Come avrai sicuramente saputo, l’UE ha introdotto nuove direttive sulla protezione dei dati (GDPR = Regolamento generale sulla protezione dei dati) a partire dal 25.05.2018. Questo ha portato a diverse domande non solo da parte dei nostri clienti stranieri, ma anche da parte dei nostri clienti svizzeri.
Abbiamo raccolto queste domande e vogliamo risponderti con questo articolo. Tieni presente che questo articolo non può rispondere in modo esaustivo a tutte le domande, poiché il tema è in continua evoluzione. Inoltre, con questo articolo possiamo fornirti solo raccomandazioni che non hanno carattere giuridicamente vincolante.
Le situazioni giuridiche possono variare da azienda ad azienda. In caso di dubbio, chiarisci assolutamente le tue questioni legali con un professionista competente.
Sei interessato dal GDPR?
Sono interessate in linea di principio tutte le aziende degli Stati membri dell’UE, ma anche le aziende al di fuori dell’UE (come la Svizzera) che memorizzano e trattano dati personali di cittadini dell’UE. Se ricevi candidature da cittadini dell’UE, la tua azienda è interessata dalle nuove normative.
Le differenze tra la LPD svizzera (Legge federale sulla protezione dei dati) e il GDPR sono grandi?
Le due leggi sono molto simili in linea di principio, ma differiscono in parte notevolmente nei dettagli. Entrambe hanno in comune l’obiettivo di proteggere i dati personali nell’era digitale. La Svizzera adotterà in gran parte il GDPR a medio termine. Le relative modifiche legislative sono già in fase di pianificazione. Questo è un ulteriore motivo per cui dovresti occuparti della nuova situazione legislativa già oggi.
Devi pubblicare le direttive sulla protezione dei dati sul tuo sito web?
È vivamente consigliato, poiché il GDPR presume che già durante la visita al tuo sito web potrebbero essere memorizzati dati personali. Questo è il caso, ad esempio, quando il sito web della tua azienda utilizza i cosiddetti cookie per memorizzare determinate informazioni sul visitatore del sito. Inoltre, anche la legge svizzera sulla protezione dei dati richiederà che tu informi in modo proattivo sulla protezione dei dati e che lo faccia nel modo più semplice possibile, come ad esempio un documento pubblico sul tuo sito web.
Cosa cambia per il processo di reclutamento con la nuova normativa?
Se ricevi dati di candidati (in particolare da persone dell’UE), devi informare i candidati prima della memorizzazione che intendi conservare i dati trasmessi. Se ricevi i documenti di candidatura via e-mail, questo non è nemmeno possibile, poiché i dati sono già memorizzati sui tuoi sistemi IT (o su quelli del tuo provider di posta elettronica).
Oltre a questa situazione paradossale, i candidati devono dare il consenso esplicito alla memorizzazione dei dati.
La nostra raccomandazione per questa situazione:
Continua a elaborare le candidature che ricevi via e-mail come al solito. I candidati ti hanno inviato attivamente i documenti, il che fa presumere che abbiano interesse a che tu elabori i dati nel loro interesse (i dati vengono utilizzati solo ai fini della candidatura).
Conferma ai candidati l’elaborazione dei dati con la lettera di conferma inviata, aggiungendo il seguente testo di esempio come disclaimer all’e-mail:
Esempio di testo:
Ai sensi della legge sulla protezione dei dati vigente, ti informiamo che i tuoi documenti di candidatura vengono memorizzati ed elaborati da noi. I dati vengono elaborati solo per lo scopo della candidatura da te determinato. Puoi trovare le direttive complete sulla protezione dei dati della nostra azienda qui (link alle direttive sulla protezione dei dati della tua azienda).
Puoi naturalmente integrare facilmente questo testo una volta nei tuoi modelli di risposta che hai salvato nel tuo account Ostendis.
Ci sono altre possibilità che possono essere messe a disposizione dei candidati per una trasmissione dei dati conforme al GDPR?
Ostendis ti mette a disposizione Ostendis CVdropper™ per ricevere le candidature dai candidati. Ostendis CVdropper™ è un innovativo modulo di candidatura che puoi mettere a disposizione dei candidati in modo semplice, senza integrazione sul tuo sito web. Non è strutturato come un classico modulo di candidatura sempre più sconsigliato, poiché è necessario indicare solo l’indirizzo e-mail e tutti i documenti possono essere trascinati in una casella tramite drag&drop. Il servizio di importazione Ostendis elabora quindi questi dati, come nel caso dell’inoltro e-mail da parte tua a [email protected].
Dal punto di vista pratico, questo offre ai candidati un modo molto semplice e invitante per candidarsi presso di te. Per te viene eliminato il passaggio dell’inoltro e-mail, risparmiando ancora più tempo.
Dal punto di vista giuridico, Ostendis CVdropper™ offre un grande vantaggio: puoi, come richiesto dal GDPR, mettere a disposizione del candidato le tue direttive sulla protezione dei dati prima dell’invio dei documenti di candidatura e il candidato deve confermarle esplicitamente con un clic del mouse prima dell’invio.
Per ulteriori informazioni sull’utilizzo di Ostendis CVdropper™ nella tua azienda, puoi contattarci.
Devi adattare le tue direttive sulla protezione dei dati se elabori i dati dei candidati con Ostendis?
A causa della trasparenza richiesta dalle leggi, è opportuno indicare nelle tue direttive sulla protezione dei dati che memorizzi i documenti di candidatura presso Ostendis e li elabori attraverso le possibilità da noi offerte. Si tratta di un cosiddetto trattamento dei dati su incarico (Art. 28 GDPR). Puoi informare i candidati come segue nelle tue direttive sulla protezione dei dati:
Esempio di testo:
La nostra azienda lavora con la soluzione di e-recruiting di Ostendis AG, CH-5706 Boniswil (UID: CHE-102.097.261), che si occupa della memorizzazione dei dati relativi ai documenti di candidatura e offre processi per l’elaborazione di questi dati nell’ambito di un trattamento dei dati su incarico. I dati personali non vengono analizzati in dettaglio automaticamente (profilazione) né vengono utilizzate procedure automatizzate di elaborazione dei dati per il processo decisionale (matching). Ulteriori informazioni e le direttive sulla protezione dei dati di Ostendis AG sono disponibili su www.ostendis.com.
È consentito conservare i dati dei candidati per poterli contattare in caso di ulteriore necessità?
In linea di principio, sei obbligato a cancellare i documenti di candidatura dopo la conclusione del processo di reclutamento. Tuttavia, il processo può durare alcuni giorni o alcuni mesi. Pertanto, la legge non prevede un periodo di tempo assoluto.
Ciò che sicuramente non è consentito: raccogliere dati dei candidati a scopo preventivo. Quindi semplicemente memorizzare tutti i dossier che ricevi e conservarli indefinitamente senza motivo.
Tuttavia, se hai ricevuto un dossier di candidatura interessante e puoi presumere di poter prendere in considerazione questa persona per una prossima assunzione, è naturalmente opportuno conservare il dossier. A questo scopo, in Ostendis è disponibile il pool di candidati.
Poiché il GDPR attribuisce grande importanza all’obbligo di informazione, ti consigliamo di integrare il seguente testo nelle tue direttive sulla protezione dei dati e possibilmente nelle tue lettere di rifiuto:
Esempio di testo:
Ci riserviamo il diritto di conservare i tuoi documenti di candidatura anche dopo la conclusione del processo di candidatura presso di noi per un massimo di 2 anni, in modo da poterti contattare per la copertura di altre posizioni interessanti. Se non sei d’accordo con questa pratica, ti preghiamo di comunicarcelo brevemente.
Il valore di 2 anni può naturalmente essere determinato dalla tua azienda. Attualmente non esistono ancora valori di riferimento massimi consentiti stabiliti da sentenze giudiziarie. Non definire un periodo di conservazione non sarebbe giuridicamente corretto, poiché consentirebbe una conservazione indefinita non consentita.
Ostendis verrà ampliato in questo senso, in modo che tu possa cercare ed eliminare con un semplice meccanismo nel pool di candidati i dossier di una certa età (ad esempio tutti i dossier più vecchi di 365 giorni), in modo da poter adempiere al tuo obbligo di protezione dei dati con Ostendis in qualsiasi momento e in modo semplice.
Inoltre, potrai definire il periodo di conservazione per le candidature che hai spostato nel cestino eliminandole. Dopo la scadenza del periodo di conservazione, i dati verranno automaticamente rimossi completamente e irrevocabilmente dai sistemi di Ostendis.
Osservazioni finali e responsabili della protezione dei dati di Ostendis AG
Ti preghiamo di notare, come menzionato all’inizio, che con questo articolo non possiamo fornirti garanzie giuridiche, ma solo raccomandazioni ricercate dai nostri referenti legali.
Per ulteriori domande sul tema della protezione dei dati con Ostendis, siamo naturalmente a tua disposizione.
Sig. Philippe Moser
CEO e responsabile della protezione dei dati
Sig.ra Livia Berger
Marketing Manager, membro della direzione e responsabile supplente della protezione dei dati
