati personali nell’ambito lavorativo, con legge o tramite contratti collettivi (art. 88, GDPR), così come disciplinato dall’art. 2-octies del codice privacy.

Obblighi informativi

In merito agli obblighi informativi che spettano al titolare/datore di lavoro in relazione all’uso dei dati personali dei propri dipendenti o candidati, in conformità al GDPR, il codice di condotta distingue le informazioni da fornire secondo la modalità di raccolta diretta o indiretta e offre un modello di documento informativo per i candidati.

Le modalità di conformità agli obblighi informativi, infatti, varia in corrispondenza delle modalità di raccolta, nello specifico:

• raccolta di dati presso l’interessato
• raccolta di dati presso terzi
• raccolta di dati sollecitata dal titolare
• raccolta di dati spontaneamente forniti dal candidato.

L’invio del CV e di altri dati personali da parte del candidato tramite la sezione dedicata del sito web online non è considerata una trasmissione spontanea della candidatura: la raccolta dei CV tramite questa sezione deve essere preceduta dalla disponibilità dell’informativa ai candidati, mediante link ben visibile durante la raccolta dei dati. Tutte le informazioni da fornire ai candidati vanno centralizzate in un unico luogo o documento per facilitarne l’accesso, garantendo la trasparenza e la chiarezza delle informazioni sulle finalità di utilizzo dei dati.

Nel caso di curricula spontaneamente inviati dagli interessati, il Codice privacy, all’articolo 111 bis, stabilisce che le informazioni dell’articolo 13 del Regolamento vengono fornite al primo contatto utile successivo all’invio del curriculum. Secondo il codice di condotta, il primo contatto utile avviene di solito con la risposta via e-mail da parte del titolare o durante una chiamata telefonica, durante la quale l’interessato deve essere informato oralmente sugli elementi essenziali del trattamento e sulle modalità per consultare l’informativa completa.

Per il trattamento dei dati personali contenuti nei curricula inviati spontaneamente, il consenso dell’interessato non è richiesto in quanto esso ricade nella base giuridica della finalità di esecuzione del contratto o di misure precontrattuali (art. 111-bis, cod. privacy).

Dati disponibili su social network professionali

Il titolare, potenziale datore di lavoro, può utilizzare le informazioni del profilo professionale disponibili pubblicamente sui social network di natura professionale per la selezione dei candidati, con l’obbligo di fornire l’informativa ai candidati, ai sensi dell’art. 14 del GDPR.

Spetta al titolare l’onere di verificare la natura professionale del social network, condizione essenziale per poter trattare i dati dei candidati in esso contenuti. In tal caso, il titolare dovrà:

• fornire al candidato l’informativa prima dell’avvio della fase di selezione
• limitare le informazioni alle sole riguardanti l’attitudine professionale, in stretta connessione con l’attività che dovrà svolgere il candidato
• effettuare il trattamento nel modo meno intrusivo possibile, nel rispetto dell’equo bilanciamento degli interessi

Comunicazione dei dati tra APL e Cliente

La trasmissione dei CV o di altri dati dei candidati da parte dell’APL al Cliente può avvenire senza necessità del consenso del candidato purché essa sia strettamente connessa «alla selezione/instaurazione dell’eventuale contratto di lavoro individuale e/o in esecuzione di obblighi di legge, di regolamento, di contratti collettivi».

Diffusione dei dati

Riguardo alla diffusione dei dati di candidati o del personale, nel codice di condotta viene precisato il generale divieto in mancanza di esplicito consenso dell’interessato «da manifestarsi con autorizzazione ad hoc e previa informativa completa circa le finalità, l’ambito di divulgazione e i mezzi utilizzati (es. pubblicazione del profilo professionale su Internet, pubblicazione dell’immagine mediante qualsiasi mezzo)».

Unica eccezione al requisito del consenso riguarda la divulgazione dei dati «strettamente indispensabili per l’esecuzione della prestazione lavorativa quali a titolo esemplificativo, l’affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle mansioni cui sono deputati i singoli dipendenti» (art. 8.5, cod. condotta).

La diffusione dei dati relativi alla salute è vietata in ogni caso (art. 2-septies, comma 8, cod. privacy).

Conservazione dei dati

Finalità	Categorie di dati/interessati	Termini di conservazione
Ricerca e selezione del personale	Dati comuni e sensibili di Candidati	All’atto dell’evidenza della non accettazione della proposta 48 mesi previa informativa e non opposizione del candidato
Gestione del rapporto di lavoro	Dati comuni e sensibili dei dipendenti	11 anni dalla cessazione del rapporto di lavoro Termini maggiori in presenza di specifici obblighi normativi o di particolari esigenze organizzative.

Tabella 2 – Tempi di conservazione dei dati riguardo alle finalità tipiche dei trattamenti in ambito lavorativo.

Il codice di condotta ribadisce il principio generale che spetta al titolare individuare «i termini di conservazione dei dati sulla base delle proprie esigenze organizzative nonché di previsioni normative applicabili ai trattamenti» (art. 9, cod. condotta).

I dati dei candidati vanno cancellati quando appare «evidente che non verrà fatta alcuna offerta di impiego o nel caso in cui l’offerta non venga accettata dal candidato», con la possibilità di conservare i dati per future opportunità previa informativa ai candidati che non vi si oppongono.

Con riferimento ai dati relativi ai candidati trattati nell’ambito delle attività delle APL, il codice di condotta prevede che esse «conservano i dati per un periodo di massimo 48 (quarantotto) mesi dall’ultima attività svolta per finalità connesse o strumentali allo svolgimento dell’attività di ricerca e selezione dei candidati (…), fatta salva la possibilità dell’interessato di poter chiedere in ogni momento la cancellazione». Prima della scadenza del termine di conservazione previsto, l’APL provvede all’aggiornamento periodico del database il quale può attuarsi, ad esempio, inviando una «e-mail ai Candidati contenenti il link all’informativa e chiare informazioni circa la possibilità di esercitare il diritto alla cancellazione dalla banca dati, fatti salvi gli ulteriori diritti degli interessati riconosciuti dalla legge».

Analoghe modalità possono essere tenute in considerazione da parte di qualsiasi impresa che effettui direttamente operazioni di ricerca e selezione del personale, insieme alla richiamata modalità di aggiornamento.

Con riferimento ai dati trattati nell’ambito del rapporto di lavoro, i titolari/datori di lavoro «conservano i dati per un periodo di 11 (undici) anni dalla cessazione del rapporto di lavoro. Tale termine è stato definito tenendo conto del termine di prescrizione ordinario previsto dalle disposizioni di legge (a titolo esemplificativo art. 2946 codice covile) con l’aggiunta di un anno, termine tecnico necessario affinché la cancellazione venga completata».

In presenza di specifici obblighi normativi o di particolari esigenze organizzative, da comprovare adeguatamente, i tempi di conservazione indicati potrebbero essere incrementati. D’altro canto, è da tenere presente che all’interno del fascicolo personale del dipendente potrebbero essere presenti informazioni il cui termine di conservazione sia significativamente inferiore (ad esempio, relative al rimborso note spese), nel rispetto del principio di limitazione della conservazione.

Documentazione di conformità

Il codice di condotta prevede l’obbligo dell’APL di conservare presso la propria sede sociale la documentazione aggiornata riguardante la conformità al Regolamento e al medesimo codice di condotta.

Il processo di aggiornamento della documentazione deve seguire una procedura formale di modifica che assicuri la conservazione nel tempo delle diverse versioni adottate.

Considerato che questo obbligo è diretta attuazione del principio di accountability esso costituisce un interessante riferimento per qualsiasi azienda titolare, sia per i trattamenti di dati del proprio personale sia per trattamenti di altra natura.