
IFI Advisory approfondisce, nell’articolo che segue a firma di Umberto Saccone, Presidente di IFI Advisory e Angelo Russo, Compliance Manager e DPO, IFI Advisory, un argomento di grande importanza e sicuro interesse: il processo di Vetting.
Buona lettura!
IFI ADVISORY: IL VETTING
1. Introduzione
1.1 Definizioni
La conduzione di controlli preassuntivi sui candidati (pre-employment screening o pre-employment checks) costituisce un elemento rilevante nel processo di reclutamento del personale. Talvolta ci si riferisce a queste procedure anche con il termine vetting [1].
Si tratta di controlli specifici sui trascorsi personali (background check) di un candidato nell’ottica di un’eventuale successiva assunzione.
Una superficiale conduzione del processo di vetting rischia di sfociare nell’assunzione di personale inadeguato, con il rischio per l’azienda di subire pesanti conseguenze economiche in termini di costi di gestione, turnover, scarsa produttività, danni da derivanti da responsabilità professionale, vertenze e/o contenziosi legali tra il datore di lavoro ed il dipendente infedele [2].
Il pre-employment screening identifica una procedura di verifica ad ampio raggio, diretta a tutelare gli asset aziendali rispetto a tutte le possibili minacce, incluso il terrorismo, la frode e ed i danni alla reputazione d’impresa.
Il background check definisce invece un approfondimento delle caratteristiche del candidato rispetto a posizioni lavorative precedenti, storia creditizia ed eventuali precedenti penali.
Generalmente tali controlli vengono effettuati dal datore di lavoro al fine di selezionare i candidati a posizioni lavorative particolarmente “sensibili” rispetto alla sicurezza aziendale, quali l’autotrasporto, l’accesso ai porti e agli areoporti, le scuole, gli ospedali, le istituzioni finanziarie o le posizioni governative.
Il punto di partenza delle verifiche preassuntive è l’accertamento delle informazioni contenute nell’application form o nel curriculum vitae del candidato, sebbene possano anche essere finalizzate ad un ulteriore livello di selezione dei candidati.
È inoltre sempre più diffusa la pratica dell’online vetting o dell’internet background check [3]. Si tratta di un controllo sulla presenza del candidato online e della sua “internet reputation” sui principali social network, tra cui Facebook, MySpace, Twitter e LinkedIn, tramite una serie di controlli sul profilo, sui post e sulle fotografie pubblicate dai candidati, al fine di valutarne l’adeguatezza rispetto alla posizione lavorativa.
Come si vedrà, l’effettiva utilità di tale pratica è dibattuta, dal momento che un suo impiego inaccurato e privo di ulteriori controlli integrativi potrebbe comportare condotte aziendali discriminatorie, senza considerare che le informazioni reperite potrebbero essere inaffidabili e/o trattate illecitamente ai sensi della normativa europea sulla tutela dei dati personali riformata dal Regolamento UE 679/2016 (General Data Protection Regulation – GDPR).
1.2 Soggetti aziendali coinvolti
In ragione delle dimensioni di un’azienda, le procedure di vetting potrebbero coinvolgere:
a. Funzione “Human Resources” (HR) – nella maggior parte delle grandi aziende il responsabile HR è deputato alla selezione del personale, in qualità di responsabile della conduzione (o dell’incarico a terzi) dei controlli sui candidati.
b. Funzione security – anche nel caso in cui la funzione security non venga espressamente autorizzata a partecipare al processo di vetting sui candidati, essa è comunque responsabile della verifica delle minacce alla sicurezza che potrebbero emergere nel corso della selezione, così come delle decisioni circa il livello di controllo da applicare in base ai differenti incarichi [4].
c. Direzione legale – in quanto responsabile dell’identificazione, valutazione e gestione dei rischi di natura legale, derivanti dalla violazione di norme giuridiche e contribuendo ad orientare l’impresa in modo non solo da mitigare i rischi di natura legale, ma anche da identificare situazioni giuridiche da cui l’imprenditore possa trarre vantaggio.
d. Proprietari e manager: il coinvolgimento di questi attori nelle verifiche preassuntive è cruciale nell’implementazione di un buon sistema di controlli. Generalmente proprietari e manager giocano un ruolo preminente nelle procedure di selezione del personale, sebbene il loro bagaglio di esperienza e di conoscenza del temperamento umano possa paradossalmente rivelarsi controproducente qualora si trasformi in leggerezza rispetto alla scelta di effettuare ulteriori controlli.
In realtà proprietari e manager possono rappresentare figure di spicco nel processo di vetting nel caso in cui siano consapevoli di dover bilanciare le proprie impressioni ed opinioni sul candidato con le risultanze dell’approfondimento preassuntivo. Ad essi, in quanto esponenti di vertice, spetta il compito di cruciale di pronunciarsi sull’assunzione, dunque è opportuno che possano provare di aver deciso in base ad un prudente e motivato apprezzamento, scevro di ogni opinione e sensazione personale.
e. Esperti di due diligence: Qualora le attività di vetting vengano affidate a professionisti indipendenti tramite un mandato (“Lettera di Intenti” o “Memorandum of Understanding”), quest’ultimo dovrà regolare dettagliatamente la modalità e i tempi dello svolgimento della due diligence e le varie fasi da seguire per valutare e perfezionare l’operazione.
Una due diligence effettuata da un professionista autonomo ed indipendente, condotta secondo un metodo scientifico e criteri oggettivi, permette al committente di compiere le proprie valutazioni discrezionali in modo corretto e prudente, tramite l’apporto di competenze di esperti del settore, in grado di coadiuvare l’esercizio del potere discrezionale dell’imprenditore.
2. Adempimenti normativi in Italia in materia di verifiche preassuntive
2.1 La normativa Europea in ambito di tutela dei dati personali
Dal momento in cui inizia l’assessment sul singolo candidato, si raccolgono i suoi dati personali, necessari per capire quale tra i candidati potenziali sia quello idoneo a ricoprire il ruolo disponibile.
L’esigenza di tutelare i dati personali secondo regole uniformi ha indotto il Legislatore Europeo ad approvare il Regolamento UE 679/2016 GDPR [5], che impone al titolare del trattamento (nel caso in esame l’impresa che effettui lo screening) di utilizzare i dati personali dell’interessato (il candidato) in maniera lecita e proporzionata.
Il GDPR è fondato su una serie di principi, primo fra tutti quello di accountability che impone al titolare di responsabilizzarsi, individuando in autonomia la scelta di mezzi, operazioni, procedure, finalità, in materia di trattamento dei dati, ma anche di motivare le valutazioni di rischio (risk based approach) effettuate per ogni singolo trattamento.
In sostanza è necessario poter dimostrare di aver fatto tutto il possibile per non rispondere in futuro di un possibile danno derivante da trattamento illecito dei dati personali (si tratta di una classica inversione dell’onere della prova).
Altri principi individuati dal GDPR sono:
a. Principi di liceità e correttezza del trattamento nei confronti dell'interessato.
b. Principio di trasparenza: attiene alle modalità con cui vengono raccolti e utilizzati i dati personali. Il GDPR richiede, in particolare, che tali dati siano facilmente accessibili e che le comunicazioni relative al trattamento siano facilmente comprensibili ed accessibili (ad esempio fornendo adeguata informativa ai dipendenti).
c. Principio di limitazione delle finalità dei dati: il Regolamento prescrive che la raccolta dei dati degli utenti dovrà avvenire soltanto per finalità determinate, esplicite e legittime (in questo caso esigenze documentate di sicurezza, produttività o organizzazione).
d. Principio di minimizzazione dell'uso dei dati: Il trattamento deve essere adeguato, pertinente e limitato a quanto necessario per il perseguimento delle finalità per cui i dati sono raccolti.
e. Principio di esattezza dei dati: i dati raccolti dovranno essere esatti e, se necessario, aggiornati. Di conseguenza le Aziende dovranno adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente eventuali dati inesatti rispetto alle finalità per le quali sono trattati.
f. Principio della limitazione della conservazione: i dati potranno essere conservati esclusivamente per il tempo necessario al raggiungimento delle finalità per le quali sono trattati.
g. Principio dell'integrità e della riservatezza: i dati dovranno essere sempre trattati in maniera da garantire una sicurezza adeguata, il che prevede l'adozione di misure di sicurezza tecniche ed organizzative adeguate a proteggere i dati stessi da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione o dal danno accidentale.
Il GDPR ha inoltre introdotto l'istituto della “valutazione d'impatto sulla protezione dei dati” o “data protection impact assessment” (cd. “DPIA”), un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. Qualora le attività di vetting siano effettuate su larga scala, tramite attività di controllo sistematico in grado di incrementare il rischio per i dati personali, sarà opportuno procedere con una dettagliata e motivata DPIA.
Si consideri, a titolo esemplificativo, il classico caso in cui l’imprenditore effettui il colloquio ad un candidato. Il futuro datore di lavoro, nel rispetto del principio di minimizzazione, potrà chiedere ad esempio se il candidato è disposto a sottoporsi ad un’analisi del sangue per verificare che non abbia fatto uso di stupefacenti?
La risposta sta nell’accountability: il futuro datore di lavoro potrà richiedere ogni dato personale che ritenga opportuno, a condizione di essere disposto a motivare la scelta effettuata rispetto allo scopo di capire se quel candidato è competente a ricoprire la posizione [6].
Il discrimen è rappresentato dal carattere determinante o meno delle informazioni in relazione alle mansioni da far svolgere al lavoratore da intendersi come obiettiva capacità, intellettiva o manuale, di svolgere una determinata attività lavorativa.
In alternativa, nel caso in cui vengano richiesti dati per finalità diverse dall’instaurazione del rapporto lavorativo, è necessario individuare la base giuridica nell’interesse legittimo o richiedendo il consenso espresso all’interessato, per legittimare il trattamento.
Per questi motivi è evidente l’importanza ricoperta dall’affidamento della verifica preassuntiva ad un esperto qualificato di settore, in grado di dimostrare il possesso dei requisiti di accountability, oltre che delle competenze e dell’esperienza necessaria per l’attività di vetting.
Nell’ipotesi in cui il vetting sia in parte o del tutto delegato ad un professionista del settore, sarà sufficiente che il delegante nomini l’esperto di background check responsabile del trattamento, circoscrivendone l’ambito di attività e verificando che abbia implementato una DPIA e ulteriori presidi di tutela delle informazioni (ad esempio tramite il possesso da parte del professionista di certificazioni quali la ISO 27001) da cui emerga l’accertamento delle misure necessarie per la tutela dei dati degli interessati.
Secondo ed ultimo step sarà quello di sottoporre al candidato un’informativa sul trattamento, in cui andrà specificata la finalità del trattamento, chi avrà accesso ai dati personali (altri dipendenti o una società esterna che valuterà il cv), la durata del periodo di conservazione dei dati personali, come il candidato potrà esercitare i propri diritti su quei dati e i recapiti a cui rivolgersi.
Nel caso in cui il titolare desideri effettuare il trattamento con finalità diverse rispetto all’instaurazione di quel rapporto lavorativo (ad esempio trasmettendo il CV ad una società controllata che necessita di effettuare assunzioni), sarà necessario che il candidato esprima il consenso, esplicito e tracciabile, all’ulteriore trattamento.
2.2 Legislazione italiana complementare
Le attività di compliance rispetto alle procedure di background check trovano principale fondamento nella normativa GDPR, tuttavia quest’ultima va integrata con una serie di obblighi previsti dalla normativa italiana e che vanno ad impattare nella pratica sulla portata delle indagini preassuntive.
Sempre in ambito privacy [7], l’art. 2 octies, comma 1, del D.lgs. 196/2003 come novellato dal D.lgs. 101/2018, il trattamento di dati personali relativi a condanne penali o a reati o a connesse misure di sicurezza, che non avviene sotto il controllo dell’autorità pubblica, “è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati”.
Il comma 3 individua i casi in cui si applica quanto previsto dai commi 1 e 2 (adempimenti di obblighi e l’esercizio di diritti da parte del titolare o dell’interessato in materia di diritto del lavoro o comunque nell’ambito dei rapporti di lavoro, nei limiti stabiliti da leggi, regolamenti e contratti collettivi […]; adempimento degli obblighi previsti da disposizioni di legge o di regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali; la verifica o l’accertamento di requisiti di onorabilità, requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti; ecc.).
Il decreto introduce anche l’art. 111 bis in relazione ai dati personali trattati nei CV, prevedendo che, per i curriculum volontariamente trasmessi dagli interessati, l’informativa di cui all’art. 13 GDPR vada fornita al momento del primo contatto utile, successivo all’invio del curriculum, e che il consenso non sia necessario quando il trattamento sia finalizzato alla eventuale assunzione del candidato.
In materia giuslavoristica, ai sensi dell'art. 8 della Legge n. 300/1970 “E' fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore”.
Ai sensi dell'art. 15, comma 1 lettera a) della medesima Legge, “E' nullo qualsia patto o atto diretto a subordinare l'occupazione di un lavoratore alla condizione che aderisca o non aderisca ad una associazione sindacale ovvero cessi di farne parte”.
In quest’ottica il D.lgs 276/2003 conferma l’ambito oggettivo del processo di vetting, prescrivendo il divieto da parte di soggetti privati di effettuare qualsiasi indagine, trattamento di dati o selezione del personale, anche con il consenso dei candidati, in base a convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, all’età, all’handicap, alla razza, all’origine etnica, al colore, alla ascendenza, all’origine nazionale, al gruppo linguistico, allo stato di salute nonché a controversie con i precedenti datori di lavoro, a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento dell’attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell’attività lavorativa.
Una parte della passata dottrina giuslavoristica riteneva, per motivi principalmente ideologici, che dall'art. 8 discenderebbe la garanzia totale della privacy del lavoratore da qualsivoglia interferenza. In contrasto con tale opinione, è più corretto ritenere che la tutela della sfera del riserbo individuale non sia illimitata: «essa comprende tutti i fatti della vita privata del lavoratore irrilevanti ai fini della valutazione dell'attitudine professionale del medesimo e più precisamente i fatti privi di uno specifico rapporto con il contenuto delle mansioni. Fuori di questi limiti il diritto al riserbo cede di fronte all'interesse del datore di lavoro a garantirsi la ragionevole certezza delle premesse per l'esatto adempimento [8]».
La chiave interpretativa dell’art. 8 dello Statuto dei Lavoratori è l’individuazione della «rilevanza», che viene a sussistere nel caso in cui vi sia un nesso tra convincimenti, atteggiamenti e situazioni della vita privata tale che gli stessi divengono influenti sulla prestazione oggetto del futuro rapporto o del rapporto di lavoro in atto.
A titolo esemplificativo, basti pensare all'addetto al trasporto valori: sarà rilevante (e quindi pertinente e legittima) la conoscenza sulla sua propensione alle scommesse e all’indebitamento, ovvero per la posizione di autista sarà rilevante e legittimo l'accertamento della propensione all'uso di alcolici, la sussistenza di reati per ubriachezza. Un contractor, assunto come servizio di scorta dei dipendenti all’estero in zone ad alto rischio security, dovrà risultare necessariamente fuori da contesti socio-culturali di matrice terroristica, nell’ottica della migliore tutela possibile della sicurezza dei dipendenti, richiesta in maniera inderogabile dall’art. 2087 c.c. s.m.i.
Infine il Codice delle pari opportunità tra uomo e donna (D.lgs 198/2006) vieta qualsiasi tipo di discriminazione nell’accesso al lavoro tra uomo e donna, specificando che non è possibile richiedere informazioni circa lo stato di famiglia o matrimoniale o di gravidanza (art.27).
di Umberto Saccone, Presidente di IFI Advisory
e Angelo Russo, Compliance Manager e DPO, IFI Advisory
La parte seconda de “Il Vetting”( con 2.3 Tipologie di controlli; Riepilogo; Conclusioni) sarà presentata a breve su www.snewsonline.com.
[1] In origine questo termine definiva l’insieme di verifiche preliminari sulla salute e i comportamenti dei cavalli da corsa prima di consentir loro di partecipare ad una competizione.
[2] Di questo avviso è anche la norma della norma ISO 37001:2016 “Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all'utilizzo”, che all’Appendice A indica in alcuni ambiti specifici il tipo di azioni che un'organizzazione può intraprendere nell'attuazione del proprio sistema di gestione per la prevenzione della corruzione e risulta particolarmente utile per l’implementazione del sistema stesso. Ebbene, tra i processi dell’Allegato A, si contano: “Due diligence sul personale al momento dell’assunzione, Identificazione dei potenziali conflitti di interesse interni ed esterni all’organizzazione, Due diligence sui soci in affari (Partner e fornitori), per verificare se:
• abbiano le qualifiche, l'esperienza e le risorse necessarie per condurre le attività oggetto della due diligence;
• siano dotati di un sistema di gestione per la prevenzione della corruzione, ovvero accettino di sottoscrivere la politica anticorruzione dell’organizzazione;
• abbiano una cattiva reputazione, ovvero se siano stati indagati, condannati, sanzionati o esclusi da procedure per corruzione o reati analoghi.
[3] Per un approfondimento su questo tema si rimanda a Social technology, social business?, disponibile su https://www.cipd.co.uk/Images/social-technology-social-business_2013_tcm18-10323.pdf e Alexander Reicher, The background of our being: internet background check in the hiring process, in Berkeley Technology Law Journal, vol. 28:115, 2013.
[4] Si ricorda infatti che, in ossequio al D.lgs. 81/2008 e all’art. 2087 c.c., l'imprenditore è tenuto ad adottare nell'esercizio dell'impresa le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei prestatori di lavoro. Le procedure di vetting, prevenendo possibili rischi di security connessi all’assunzione di un dipendente, possono essere definite come misure “atipiche” di sicurezza, ed in quanto tali spendibili in giudizio per provare l’adeguatezza dei presidi di security predisposti dal datore di lavoro.
[5] il Regolamento è un atto normativo, proprio dell’Unione Europea, avente portata generale, obbligatorio in tutti i suoi elementi e direttamente applicabile negli ordinamenti degli Stati membri, inclusa l’Italia (art. 288, par. 2 del Trattato sul funzionamento dell'UE).
[6] Per approfondimenti sul tema dei controlli preassuntivi in materia di salute vedi cap. 2.3 par. f).
[7] Sebbene il GDPR resti la principale fonte normativa in materia di dati personali, il Legislatore italiano ha mantenuto in vigore il vecchio Codice della privacy D.lgs. 196/2003, modificandolo totalmente tramite l’emanazione del D.lgs. 101/2018 e rendendolo una sorta di regolamento di dettaglio rispetto al GDPR, con l’obiettivo teorico di riempire quei vuoti interpretativi lasciati dal GDPR stesso. Tale impostazione è stata oggetto di più di una critica, in quanto la normativa prevalente resta quella europea. Nell’ipotesi in cui si verifichi un contrasto tra GDPR e D.lgs. 101/2018, sarà sempre il GDPR a prevalere e a rendere inapplicabile la parte della riforma relativa al contrasto eccepito.
[8] Cfr FRENI-GIUGNI, Statuto dei lavoratori, Milano, 1971, pag.38-39: «Quest'ultima espressione, in effetti un po’ barocca, attiene sostanzialmente alla capacità professionale del lavoratore. Tale capacità peraltro non può essere intesa in senso restrittivo ma comprende quel complesso di attitudini che sostanzialmente qualificano la prontezza e l'idoneità all'adempimento. La prontezza dell'adempimento, in effetti, può essere posta talvolta in pericolo anche da fatti attinenti alla vita privata. Indagini in materia potranno perciò essere ammesse, ma, dal momento che esse comportano una interferenza nella vita privata di un altro soggetto, entro ristrette condizioni…».