Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Attività di ricerca e selezione del personale e trattamento dei dati personali - 4 aprile 2013 [2484965]

[doc. web n. 2484965]

Attività di ricerca e selezione del personale e trattamento dei dati personali - 4 aprile 2013

Registro dei provvedimenti
n. 162 del 4 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali);

ESAMINATE le risultanze istruttorie degli accertamenti effettuati a seguito della segnalazione presentata da XY;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. Segnalazione relativa al trattamento di dati mediante l'acquisizione di copia del documento d'identità

Con segnalazione del 3 agosto 2012 XY ha lamentato una possibile violazione della disciplina di protezione dei dati personali in relazione all'acquisizione, da parte della filiale di Ancona di Umana s.p.a., di copia del proprio documento di identità in occasione dello svolgimento di un "colloquio conoscitivo" effettuato dopo aver inserito i propri dati personali nel sito web della società.

Il segnalante ha chiesto a questa Autorità di verificare la liceità del di tale trattamento (cui lo stesso, peraltro, anche in considerazione della propria posizione di candidato, aveva consentito in occasione del colloquio) alla luce del principio di pertinenza e non eccedenza di cui all'art. 11, comma 1, lett. d) del Codice.

2. Le risposte della società

2.1. La società, con le note di riscontro presentate in data 6 settembre e 22 novembre 2012, ha rappresentato:

a. di essere iscritta nell'Albo informatico delle Agenzie per il lavoro (le cui modalità di iscrizione sono disciplinate dal decreto 23 dicembre 2003 del Ministero del lavoro e delle politiche sociali);

b.  di essere autorizzata (autorizzazione del 13 dicembre 2004, in atti) all'esercizio di tutte le attività di cui all'articolo 4, comma 1, lett. a), d.lg. 10 settembre 2003, n. 276 ("Attuazione delle deleghe in materia di occupazione e mercato del lavoro, di cui alla legge 14 febbraio 2003, n. 30"). Nell'ambito dello svolgimento delle menzionate attività, secondo quanto rappresentato, "la richiesta di copia del documento di identità ha lo scopo di consentire la verifica della correttezza dei dati anagrafici forniti dal candidato. Tali dati, infatti, in caso di instaurazione di un rapporto di lavoro, devono essere comunicati ad enti e soggetti, anche di natura pubblica, e la scrivente si trova a dover garantire la correttezza delle informazioni raccolte" (nota del 6 settembre 2012).

2.2. La società, rispondendo all'ulteriore specifica richiesta formulata dall'Ufficio circa le ragioni che determinerebbero, già in fase di selezione dei candidati, la necessità di acquisire copia del documento di identità (senza limitarsi alla sua sola esibizione per verificare l'identità del candidato o del lavoratore), ha specificato che "stante l'afflusso di persone in cerca di occupazione […] l'acquisizione del documento di identità in fotocopia permette di svolgere un più accurato controllo, in un secondo momento, dell'esattezza dei dati trascritti. […] la correttezza dei dati è indispensabile per la preventiva redazione del contratto di lavoro. Infatti, in molti casi, il candidato viene accompagnato o gli viene richiesto di presentarsi presso la società utilizzatrice richiedente la somministrazione, anche in orari fuori ufficio […]" (cfr. nota del 22 novembre 2012).

3. Liceità, pertinenza e non eccedenza del trattamento effettuato

3.1 La società, in base alla disciplina di settore che ha istituito uno specifico regime autorizzatorio in ordine allo svolgimento delle attività delle c.d. agenzie per il lavoro (cfr. d.lg. n. 276/2003, spec. art. 4), risulta dalla documentazione in atti, autorizzata a svolgere, tra le altre, l'attività di intermediazione in materia di lavoro (consistente nella "mediazione tra domanda e offerta di lavoro […] comprensiva tra l'altro: della raccolta dei curricula dei potenziali lavoratori; della preselezione e costituzione di relativa banca dati; della promozione e gestione dell'incontro tra domanda e offerta di lavoro; della effettuazione, su richiesta del committente, di tutte le comunicazioni conseguenti alle assunzioni avvenute a seguito della attività di intermediazione; dell'orientamento professionale; della progettazione ed erogazione di attività formative finalizzate all'inserimento lavorativo" ex art. 2, comma 1, lett. b), d.lg. n. 276/2003).

In relazione allo svolgimento di tale attività, devono ritenersi lecite le operazioni poste in essere dagli incaricati della società necessarie alla corretta identificazione, a seconda dei casi, dei candidati che ad essa si rivolgono, essendo ciò prodromico e funzionale all'esecuzione delle prestazioni facenti capo alla società. L'identità dell'interessato, ove non già nota, può quindi essere verificata chiedendo l'esibizione di un documento di identità ed eventualmente annotandone gli estremi al fine di provare la diligente esecuzione della prestazione dovuta.

Per effettuare tali operazioni di trattamento, che risultano pertinenti e non eccedenti ai sensi dell'art. 11, comma 1, lett. d), del Codice, non è peraltro necessario il consenso dell'interessato, essendo le stesse strumentali ad "eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato" (art. 24, comma 1, lett. b), del Codice).

3.2. Tanto premesso, deve ritenersi invece eccedente (ai sensi dell'art. 11, comma 1, lett. d), del Codice), con riguardo alla vicenda oggetto di segnalazione ‒ concernente l'attività di raccolta dei curricula di candidati allo scopo di effettuare una preselezione e costituire un'apposita banca dati (come previsto in termini generali dalla citata normativa di riferimento) ‒, l'acquisizione e la successiva conservazione di copia del documento di identità dell'interessato (senza peraltro che sia previsto un termine massimo di conservazione dello stesso).

Né può ritenersi sufficiente a legittimare l'acquisizione e la successiva conservazione di copia di documenti identificativi ‒ come allegato dalla società ‒ la possibilità di riservarsi "un più accurato controllo, in un secondo momento, dell'esattezza dei dati trascritti" (nota del 22 novembre 2012). La qualità dei dati (nel rispetto del principio di pertinenza e non eccedenza) deve infatti essere assicurata, mediante opportune misure organizzative (volte peraltro ad assicurare la corretta identificazione degli interessati), fin dal momento della raccolta e registrazione dei dati personali, limitando la raccolta ai soli dati pertinenti e prevenendo, in pari tempo, il rischio di smarrimento della documentazione acquisita in copia. Ciò anche alla luce del numero elevato – stando alle dichiarazioni della società circa il sensibile incremento delle persone in cerca di occupazione che chiedono di usufruire dei servizi offerti dalla stessa – di copie di documenti di identità, che contengono peraltro anche dati personali non rilevanti per il conseguimento delle finalità perseguite dalla società (si pensi alla fotografia dell'interessato ma, a seconda del documento in questione, eventualmente anche di ulteriori informazioni quali le caratteristiche fisiche e lo stato civile).

A ciò si aggiunga che, in considerazione del preoccupante fenomeno del c.d. furto di identità ‒ che anche nell'ordinamento nazionale ha richiesto l'adozione di apposite misure normative volte alla sua prevenzione e contrasto (cfr. d.lg. 11 aprile 2011, n. 64, Ulteriori modifiche ed integrazioni al decreto legislativo 13 agosto 2010, n. 141, per l'istituzione di un sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al furto d'identità) ‒, la massima cautela deve imporsi nell'acquisizione di copie di documenti di identità, limitandola ai casi in cui puntuali previsioni normative ne richiedano l'acquisizione – ipotesi la cui ricorrenza, nel caso di specie, non è stata rappresentata dal titolare del trattamento – ovvero ne risulti provata l'indispensabilità (in questo senso cfr. già, nel contesto bancario, Provv. 27 ottobre 2005, in www.garanteprivacy.it, doc. web n. 1189435).

Tale orientamento, peraltro, trova riscontro nelle puntuali disposizioni normative che espressamente prevedono, in alcuni specifici contesti, obblighi puntuali per il titolare del trattamento di acquisizione e conservazione di copia del documento identificativo (cfr., ad esempio, art. 7, comma 5, D.M. Ministero dello sviluppo economico 28 dicembre-2012, Incentivazione della produzione di energia termica da fonti rinnovabili ed interventi di efficienza energetica di piccole dimensioni; art. 7, comma 3, D.Dirett. Ministero delle politiche agricole, alimentari e forestali 27 settembre 2012, Individuazione delle iniziative da attuare per la realizzazione delle attività prioritarie per lo sviluppo della filiera pesca definite dall'articolo 1 del decreto 19 settembre 2012; art. 5, D.M. Ministero dell'economia e delle finanze 20 giugno 2012 n. 144, Regolamento concernente le modalità di iscrizione e cancellazione dal Registro dei revisori legali, in applicazione dell'articolo 6 del decreto legislativo 27 gennaio 2010, n. 39, recante attuazione della direttiva 2006/43/CE relativa alle revisioni legali dei conti annuali e dei conti consolidati; artt. 38 comma 3 e 45, comma 2, d.P.R. 28 dicembre 2000, n. 445, rispetto alle modalità per identificare i cittadini da parte di organi della pubblica amministrazione e di gestori di pubblici servizi; art. 6, comma 2, d.l. 27 luglio 2005, n. 144, conv. in l. 31 luglio 2005, n. 155, in materia di contrasto del terrorismo internazionale e in riferimento all'identificazione di schede elettroniche s.i.m.").

3.3 Alla luce di quanto esposto, si ritiene che il trattamento dei dati personali consistente nella conservazione di copia del documento identificativo nello svolgimento delle prestazioni rese dalla società nell'ambito dell'attività di intermediazione in materia di lavoro (oggetto della segnalazione), si ponga in violazione del principio di pertinenza e non eccedenza rispetto agli scopi legittimamente perseguiti (art. 11, comma 1, lett. d), del Codice). Conseguentemente, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, il Garante ritiene di doverne vietare l'ulteriore trattamento per la menzionata finalità, con effetto immediato dalla data di ricezione del presente provvedimento.

Si ritiene altresì di dover prescrivere alla società, quale misura necessaria nell'ambito dello svolgimento dell'attività di ricerca e selezione del personale, al fine di rendere il trattamento conforme alle disposizioni vigenti ai sensi dell'art. 154, comma 1, lett. c), del Codice, di procedere all'identificazione dei candidati secondo le modalità indicate nel presente provvedimento, senza provvedere alla conservazione di documenti identificativi dei candidati, in applicazione del principio di pertinenza e non eccedenza di cui all'art. 11, comma 1, lett. d), del Codice.

4. Prescrizioni circa l'informativa da rendere agli interessati

Deve infine rilevarsi che, il modello presente in atti predisposto dalla società con il quale viene resa l'informativa agli interessati (denominato "Informativa sulla privacy per i candidati") presenta alcune contraddizioni in ordine al profilo dei tempi di conservazione dei dati trattati dalla società: mentre, correttamente da un lato si precisa – pur senza indicare un definito intervallo temporale – che "il trattamento avrà una durata non superiore a quella necessaria agli scopi per i quali i dati sono stati raccolti", in corrispondenza dell'acquisizione del consenso informato da parte dell'interessato (cfr. punto 2 del modello) ricorre invece la seguente diversa locuzione: l'interessato "autorizza UMANA s.p.a. ad effettuare il trattamento dei dati fino a quando ritenuto utile dall'azienda […]". Tale ultima formulazione non è conforme alla disciplina vigente in materia di protezione dei dati personali, in base alla quale i dati personali "devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati" (art. 11, comma 1, lett. e), del Codice).

Pertanto il Garante prescrivere a Umana s.p.a., quale misura necessaria al fine di rendere il trattamento conforme alle disposizioni vigenti ai sensi dell'art. 154, comma 1, lett. c), del Codice di modificare l'informativa resa agli interessati con riguardo alla determinazione del termine di conservazione dei dati.

In caso di inosservanza del presente provvedimento, si renderanno applicabili le sanzioni di cui agli artt. 162, comma 2-ter e 170 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti di Umana s.p.a.:

1. vieta, ai sensi degli artt. 154, comma 1, lett. d), 144 e 143, comma 1, lett. c), del Codice, l'ulteriore conservazione di copia del documento di identità del segnalante (punto 3.3);

2. prescrive, ai sensi degli artt. 154, comma 1, lett. c), 144 e 143, comma 1, lett. b), del Codice:

a. quale misura necessaria nell'ambito dello svolgimento dell'attività di ricerca e selezione del personale, di procedere all'identificazione dei candidati secondo le modalità indicate nel presente provvedimento, senza provvedere altresì alla conservazione di documenti identificativi dei candidati (punto 3.3);

b. quale misura necessaria al fine di rendere il trattamento conforme alle disposizioni vigenti ai sensi dell'art. 154, comma 1, lett. c), del Codice di modificare l'informativa resa agli interessati con riguardo alla determinazione del termine di conservazione dei dati (punto 4).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 4 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia