Codice di Condotta Agenzie per il Lavoro

Con il provvedimento n. 12 GPDP dell’11 gennaio 2024 [doc. web n. 9983415] il Garante ha approvato il codice di condotta per il settore delle agenzie per il lavoro. Si tratta di uno strumento di regolamentazione volontario. Il codice detta le regole per il corretto trattamento dei dati personali effettuato dalle agenzie nelle attività di:

  • intermediazione
  • ricerca e selezione del personale
  • somministrazione di lavoro
  • supporto alla ricollocazione

Ambito di applicazione e adesione

Il codice di condotta, promosso da Assolavoro, è stato pubblicato in G.U. il 6 marzo 2024 ed è efficace dal giorno successivo alla pubblicazione. Si applica a tutte le agenzie associate alla promotrice, ma possono aderirvi anche le agenzie non associate, purché con sede legale in Italia e iscritte all’Albo informatico Nazionale delle Agenzie per il Lavoro.

L’adesione è volontaria e richiede la compilazione on line della relativa domanda.

Il meccanismo di adesione e le relative istruzioni saranno messi a disposizione dei soggetti che intendono aderire sui siti internet di Assolavoro, www.assolavoro.eu, e dell’Organismo di Monitoraggio.

Effetti dell’adesione

L’adesione al codice non solleva l’agenzia dall’adempimento degli obblighi previsti dal GDPR e dal Codice privacy ma orienta nel senso della conformità alle regole vigenti e può essere valorizzata in termini di responsabilizzazione, in inglese “accountability. Tale principio fondamentale del Regolamento, che trova espressione, fra l’altro, agli artt. 5.2 e 24 GDPR, emerge infatti dalla volontaria adozione di pratiche uniformi già oggetto di un vaglio preliminare da parte dell’Autorità di controllo italiana.

Ruoli del trattamento delle Agenzie

Il codice di condotta agenzie per il lavoro chiarisce che nello svolgimento delle attività di tipiche (somministrazione lavoro, ricerca e selezione del personale, intermediazione e supporto alla ricollocazione professionale), l’agenzia è individuata come di titolare autonomo.

Nell’ambito di un incarico di outsourcing, trattando i dati per conto del cliente titolare, l’agenzia è invece qualificata come responsabile del trattamento e dovrà essere designata con contratto ex art. 28 GDPR.

Tutela degli interessati

Il codice introduce importanti previsioni a tutela dei candidati a posizioni lavorative. Detta regole in merito alla selezione degli stessi e alla raccolta dei loro dati personali, puntando a evitare possibili discriminazioni nell’accesso al mercato del lavoro. Le previsioni non aggiungono elementi di rilievo rispetto alla normativa già applicabile, ma contribuiscono a chiarirla sul piano operativo.

Categorie di dati

Il codice di condotta identifica le principali categorie di dati comuni trattati dalle agenzie. Ad es. i seguenti:

  • identificativi,
  • di contatto
  • esperienze professionali
  • titoli di studio
  • certificazioni
  • patenti
  • idoneità a svolgere determinate mansione.

Le agenzie trattano inoltre categorie particolari di dati. Ad es. i seguenti: dati idonei a rivelare lo stato di salute quali l’appartenenza a categorie protette o limitazioni allo svolgimento di determinate mansioni per disabilità e dati idonei a rivelare l’origine razziale ed etnica.

Occasionalmente, può venire in considerazione anche il trattamento di dati giudiziari.

Quanto ai dati particolari, è specificato, ad esempio, che nella fase di ricerca e selezione del personale tali dati possono essere trattati dalle agenzie solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare il rapporto di lavoro/collaborazione. Il codice ricorda altresì che, nel rispetto dell’art. 113 del Codice privacy e delle norme ivi richiamate, non possono essere effettuate indagini su opinioni politiche o sindacali etc. e su fatti non rilevanti ai fini dell’attività lavorativa.

Le agenzie devono astenersi totalmente dall’utilizzare informazioni eventualmente presenti nei CV ma non pertinenti alla finalità perseguita. Si tratta, a ben guardare, di un’applicazione del principio di minimizzazione.

La regola si trova già specificata dal Garante nelle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, cfr. provv. n. 146 del 5 giugno 2019 [9124510].

Quanto ai dati giudiziari il codice osserva che nella fase di instaurazione e gestione del rapporto di somministrazione di lavoro le agenzie possono trattare questa categoria di dati solo in presenza di una norma di legge, o nei casi previsti dalla legge, di regolamento, che autorizzi il trattamento (cfr. art. 2-octies d.lgs. 196/2003).

Può ad esempio essere il caso dell’obbligo, ex art. 2, d.lgs. 39/2014, di raccolta del certificato penale del casellario giudiziale nel caso di assunzione di lavoratori per lo svolgimento di attività che comportino contatti diretti e regolari con i minori.

Referenze professionali e illeciti disciplinari

Le agenzie possono raccogliere e comunicare ai propri clienti referenze professionali ottenute presso i precedenti datori di lavoro solo previa autorizzazione esplicita dell’interessato.

Il punto appare come una deroga volontaria degli aderenti rispetto all’art. 6.1.f) GDPR. Infatti non può astrattamente escludersi che costituisca interesse legittimo di un datore di lavoro conoscere le referenze del candidato, fermo restando l’obbligo di informativa. È disposto inoltre il divieto di trattare precedenti disciplinari o illeciti giudiziari, con la sola eccezione in cui siffatto trattamento sia imposto da una disposizione di legge.

Diffusione di dati

Il codice precisa che la diffusione dei dati è sempre vietata, salvo che non sia stato fornito dall’interessato un consenso “esplicito”, che non può quindi essere dedotto da comportamenti impliciti.

Informativa sul trattamento dei dati

Il codice chiarisce quali informazioni devono essere fornite agli interessati e il momento in cui fornirle. Precisa che tutte le informazioni devono essere reperibili in un unico luogo o in un documento completo e si premura di allegare un modello di informativa, non vincolante, ma di sicuro supporto per l’espletamento dell’obbligo informativo del titolare.

Raccolta dati presso l’interessato

In occasione dell’iscrizione sul portale web di una agenzia e al momento della raccolta dei dati (più precisamente prima della stessa) l’agenzia mette a disposizione dell’interessato un link all’informativa sul trattamento.

Raccolta dati a seguito di candidatura spontanea

Nei CV spontaneamente trasmessi dagli interessati non è dovuto il consenso al trattamento dei dati e le informazioni di cui all’art. 13 GDPR devono essere fornite al momento del primo contatto utile.

Raccolta dati presso terzi

Le agenzie possono avvalersi di informazioni pubbliche inerenti al profilo on line degli interessati solo se disponibili su social network di natura professionale, deve quindi ritenersi, per deduzione, esclusa ogni altra informazione pubblica eventualmente reperibile su social o siti generalisti.

Decisioni basate unicamente sul trattamento automatizzato

Il codice ribadisce la possibilità per le agenzie di effettuare i trattamenti automatizzati ove ciò sia necessario per lo svolgimento delle proprie attività ovvero previo consenso dell’interessato e valutazione d’impatto.

Devono, in ogni caso, essere adottate alcune misure di garanzia come ad esempio l’intervento umano e la possibilità per l’interessato di esprimere la propria opinione o contestare la decisione.

Organismo di Monitoraggio

L’organismo di monitoraggio, accreditato dal Garante con lo stesso provvedimento di approvazione del codice, è esterno all’organizzazione di Assolavoro. E’ composto da tre membri che devono avere riconosciuta esperienza giuridica e informatica in materia di tutela dei dati personali e approfondita conoscenza nello svolgimento di compiti di vigilanza.

L’organismo è dotato delle caratteristiche di onorabilità, indipendenza e imparzialità, come previsto dall’art. 41 GDPR e dall’All. 1 al provv. n. 98 del 10 giugno 2020 [9432569] del Garante, resta in carica per un periodo massimo di 5 anni, non rinnovabile.

Ha il compito di verificare la sussistenza dei requisiti necessari per l’adesione al codice e dell’assenza di circostanze ostative.

È altresì preposto alla ricezione, gestione e decisione dei reclami.

Nei confronti delle agenzie inadempienti, ad esito del procedimento di reclamo, l’organismo, in base alla gravità della violazione riscontrata, potrà adottare un invito a modificare la condotta, un richiamo formale, la sospensione temporanea o l’esclusione dal codice.

Metadati: il Garante può davvero prescrivere termini di conservazione?

Partiamo dall’inizio. Il 6 febbraio scorso il Garante per la protezione dei dati personali rende pubblico un documento d’indirizzo in ambito giuslavoristico con cui definisce in sette giorni prorogabili di ulteriori 48 ore il termine massimo di conservazione dei metadati delle comunicazioni di posta elettronica dei dipendenti.

Il passaggio compare ex abrupto nel corso di una ricostruzione fino a quel punto ineccepibile.

Il provvedimento ha sollevato ampio dibattito, come prevedibile visti gli impatti. Ci si è chiesti innanzitutto quale fosse la motivazione del termine suddetto (perché proprio 7 giorni?), che non è dato rilevare nell’atto, e come possano essere separati i metadati dalle email, visto che per “metadati” si intendono, fra l’altro, “giorno, ora, mittente, destinatario, oggetto e dimensione dell’email”.

Quelli menzionati sono componenti essenziali della corrispondenza elettronica, senza i quali essa cessa di essere tale e si trasforma in testo sciolto, privo di destinatari, mittenti, data, oggetto, inutilizzabile come strumento di lavoro. Ne deriva l’impossibilità pratica di attuazione, per chiunque.

In attesa di un’auspicabile precisazione dell’Autorità, che ne perimetri verosimilmente ragioni e campo effettivo di applicazione (ad esempio a casi particolari di conservazione specifica e dissociata dei metadati, il che ad oggi non emerge dal provvedimento), sia permesso affrontare la questione più a monte: può il Garante prescrivere termini di conservazione dei dati personali?

Il provvedimento in maggiore dettaglio

Innanzitutto, esaminiamo più in dettaglio il provvedimento, cominciando dalla sua genesi. A preoccupare l’Autorità sono i fornitori di applicativi informatici in cloud che raccolgono “per impostazione predefinita, in modo preventivo e generalizzato, i metadati relativi all’utilizzo degli account di posta elettronica in uso ai dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email), conservando gli stessi per un esteso arco temporale”.

La preoccupazione dell’Authority è commendevole, in un contesto dominato da giganti dell’informatica che impongono regole a tutti, preoccupandosi, talvolta, solo tangenzialmente della compatibilità normativa degli applicativi distribuiti sul mercato.

Tuttavia, oggetto del provvedimento del Garante non sono i grandi fornitori di software, a parte un garbato quanto incidentale invito nella parte finale. Avrebbero ben potuto esserlo, in qualità di responsabili del trattamento (raccolta dati personali in cloud), già individuati dall’Autorità, in merito ai quali si sospetta violazione dell’art. 32 GDPR.

Oggetto del provvedimento è invece la sterminata filiera a valle, i datori di lavoro, anche piccolissimi, che fanno uso di quegli applicativi, e spesso non possono realisticamente prescinderne.

Ora, la posta elettronica è pacificamente uno strumento utilizzato “dal lavoratore per rendere la prestazione lavorativa”, dunque è compreso nell’ambito applicativo dell’art. 4, co. 2 Stat. lavoratori, non richiede cioè preventivo accordo sindacale o autorizzazione dell’Ispettorato nazionale del lavoro.

È qui che interviene il ragionamento del Garante: allo scoccare di 7-9 giorni i metadati vanno cancellati, diversamente fuoriescono dall’alveo del secondo comma e vanno approvati/autorizzati ai sensi del primo comma.

Il passaggio tuttavia non convince sul piano logico, perché il fattore tempo non appare idoneo a modificare l’ontologia di uno strumento di lavoro. Se qualcosa è strumento di lavoro, tale resta, mentre l’ipotizzata eventuale eccessiva conservazione dei dati personali rileverà su altro piano, quello dell’art. 5.1.e) GDPR.

Veniamo con questo al tema principale: la competenza sull’osservanza dell’art. 5.1.e) GDPR è esclusivamente del titolare del trattamento, come indica il secondo paragrafo della disposizione unionale citata. È appunto il principio di accountability, o “responsabilizzazione”, richiamato peraltro anche nel provvedimento del Garante che ci occupa.

Il principio di accountability

Ebbene, accountability significa che è il titolare del trattamento, non il Garante, a determinare il termine massimo di conservazione dei dati personali e ad assumersene piena responsabilità. È un pilastro portante del Regolamento 2016/679 e non può essere messo in discussione.

Infatti, le disposizioni del GDPR che consentono una deroga all’art. 5 sono puntuali e circoscritte (es., art. 23 o art. 85 GDPR), e tra esse non figura l’art. 58, par. 6, ossia la previsione, declinata poi a livello nazionale nell’art. 154-bis cod. priv., su cui l’Authority ha costruito le linee guida di indirizzo qui in esame.

L’art. 58, par. 6 è norma di precisazione, non di deroga, cfr. altresì cons. 129: “Gli Stati membri possono precisare altri compiti”. Manca cioè il presupposto unionale per il potere esercitato dal Garante.

Manca altresì – ferma restando la prevalenza del Regolamento sulla legge nazionale – un presupposto normativo nello stesso codice privacy, dal momento che l’art. 154-bis, co. 1, lett. a) definisce, correttamente, il provvedimento di indirizzo del Garante come “linee guida”, dunque atto di illustrazione e ricostruzione della normativa, non atto di normazione secondaria.

Del resto, gli atti vincolanti delle autorità di controllo, per essere tali, devono recare una serie di elementi, tra cui la menzione del diritto a un ricorso effettivo per la loro impugnazione, a mente del considerando 129 GDPR, altrimenti sono appunto atti di illustrazione della disciplina applicabile, linee guida, pareri.

Ed effettivamente, tolto l’inserto precettivo relativo ai termini di conservazione di 7-9 giorni, il resto del provvedimento di indirizzo esaminato costituisce una pregevole linea guida.

In senso più generale, non pare potersi ravvisare un potere del Garante di sostituirsi al titolare del trattamento nell’applicazione dell’art. 5.2 GDPR neppure in ambito di videosorveglianza o di amministratore di sistema.

Va notato che perfino il legislatore nazionale, in ottemperanza alla regola dell’accountability, ha deciso nel 2018 di prescindere dall’allegato B, fino ad allora complemento essenziale del codice privacy.

Aggiornamento: avvio della consultazione pubblica

Con un provvedimento, un comunicato stampa e un avviso pubblico resi disponibili contestualmente in data 27 febbraio 2024, il Garante ha disposto:

  • l’avvio di una consultazione pubblica per raccogliere “osservazioni e proposte riguardo alla congruità” del termine di conservazione dei metadati, precedentemente indicato in 7-9 giorni, e “più in generale” sulle “forme e modalità di utilizzo di tali metadati”;
  • di “differire l’efficacia del documento di indirizzo”, che tuttavia non recava nessuna data di efficacia.

Risulta in tal modo rimessa in discussione l’ossatura stessa delle linee guida di indirizzo.

I partecipanti alla consultazione avranno 30 giorni dalla pubblicazione dell’avviso in Gazzetta Ufficiale per far pervenire le loro osservazioni via posta ordinaria o via email semplice a protocollo@gpdp.it oppure via pec a protocollo@pec.gpdp.it. Decorsi i 30 giorni, “il Garante si riserva di adottare ulteriori determinazioni o, in caso di mancata adozione di ulteriori determinazioni”, l’efficacia del documento di indirizzo viene automaticamente differita al sessantesimo giorno successivo la scadenza del termine per la presentazione dei contributi richiesti nell’ambito della consultazione medesima“.

Tutto bene dunque? È certamente positivo che il Garante abbia scelto di aprirsi alle osservazioni di “datori di lavoro pubblici e privati, esperti della disciplina di protezione dei dati e tutti i soggetti interessati” e che abbia optato per un approccio di prudenza su punti strutturali, per quanto le opinioni che saranno espresse dai partecipanti alla consultazione non “precostituiscono alcun titolo, condizione o vincolo” rispetto al Garante.

Il punto è che la pubblica consultazione non appare in sé idonea a sanare la situazione. Anche nell’irrealistica ipotesi che restituisca non un coacervo di posizioni diverse, ma una limpida convergenza di dottrina e interessati su un chiaro termine di conservazione, resta intatto il problema di compatibilità con il Regolamento di una durata del trattamento imposta preventivamente al titolare.

I termini di conservazione dei dati personali non possono essere stabiliti da altri a maggioranza né essere stabiliti dall’autorità di controllo in base all’opinione dei più, ma competono ex art. 5 GDPR unicamente al titolare del trattamento, a cui si chiede soltanto che siano congrui al conseguimento della finalità di raccolta, che ciascun titolare, individualmente, definisce e di cui, altrettanto individualmente, risponde.

Rimangono in definitiva immutate le perplessità sulle ragioni stesse dell’intera operazione di ricerca di termini imposti ex auctoritate.

Per la verità, anche la sottolineatura che l’efficacia del documento di indirizzo si intende sospesa fino, al più tardi, a sessanta giorni determina, a ben guardare, più incertezze di quante ne risolva, perché prolunga, a parere dello scrivente, un equivoco sulla vera natura del provvedimento di indirizzo, che non ha e non può avere le caratteristiche di un atto vincolante.

Manca di una base giuridica per esserlo, e, anche nell’ipotesi in cui lo fosse, dovrebbe recare termine e mezzo di impugnazione e offrirsi in tal modo alla verifica in sede giudiziaria.

L’art. 25 GDPR, un piccolo off-topic

In chiusura, e con un piccolo e spero perdonabile off-topic (ma non del tutto off), sia anche permesso osservare che l’art. 25 GDPR, ossia la disposizione che impone il principio della data protection by design e by default, pur richiamato più volte nel provvedimento citato – e alla cui osservanza è tenuto il titolare del trattamento, che deve comprovarlo, accountability ancora una volta – riceve applicazione disomogenea da parte del Garante, il che, è lecito desumerne, non contribuisce a una corretta comprensione della sua reale portata da parte dei consociati.

Infatti, da anni ormai l’art. 25 GDPR viene violato palesemente e quotidianamente da alcuni editori di testate giornalistiche online, senza che si intervenga.

Diciamolo qui chiaramente: i paywall – oltre a essere incompatibili con l’art. 7, ult. par. GDPR o in alternativa, e non è meno grave, a far figurare surrettiziamente come base “consenso” una base “contratto” – altro non sono che profilazione by default, alla quale ci si può sottrarre solo pagando un prezzo in denaro.

Questo è infatti il paywall: io ti profilo e ti faccio profilare (spesso da network di centinaia di terze parti, con trasferimento di dati in violazione del Capo V GDPR), oppure paghi. È lecito chiedere, rispettosamente, perché non si intervenga su violazioni così macroscopiche.

Eppure, la profilazione by default è, alla lettera, l’opposto della data protection by default, e ha innescato ormai un processo di disgregazione, probabilmente irreversibile, delle basi stesse del Regolamento.

La profilazione by default è infatti diventata pratica diffusa per note piattaforme social e ha capacità espansiva potenzialmente illimitata. Con la stessa logica, potremmo infatti avere profilazione by default per strutture sanitarie, scolastiche, banche, per professionisti, a meno di non corrispondere appunto un supplemento di prezzo.

Viene qui in evidenza un meccanismo evidentemente distruttivo dell’impianto unionale. E tuttavia, il paywall continua a essere praticato.