Curriculum e GDPR: basta con le formule sbagliate

Introduzione

Mi è stato richiesto da un ente di formazione accreditato dalla Regione Veneto di fornire il mio curriculum vitae in formato europeo. Nulla di strano, se non fosse che, tra le indicazioni obbligatorie da seguire, veniva richiesto espressamente di aggiungere alla fine del documento la seguente formula:

“Autorizzo il trattamento dei miei dati personali ai sensi del decreto GDPR 679/16 e DIR. 2002/58/CE. Dichiaro che il presente CV, redatto ai sensi degli articoli 46/47/49 del D.P.R. 445/00, contiene informazioni veritiere.”

Ho fatto notare che questa formula è sbagliata sotto diversi profili. Mi è stato risposto: “Bisogna fare così”.

Ed è proprio questo il punto: continuiamo a ripetere formule inutili, superate o del tutto scorrette, spesso per abitudine, altre volte per “sentito dire”. Ma quando queste richieste arrivano da enti pubblici, enti accreditati o selezionatori professionali, allora non è solo folklore: è un problema di cultura giuridica e di accountability.

Perché è sbagliata?

1. Il consenso non serve. Quando un candidato invia spontaneamente un CV in risposta a un’offerta o per autocandidatura, la base giuridica del trattamento dei dati non è il consenso, ma l’esecuzione di misure precontrattuali ai sensi dell’art. 6.1.b del GDPR.
   Nessuna “autorizzazione” o “consenso” è richiesto. Chi riceve il CV deve informare il candidato ai sensi dell’art. 13 GDPR, ma non deve (né può) chiedere un consenso inutile.

2. Il riferimento al “decreto GDPR 679/16” è errato.
   Il GDPR non è un decreto, ma un Regolamento europeo (Regolamento UE 2016/679). Chiamarlo “decreto GDPR 679/16” è giuridicamente scorretto.

3. La Direttiva 2002/58/CE (ePrivacy) non ha nulla a che fare con i dati contenuti in un CV. Riguarda la privacy nelle comunicazioni elettroniche, cookie, traffico dati e simili. È fuori contesto.

4. L’autodichiarazione ai sensi del D.P.R. 445/2000 è corretta e pertinente quando il CV è richiesto nell’ambito di procedimenti amministrativi formali, come nel caso di enti pubblici o soggetti accreditati. Diversamente, nel contesto di selezioni nel settore privato, si tratta spesso di un’aggiunta ridondante e impropria, introdotta per consuetudine ma priva di reale utilità giuridica.

Il paradosso?

Chi continua a usare (o peggio, richiedere) questa formula si espone a un rischio reputazionale non trascurabile. In particolare, se si occupa di risorse umane, formazione, o addirittura lavora nel mondo della compliance, dovrebbe conoscere la distinzione tra basi giuridiche del trattamento e consenso.

Insistere su formule sbagliate non tutela nessuno. Al contrario, è indice di una scarsa consapevolezza normativa, e crea confusione proprio dove servirebbe chiarezza.

La soluzione è semplice

• Chi riceve un CV e intende trattarne i dati personali (esaminare, selezionare, archiviare) è tenuto a fornire all’interessato un’informativa ai sensi dell’art. 13 GDPR.

• Chi invia un CV non deve includere formule di autorizzazione al trattamento.

• E soprattutto: le norme si leggono, non si inventano.

Quindi, se ancora oggi qualcuno vi chiede di “autorizzare il trattamento dei dati ai sensi del decreto GDPR”, potete rispondere con garbo, ma con fermezza: “Grazie, ma non è necessario”.