{"id":33317,"date":"2016-11-25T09:32:41","date_gmt":"2016-11-25T09:32:41","guid":{"rendered":"https:\/\/www.altamirahrm.com\/intervista-trattamento-dati-dipendenti-candidati\/"},"modified":"2026-03-27T17:09:25","modified_gmt":"2026-03-27T17:09:25","slug":"intervista-trattamento-dati-dipendenti-candidati","status":"publish","type":"post","link":"https:\/\/www.altamirahrm.com\/it\/blog\/intervista-trattamento-dati-dipendenti-candidati","title":{"rendered":"Trattamento dei dati di candidati e dipendenti: intervista a Nadia Martini"},"content":{"rendered":"<p>Tutte le aziende devono affrontare il delicato tema del trattamento dei dati di candidati e dipendenti.<\/p>\n<p>Anche Altamira, in quanto fornitrice di piattaforme HR, si sottopone regolarmente ad assessment presso studi legali accreditati specializzati nella tutela dei dati personali.<\/p>\n<p>Proprio su questi argomenti abbiamo intervistato il nostro avvocato di riferimento Nadia Martini, esperta di Data Protection e Privacy, Intellectual Property, Information Technologies, Compliance.<\/p>\n<p>Riteniamo, infatti, che tra il rischio di ingenti sanzioni e le nuove opportunit\u00e0 aperte dal nuovo regolamento europeo, i motivi per fare chiarezza su questi temi siano sempre maggiori.<\/p>\n<p>Per saperne di pi\u00f9, leggi l\u2019intervista riportata di seguito!<\/p>\n<p><\/p>\n<h4>Cosa deve fare un\u2019azienda per garantire un trattamento dei dati dei candidati in regola con il Nuovo Regolamento Europeo sul Trattamento dei Dati? <\/h4>\n<p>Il Nuovo Regolamento Europeo sul Trattamento dei Dati introduce diversi cambiamenti, nuovi obblighi e nuovi diritti (ne abbiamo trattato nel dettaglio in <a href=\"\/\/www.altamirahrm.com\/it\/blog\/nuovo-regolamento-europeo-protezione-dati\" title=\"Nuovo regolamento europeo sul trattamento dei dati\" target=\"_blank\" style=\"text-decoration:underline\" rel=\"noopener\">questo articolo<\/a>, <em>NdR<\/em>).<\/p>\n<p>L\u2019introduzione di questi nuovi obblighi e diritti va a impattare su documenti, procedure, misure di sicurezza e tutta l\u2019impalcatura della privacy che una azienda gi\u00e0 ha.<\/p>\n<p>La prima cosa da fare per un\u2019azienda \u00e8 quindi approfittare del primo strumento che il regolamento mette a disposizione per capire che cosa fare e come mettersi in regola: l\u2019<strong>assessment<\/strong> (articolo 34).<\/p>\n<p>Parlando di candidati e dipendenti, l\u2019assessment consiste nell\u2019analisi del trattamento dei loro dati fatta in azienda: vedere quali dati si trattano, mapparli, individuare il flusso, la fonte, come vengono trattati, finalit\u00e0 e modalit\u00e0 e individuazione del rischio. Si parte, quindi, da una valutazione della situazione <em>as is<\/em>. A questo punto si va a comparare quello che c\u2019\u00e8 con la normativa comunitaria e \u2013 gi\u00e0 che ci siamo \u2013 con quella nazionale, comunque in vigore fino al 2018.<\/p>\n<p>Si esegue quindi una analisi del <em>gap<\/em> (lo scarto) tra la situazione riscontrata e le normative, individuando le non conformit\u00e0.<\/p>\n<p>Nel caso in cui l\u2019azienda sia in linea con i requisiti, pu\u00f2 comunque dedicarsi ai miglioramenti, sfruttando il lavoro non per un fine di <em>compliance<\/em> ma di business. Alcune aziende, per esempio, mi chiedono se possono utilizzare i dati dei candidati a fini marketing e come farlo. Oppure vogliono creare un profilo di candidatura \u2013 una profilazione \u2013 e fare delle analisi statistiche profilate.<\/p>\n<p>Dopo aver individuato le non conformit\u00e0 si stabiliscono le azioni operative di correzione e miglioramento per poi passare alla parte pi\u00f9 dura, quella dell\u2019implementazione. In questa fase l\u2019importante \u00e8 adottare le migliori procedure per la propria azienda, a seconda del livello di rischio e dei trattamenti riscontrati.<\/p>\n<p>Ma che succede una volta finito? La novit\u00e0 interessante \u00e8 che ora l\u2019azienda pu\u00f2 far sapere a tutti di essere perfettamente in regola. Pu\u00f2 infatti pubblicizzarlo richiedendo una certificazione, un bollino di qualit\u00e0 a un ente apposito (come ci aspettavamo qualche settimana fa \u00e8 stata incaricata <a href=\"http:\/\/www.accredia.it\/\" target=\"_blank\" style=\"text-decoration:underline\" rel=\"noopener\">Accredia<\/a>).Grazie all\u2019assessment, l\u2019azienda avr\u00e0 gi\u00e0 in mano tutti i documenti necessari per ottenerlo.<\/p>\n<p>Questo bollino di qualit\u00e0 potr\u00e0 essere speso a livello di marketing, employer branding ecc.<\/p>\n<p><\/p>\n<h4>Sembrano esserci tante opinioni diverse sulla lunghezza del periodo di archiviazione dei dati dei candidati. Qual \u00e8 la sua posizione? Cambier\u00e0 con il Nuovo Regolamento Europeo sul Trattamento dei Dati?<\/h4>\n<p>La realt\u00e0 \u00e8 che non esiste una norma precisa che indichi per quanto tempo vadano conservati questi dati. Sia la normativa comunitaria che quella nazionale non danno una lunghezza precisa, ma entrambe parlano in maniera pi\u00f9 generale di tempo minimo necessario per permettere il trattamento dei dati dei candidati.<\/p>\n<p>In Italia c\u2019\u00e8 una buona prassi diffusa \u2013 che a mio avviso rimarr\u00e0 in vigore anche in futuro \u2013, per cui i dati personali dei candidati vengono conservati per 6 mesi, passati i quali si invia una email al candidato per informarlo dell\u2019imminente cancellazione del suo account in quanto quasi \u201cscaduto\u201d. Per evitarlo, il candidato pu\u00f2 aggiornare i suoi dati o esprimere in altro modo il suo interesse a permanere nel database dell\u2019azienda.<\/p>\n<p>In sostanza, quando non c\u2019\u00e8 pi\u00f9 l\u2019esigenza, decade anche la necessit\u00e0 del trattamento dei dati.<\/p>\n<p>La stessa logica si applica ai dipendenti. I dati ovviamente vengono conservati per tutta la durata del contratto di lavoro in quanto indispensabili per una serie di necessit\u00e0.<\/p>\n<p>Cessato il rapporto con i dipendenti, a mio avviso l\u2019azienda li pu\u00f2 tenere per 10 anni per finalit\u00e0 fiscali, contabili ecc. e per 5 anni per finalit\u00e0 di pagamento contributi, perch\u00e9 la prescrizione l\u00ec \u00e8 pi\u00f9 breve.<\/p>\n<p><\/p>\n<h4>Per quanto riguarda i dipendenti, \u00e8 corretto affermare che l\u2019azienda pu\u00f2 raccogliere tutti i dati che desidera?<\/h4>\n<p>La cosa fondamentale \u00e8 fare un match tra il dato che l\u2019azienda vuole raccogliere e la necessit\u00e0 del trattamento. Se quei dati che l\u2019azienda raccoglie servono per esempio per gestire i rapporti di lavoro, per la candidatura, per pagare i contributi, per gestire eventuali contenziosi, per permettere l\u2019accesso all\u2019azienda stessa con il badge ecc. \u00e8 chiaramente possibile raccoglierli e utilizzarli.<\/p>\n<p>In altri casi questa necessit\u00e0 non c\u2019\u00e8 o non c\u2019\u00e8 pi\u00f9. Per esempio, adesso nel certificato medico inviato all\u2019azienda non \u00e8 pi\u00f9 presente l\u2019indicazione della malattia. Questa informazione rimane esclusivamente nel rapporto tra il paziente e il suo medico, che manda la comunicazione all\u2019azienda in forma pi\u00f9 anonima.<\/p>\n<p>Facciamo un altro esempio. Se un\u2019azienda paga emolumenti aggiuntivi per le donne incinte, chiaramente deve sapere chi lo \u00e8.\u00a0Questo dato, anche se sensibile, diviene quindi necessario, altrimenti l\u2019azienda non potrebbe sapere a chi concedere l\u2019aspettativa ecc.<\/p>\n<p>Il suggerimento, ricapitolando, \u00e8 quello di guardare ogni dato che vogliamo raccogliere e vincolarlo a una finalit\u00e0 per l\u2019azienda.<\/p>\n<p>Tutto questo confluisce nell\u2019informativa sulla privacy, che non \u00e8 un semplice documento ma una vera e propria fotografia del trattamento che vuoi fare. Ecco perch\u00e9 \u00e8 utile!<\/p>\n<p><\/p>\n<h4>\u00c8 possibile per altri dipendenti trattare i dati di colleghi?<\/h4>\n<p>Mettiamo il caso che un dipendente sia malato a casa e un collega debba accedere al suo PC per recuperare dei documenti che non sono stati salvati sulla rete aziendale.<\/p>\n<p>In questo caso la normativa nazionale prevede due modi per autorizzare il trattamento, che verosimilmente saranno confermati anche dalla normativa comunitaria.<\/p>\n<p>Il primo \u00e8 informare il dipendente i cui dati vengono trattati con qualche riga all\u2019interno della informativa sulla privacy.<\/p>\n<p>L\u2019azienda o un responsabile interno possono nominare uno o pi\u00f9 dipendenti come sostituti nel caso in cui il dipendente X sia assente o come incaricati, per esempio, della gestione delle password di accesso ai PC. In caso di assenza di quel dipendente o di emergenza queste persone potranno quindi accedere al suo PC e guardarne i contenuti.<\/p>\n<p>Una grande soluzione, a mio avviso, \u00e8 arrivata l\u2019anno scorso con il Jobs Act, articolo 4 comma 2, che d\u00e0 la possibilit\u00e0 al titolare di accedere ai dati raccolti dagli strumenti aziendali usati dal dipendente \u2013 per esempio uno smartphone o un PC. Per poterlo fare il titolare deve redigere un regolamento per l\u2019uso degli strumenti aziendali. In questo regolamento specifica le modalit\u00e0 d\u2019uso degli strumenti e informa di potere, in situazioni di anomalia o emergenza ben documentate, accedere a campione ai dati conservati sui dispositivi usati dai dipendenti.<\/p>\n<p>\u00c8 importante sottolineare che non si tratta di un controllo a distanza, ma di un controllo a campione giustificato dalle situazioni di emergenza illustrate nel documento.<\/p>\n<p>In questo caso il titolare nominer\u00e0 l\u2019amministratore di sistema, tendenzialmente il responsabile IT dell\u2019azienda, come incaricato a fare questi controlli a campione e ad accedere ai dati dei dipendenti.<\/p>\n<p>In definitiva, serviranno diversi documenti ben fatti: l\u2019informativa sul trattamento dei dati, il regolamento sull\u2019uso degli strumenti aziendali e la nomina di amministratore di sistema.<\/p>\n<p><\/p>\n<h4>Quali garanzie deve dare un fornitore esterno per poter procedere al trattamento dei dati dei dipendenti e candidati di una azienda?<\/h4>\n<p>Il fornitore esterno deve essere nominato dall\u2019azienda responsabile esterno al trattamento dei dati tramite un apposito contratto \u2013 in Italia chiamato Nomina. In questo contratto l\u2019azienda specifica le garanzie che il responsabile deve darle sul lavoro che svolge per essa.<\/p>\n<p>Nel caso specifico di una piattaforma elettronica in cui vengono archiviati tutti i dati dei dipendenti, il titolare dovr\u00e0 richiedere nella nomina tutta una serie di misure di sicurezza, che il responsabile esterno dovr\u00e0 adottare.<\/p>\n<p>Per la normativa italiana vigente, le misure di sicurezza sono quelle previste dall\u2019articolo 31, 34 e 35 del codice privacy. Si tratta tendenzialmente di misure tecnologiche, di autentificazione, di separazione dei dati sensibili dai non sensibili (se ha senso), della gestione del firewall, dell\u2019antivirus, del backup e di tutte quelle misure che il responsabile ritiene opportune per la situazione di rischio.<\/p>\n<p>Tendenzialmente, una azienda non pu\u00f2 conoscere in anticipo la situazione di rischio del responsabile ma deve fidarsi assumendosene il rischio.<\/p>\n<p>Quello che suggerisco di fare durante la negoziazione del contratto di fornitura \u00e8 richiedere un documento (in Italia si chiamava documento programmatico sulla sicurezza) che elenchi tutte le misure tecnologiche e non adottate dal provider per vedere se sta adottando solo le misure minime previste dalla nostra normativa nazionale o quelle idonee che il regolamento europeo chiede e chieder\u00e0, per esempio la cifratura, la pseudoanonimizzazione e il criptaggio.<\/p>\n<p>Se ho davanti un provider che non ha solo firewall, antivirus e backup ma anche pseudoanonimizzazione e criptaggio posso stare molto pi\u00f9 tranquilla.<\/p>\n<p>Queste misure pi\u00f9 avanzate diventano obbligatorie dal 2018 ma questo non vuol dire che non possiamo adottarle gi\u00e0 da ora per essere pi\u00f9 sicuri.<\/p>\n<p>Un\u2019altra cosa importante \u00e8 verificare dove sono i server: se si trovano in India o nell\u2019Europa dell\u2019Est, qualche dubbio mi verrebbe perch\u00e9 \u00e8 sicuramente un indice di rischio.<\/p>\n<p><\/p>\n<h4>Si pu\u00f2 effettuare il trattamento dei dati con paesi extra UE?<\/h4>\n<p>\u00c8 sempre possibile effettuare il trasferimento dei dati di dipendenti e candidati verso aziende extra UE. L\u2019importante \u00e8 avere le giuste accortezze, sia nel rispetto della norma comunitaria che di quella nazionale, che su questo punto sono fondamentalmente allineate.<\/p>\n<p>La prima cosa da verificare \u00e8 di quale Paese si stia parlando e se l\u2019Unione Europea ha emanato una decisione di adeguatezza nei suoi confronti.<\/p>\n<p>La Svizzera, per esempio, \u00e8 un Paese adeguato e in quanto tale possiamo tranquillamente trasmettere i dati verso di esso. Devo solo informare il dipendente, senza alcun bisogno di richiedere il suo permesso e menzionando la decisione dell\u2019UE che mi permette il trasferimento.<\/p>\n<p>Possono per\u00f2 esserci nazioni considerate non in linea con la normativa privacy europea. In questo caso l\u2019azienda ha di fronte una serie di possibili soluzioni, di cui vale la pena menzionarne due.<\/p>\n<p>1) La mia preferita. Raggiungo un accordo con l\u2019azienda extra UE a cui trasferisco i dati e inserisco all\u2019interno della informativa le apposite <em>standard contractual clauses<\/em>. Le <em>standard contractual clauses<\/em> sono quelle clausole approvate dalla Commissione e visibili sul suo sito \u2013 quindi pubbliche \u2013 che regolamentano il comportamento da tenere nelle diverse situazioni.<\/p>\n<p>In questo caso non c\u2019\u00e8 bisogno del consenso del dipendente, ma va comunque informato. Quindi all\u2019interno dell\u2019informativa informer\u00f2 candidati e dipendenti che i loro dati possono essere trasferiti extra UE e lo saranno sulla base di <em>standard contractual clauses<\/em> approvate dalla Commissione Europea.<\/p>\n<p>2) Un metodo che non suggerisco mai ma \u00e8 il pi\u00f9 usato in Italia.<\/p>\n<p>Secondo questa prassi, l\u2019azienda inserisce la clausola sul trasferimento dati extra UE all\u2019interno della informativa privacy che sottopone al dipendente. Il consenso deve essere specificatamente espresso perch\u00e9 questo tipo di trattamento abbia valore.<\/p>\n<p>Il problema di questo metodo sta nel fatto che, in realt\u00e0, il consenso dato deve essere libero per principio. Ma in un caso come questo, in cui il consenso \u00e8 richiesto come condizione indispensabile per l\u2019assunzione, difficilmente lo si pu\u00f2 definire tale.<\/p>\n<p>Si tratta, insomma, di una soluzione ambigua e poco amata dai sindacati e non c\u2019\u00e8 ragione di perseguirla quando esistono semplici soluzioni alternative come le <em>standard contractual clauses<\/em>.<\/p>\n<p>Corri il rischio, inoltre, che in futuro il dipendente possa recriminare di averti dato quel consenso in maniera non libera. In questo caso, l\u2019azienda si espone a una possibile sanzione fino a 120.000 euro per consenso estorto con rischio penale e civile.<\/p>\n<p><\/p>\n<p p style=\"font-size:10px\"><i>Crediti fotografici: \u00a9blue_island\/Fotolia<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tutte le aziende devono affrontare il delicato tema del trattamento dei dati di candidati e dipendenti. Anche Altamira, in quanto fornitrice di piattaforme HR, si sottopone regolarmente ad assessment presso studi legali accreditati specializzati nella tutela dei dati personali. Proprio su questi argomenti abbiamo intervistato il nostro avvocato di riferimento Nadia Martini, esperta di Data [&hellip;]<\/p>\n","protected":false},"author":39,"featured_media":33318,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[372,374,365],"tags":[],"class_list":["post-33317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gestione-del-personale","category-ricerca-e-selezione","category-hr-online-it"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/posts\/33317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/users\/39"}],"replies":[{"embeddable":true,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/comments?post=33317"}],"version-history":[{"count":1,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/posts\/33317\/revisions"}],"predecessor-version":[{"id":63028,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/posts\/33317\/revisions\/63028"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/media\/33318"}],"wp:attachment":[{"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/media?parent=33317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/categories?post=33317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.altamirahrm.com\/it\/wp-json\/wp\/v2\/tags?post=33317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}