Dura sanzione dal garante spagnolo a Michael Page. Una cittadina olandese iscritta alle liste dell’agenzia di recruitment on line ha richiesto le sue credenziali per poter modificare il CV, l’agenzia a sua volta le ha richiesto la bolletta della luce per verificarne l’identità. La conosciuta Michael Page ha ricevuto inevitabilmente una sanzione di 240.000 euro dal Garante. Se fosse una fake news farebbe sorridere – amaro – anche pensando agli aumenti delle bollette in questo periodo. Purtroppo l’accaduto è reale. Un esempio eclatante di come un atteggiamento di leggerezza nei confronti del GDPR possa scatenare una reazione a catena di trasgressioni.
Il fatto
Trovare lavoro al giorno d’oggi è complicato, se poi lo diviene anche la gestione delle proprie candidature nei portali di recruitment on line, le conseguenze possono essere pesanti. Lo sa bene la donna olandese che ha dovuto fare una vera e propria corsa ad ostacoli per ottenere i suoi dati d’accesso e modificare il proprio CV. Non riuscendo ad accedere al suo account, la donna, si era rivolta tramite mail all’agenzia. Una richiesta apparentemente banale: riavere i sui dati personali e poter effettuare l’operazione. Nulla di più semplice e scontato. Il diritto a richiedere l’accesso ai propri dati è infatti sancito nero su bianco dall’articolo 15 del GDPR.
Niente da fare
Nonostante fosse un suo diritto ricevere in modo rapido e “indolore” le proprie credenziali, la donna si è vista richiedere una copia della carta d’identità e della tessera sanitaria. Già questo – ne parliamo in questo articolo – atteggiamento è considerabile ostacolante. Ostacolante nell’accessibilità semplificata ai dati del soggetto interessato. Una modalità che poco agevola l’esercizio dei diritti dell’interessato stesso. Ma la goccia che ha fatto traboccare il vaso – tradotto: ha indotto la donna a rivolgersi al Garante – è stata l’assurda richiesta dell’agenzia dell’invio di una bolletta della luce, per una verifica dell’identità e dell’indirizzo più accurata.
L’account era già attivo
Una precisazione. In fase di registrazione ad un servizio, il fornitore può chiedere documenti necessari al corretto svolgimento dello stesso. In questo caso però la richiesta eccessiva di documentazione, con la “cigliegina” della bolletta, avveniva ai danni di un soggetto già iscritto. Soggetto che dunque aveva tutto il diritto di ricevere le proprie chiavi di accesso celermente e senza intoppi burocratici. Il trattamento dei dati personali per essere lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. É il concetto cardine dell’articolo 5 del GDPR. Saltato a pie pari dall’agenzia.
Reclamo valutato in Spagna
La segnalazione al Garante della cittadina olandese è stato valutato in Spagna secondo l’articolo 56 del GDPR. Il team di legal compliance che gestisce le richieste d’accesso degli utenti della Michael Page Group Europe ha infatti sede a Barcellona. Iter che ha diluito i tempi, ma che ha portato alla giusta sanzione. Alla richiesta di informazioni del garante spagnolo sulle motivazioni per cui la procedura di riscontro alle richieste di esercizio dei diritti degli interessati prevedesse copia di documento d’identità, copia della tessera di assicurazione sanitaria, oltre ovviamente alla copia della bolletta delle utenze, la Michael Page ha tentato la difesa, affermando che: “trattando dati di un gran numero di candidati in molti paesi, per rispettare il proprio dovere di riservatezza e segretezza” fosse necessario: “un rigoroso processo per la verifica dell’identità così da garantire che i dati personali dei loro iscritti non siano ceduti a terzi solo perché possiedono lo stesso indirizzo di posta elettronica”.
Difesa non accolta
L’autorità spagnola ha giudicato illecita la richiesta dei documenti da parte dell’agenzia. Come detto, secondo il principio di minimizzazione base dell’art.5 del GDPR. Altra violazione riscontrata dal Garante è relativa all’articolo 12, articolo secondo il quale il titolare del trattamento deve agevolare l’esercizio dei diritti dell’interessato – e non abbandonarlo in una inutile rete burocratica, aggiungeremmo noi –
A questo link è consultabile integralmente il provvedimento del Garante spagnolo.
