La guida

GDPR e test psicoattitudinali: i consigli per una corretta profilazione applicata al recruiting

Nell’eseguire test psicoattitudinali è bene sapere che questi richiedono dei particolari accorgimenti per la tutela dei dati personali, in accordo con il GDPR. Spesso è necessario svolgere anche la DPIA. Ecco perché e i consigli su come agire

30 Set 2019
G
Maria Grassetto

Avvocato, DPO (Data protection Officer)


Nel mondo del recruiting si sta affermando in maniera sempre più crescente l’utilizzo di nuove tecnologie per semplificare e rendere maggiormente efficiente la ricerca e la selezione del personale.

Ma il ricorso a processi digitalizzati e automatizzati può comportare, in alcuni casi, anche dei rischi significativi per i diritti e le libertà degli individui in violazione del GDPR.

Vanno dunque osservati alcuni accorgimenti per il trattamento dei dati personali, in particolare in relazione ai test psicoattitudinali: questa tipologia di questionari è diretta a indagare il comportamento dei candidati e richiede qualche riflessione in relazione alla normativa sul trattamento dei dati personali

Lo scenario attuale: soft skills e test

Molte Agenzie per il lavoro ed altre realtà che si occupano di ricerca e selezione del personale si avvalgono oggi di piattaforme per il recruiting tecnologicamente all’avanguardia, dotate di funzionalità attraverso le quali è possibile gestire i profili dei candidati ottimizzando e riducendo i tempi del processo di reclutamento.

Questi software consentono, ad esempio, di effettuare un primo screening dei curricula presenti nel database con l’inserimento di parole chiave, individuando i profili in base alla localizzazione, alla formazione, al settore, all’esperienza.

Oltre ai processi volti a velocizzare la ricerca, alcuni recruiting software offrono degli strumenti per arricchire le informazioni sul candidato e renderne più completa la valutazione in fase di preselezione, quali video colloqui, test di conoscenza (come test di lingue o test attitudinali), questionari definiti “psicoattitudinali” o “di valutazione delle soft skills”.

Si tratta in genere di questionari a risposta multipla da effettuare online, i cui esiti, corrispondenti a determinati profili psicologici o stili caratteriali, vengono elaborati da un algoritmo. I risultati del test, che costituiscono “nuovi dati”, aggiuntivi rispetto agli originali inseriti dal candidato e attinenti a possibili atteggiamenti in ambito lavorativo, vengono poi valutati dai recruiters ai fini della selezione.

Non è infrequente che in fase di selezione, magari a seguito di un primo colloquio, gli esaminatori propongano ai candidati dei questionari volti a far emergere i loro tratti caratteriali o le loro soft skills. I test psicoattitudinali o di valutazione delle soft skills vanno tenuti distinti da quelli attitudinali, che si riferiscono alle abilità tecniche, logiche e matematiche.

I test psicoattitudinali, infatti, attengono alla sfera psicologica e mirano a valutare i comportamenti e le attitudini di un candidato in ambito lavorativo, a prescindere dalle sue competenze o esperienze.

Si parla spesso in questo contesto di soft skills, definite quali competenze trasversali, caratteristiche che appartengono alla sfera della personalità di un individuo, inclinazioni, atteggiamenti, abilità sociali e comunicative.

Le risposte ai quesiti vengono in genere confrontate con parametri statistici standard determinando così dei tratti caratteriali in grado di prevedere in che modo la persona si atteggerà nelle più svariate situazioni in ambito lavorativo (ad esempio, può emergere se l’individuo è in grado di inserirsi bene in un team o di ricoprire un ruolo di responsabilità).

Vi sono in circolazione svariate liste di soft skills, Almalaurea, ad esempio, ne comprende 14 tra cui l’autonomia, la fiducia in se stessi, la flessibilità/adattabilità, la resistenza allo stress, l’intraprendenza, le capacità comunicative, il problem solving; l’ITAPI-G test (uno dei test psicoattitudinali più utilizzati in Italia) individua 7 tratti caratteriali: dinamicità, vulnerabilità, empatia, coscienziosità, immaginazione, difensività, introversione.

Le soft skills sono ritenute molto importanti per la selezione poiché si tratta di qualità che, essendo legate al carattere, non sono specifiche rispetto a un ruolo e sono sempre trasferibili, ovvero possono essere impiegate in qualsiasi altro lavoro si andrà a svolgere.

Emerge quindi con evidenza l’importanza che i test siano formulati accuratamente e che gli esiti siano attendibili. Se ad individuare i tratti caratteriali di un soggetto sulla base delle risposte fornite non è uno psicologo del lavoro ma una “macchina”, vanno osservate particolari cautele.

GDPR e test psicoattitudinali: la profilazione

WEBINAR
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Sicurezza
Sicurezza dei dati

Le risposte ai quesiti dei test, elaborate dagli algoritmi statistici, portano alla creazione di nuove informazioni circa la propensione dei candidati alla realizzazione di futuri comportamenti in ambito lavorativo.

Il processo in questione realizza una profilazione ai sensi dell’art. 4 del Regolamento UE 2016/679 (il “Regolamento”) definita come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Il Working Party article 29 (WP) nelle proprie “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione” (di seguito, “WP251”) ha chiarito che, in generale, la profilazione consiste nella raccolta di informazioni su una persona o gruppo di persone e nella valutazione delle loro caratteristiche o modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito a:

  • capacità di eseguire un compito;
  • interessi;
  • comportamento probabile.

Perché vi sia profilazione devono ricorrere tre requisiti. In particolare, il trattamento deve:

  • essere automatizzato;
  • condotto su dati personali;
  • perseguire l’obiettivo di valutare aspetti personali relativi a una persona fisica.

La profilazione implica sempre una qualche forma di giudizio o valutazione. I test in questione che, correlando un certo numero di informazioni individuali, consentono di includere il candidato in determinate categorie psicologiche per prevederne attitudini e comportamenti in ambito lavorativo, comportano senz’altro una profilazione.

Processo decisionale automatizzato

Sulla base di tale profilazione i selezionatori riterranno il candidato idoneo o meno a ricoprire un certo ruolo. Ci troviamo quindi di fronte a una decisione non totalmente automatizzata che include la profilazione.

Come chiarito nel WP251, esistono potenzialmente tre modalità d’uso della profilazione:

  • profilazione generale (raccolta di dati mediante modalità non necessariamente automatizzate);
  • processo decisionale basato sulla profilazione;
  • decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sui diritti dell’interessato (art. 22, paragrafo 1, del Regolamento).

Ciò che caratterizza quest’ultimo tipo di processo decisionale è il fatto che non prevede alcuna valutazione da parte di un essere umano, mentre nel secondo caso un individuo decide in base a un profilo creato con mezzi automatizzati.

Per far fronte ai potenziali rischi derivanti dalle ultime due modalità di profilazione, legati alla difficoltà per gli interessati di comprendere i processi automatizzati e alla circostanza che i dati generati potrebbero non essere corretti comportando false attribuzioni e anche possibili discriminazioni, il Regolamento prevede delle disposizioni specifiche.

Vi sono principi e disposizioni generali che valgono per tutti i processi decisionali automatizzati e di profilazione, mentre vi sono garanzie ulteriori e limitazioni applicabili soltanto alle decisioni esclusivamente automatizzate di cui all’art. 22, paragrafo 1, del Regolamento.

Per i test psicoattitudinali o sulle soft skills sopra descritti occorre far riferimento alle regole generali.

GDPR e test psicoattitudinali: i principi da seguire

Nel proporre i test psicoattitudinali che comportano una profilazione occorre:

  • fornire informazioni concise, trasparenti, intelligibili e facilmente accessibili per gli interessati. Deve essere garantita massima trasparenza e correttezza sui dati raccolti (atteggiamenti, reazioni a particolari situazioni), sulla loro elaborazione (con algoritmo statistico), sulle conseguenze derivanti dall’attribuzione di determinati profili psicologici o tratti caratteriali;
  • prestare particolare attenzione alla minimizzazione dei dati. Non devono essere raccolte più informazioni di quelle effettivamente necessarie rispetto alla finalità prefissata. I quesiti dei test devono quindi essere coerenti con la finalità e non indagare aspetti troppo personali degli interessati, irrilevanti a fini lavorativi. Come chiarito dal Garante in un provvedimento del 21 luglio 2011, relativo al trattamento di dati personali nell’ambito di una selezione del personale effettuato attraverso dei questionari di personalità, i quesiti, oltre a rispettare la dignità della persona, devono essere pertinenti, congrui e indispensabili ai fini dell’inserimento lavorativo. Peraltro, ai sensi dell’art. 10 d.lgs. 10 settembre 2003 n. 276, le agenzie per il lavoro e gli altri soggetti pubblici o privati autorizzati e accreditati a erogare servizi al lavoro non possono effettuare indagini o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base a informazioni di tipo sensibile -a meno che non incidano sulle modalità di svolgimento dell’attività lavorativa o costituiscano un requisito essenziale e determinante ai fini di detto svolgimento. Perciò i quesiti non devono spingersi ad indagare aspetti intimi, attinenti alla sfera affettiva, sessuale, sanitaria, o abitudini personali o vicende individuali, informazioni che possano determinare turbamenti e idonee ad incidere, tramite un’ingiustificata intrusione nella sfera intima, sulla dignità personale e sociale dei candidati;
  • adottare delle misure che consentano di verificare l’esattezza delle procedure matematiche o statistiche e garantire il loro aggiornamento costante, evitando previsioni inappropriate in merito al comportamento dei candidati. Gli algoritmi utilizzati andrebbero configurati in modo da minimizzare il rischio di errori o distorsioni, e la pertinenza e qualità delle informazioni e inferenze statistiche utilizzate andrebbero rivalutate periodicamente;
  • garantire che i dati siano conservati per un tempo proporzionato, compatibile con la finalità della selezione;
  • disporre di una base legittima per il trattamento dei dati, consistente normalmente nel consenso dell’interessato. Non si può ritenere, infatti, che il trattamento sia necessario per l’esecuzione del contratto o di misure precontrattuali, dato che la nozione di necessità deve essere interpretata in maniera restrittiva (il tipo di profilazione in questione è utile, ma non necessaria per la selezione), né potrà facilmente fondarsi sul legittimo interesse del titolare (realizzare una selezione più efficiente in termini di risparmio di tempo e risorse), alla luce del necessario bilanciamento con i diritti e le libertà fondamentali degli interessati (a non essere inclusi in particolari categorie o profili in cui potrebbero non riconoscersi e che potrebbero penalizzarli). È quindi fondamentale che l’interessato comprenda esattamente a cosa sta acconsentendo e, dunque, che disponga di informazioni sufficienti sull’uso previsto e sulle conseguenze del trattamento per assicurare che il consenso fornito sia frutto di una scelta informata.

GDPR e test psicoattitudinali: i diritti degli interessati

In caso di profilazione, oltre alle informazioni generali sul trattamento, ai sensi dell’art. 15, del Regolamento, è necessario rendere disponibili in maniera agevole sia i dati personali utilizzati come input per creare il profilo, sia le informazioni sul profilo e i dettagli dei segmenti in cui l’interessato è stato inserito.

Nel caso del test, perciò, i quesiti e gli esiti dovrebbero sempre poter essere consultati direttamente, fornendo peraltro all’interessato, ove possibile, “l’accesso remoto a un sistema sicuro”(Considerando 63). Occorre poi garantire i diritti di rettifica, cancellazione e limitazione. I dati di input potrebbero essere inesatti o irrilevanti e gli interessati potrebbero contestare l’esattezza delle informazioni inserite e i profili assegnati.

È necessario quindi offrire la possibilità di rettificare i dati di input e gli stessi profili attribuiti alla persona, ad esempio, consentendo di ripetere il test o di fornire delle informazioni aggiuntive.

Gli interessati devono poi poter esercitare i loro diritti di cancellazione e limitazione del trattamento, con riferimento a qualsiasi fase della profilazione.

Il diritto di opposizione, normalmente, non sarà esercitabile in quanto il trattamento connesso ai test psicoattitudinali non viene effettuato sulle basi giuridiche previste dall’art. 21 (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, interesse legittimo) o per finalità di marketing diretto.

La valutazione d’impatto

Nella maggior parte dei casi, i test psicoattitudinali potranno essere adottati dai Titolari del trattamento soltanto a seguito di valutazione d’impatto sul trattamento dei dati personali (DPIA). L’art. 35 stabilisce che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Al terzo paragrafo precisa che la valutazione d’impatto è richiesta in particolare nel caso di:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in maniera analoga significativamente su dette persone;
  • trattamento su larga scala di dati particolari o giudiziari;
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il WP 251 ha precisato che, poiché l’art. 35 lett. a) parla genericamente di decisioni “basate” sul trattamento automatizzato e non di decisioni “basate unicamente” su detto trattamento, la disposizione si applicherà anche a un processo decisionale che non è interamente automatizzato che implica la profilazione e abbia effetti giuridici o in modo analogo significativi, e non soltanto a decisioni basate “unicamente” su un trattamento automatizzato di cui all’art. 22 del Regolamento.

Come noto, il WP29 nelle proprie Linee guida in materia di valutazione d’impatto (“WP248”) ha indicato nove criteri da considerare ai fini dell’identificazione di trattamenti che possono presentare un rischio elevato. In presenza di almeno due dei criteri individuati è necessario effettuare la DPIA, fermo restando che il titolare potrebbe ritenere di doverla effettuare anche se il trattamento soddisfi solo uno dei criteri.

Nei casi dubbi si raccomanda comunque di effettuarla in quanto strumento utile a dimostrare che sono state adottate misure adeguate per garantire il rispetto della normativa in materia.

Tra i nove criteri, quelli che potrebbero venire in rilievo nel caso dei test psicoattitudinali sono:

  • valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti (…) il comportamento dell’interessato;
  • processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente: trattamento che mira a consentire l’adozione di decisioni in merito a interessati che “hanno effetti giuridici” o che “incidono in modo analogo significativamente su dette persone fisiche”. Il trattamento può portare all’esclusione o alla discriminazione;
  • trattamento di dati su larga scala: per stabilire se ricorra il requisito occorre valutare il numero di soggetti interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati considerati dal trattamento, la durata ovvero la persistenza dell’attività di trattamento, la portata geografica dell’attività di trattamento;
  • dati relativi a interessati vulnerabili: il WP include tra gli interessati vulnerabili i minori (i quali potrebbero non essere in grado di acconsentire deliberatamente e consapevolmente al trattamento dei loro dati). Va tenuto presente, infatti, che i test potrebbero essere svolti anche da minori.

I test psicoattitudinali proposti dalle piattaforme di recruiting soddisfano, in genere, almeno due di questi quattro criteri. Inoltre, possono rientrare nell’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto individuato dal Garante con il provvedimento n. 467 dell’11.10.2018, in particolare tra:

  • trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
  • trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente sull’interessato”, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad essere parte di un contratto in essere.

Conclusioni

Alla luce di questa breve disamina, si può ritenere che i test psicoattitudinali proposti in maniera automatizzata sulle piattaforme di recruiting per valutare il comportamento o le attitudini del candidato in ambito lavorativo, richiedano dei particolari accorgimenti per la tutela dei dati personali e spesso lo svolgimento di una valutazione d’impatto.

FORUM PA 6- 11 luglio
Il digitale e il lavoro: da pericolo a risorsa
Risorse Umane/Organizzazione

Gli operatori del mondo del recruiting non possono quindi sottovalutare l’importanza di un’accurata analisi del trattamento effettuato attraverso questi strumenti per coniugare l’efficienza della selezione e il diritto alla protezione dei dati personali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2