In questa guida
Cosa puoi verificare (con consenso e proporzione)
Identità
Documento di identità + codice fiscale. Verifica diretta o tramite provider specializzati.
Titoli di studio
Conferma del titolo dichiarato presso l'istituzione emittente. Diretta o via provider. Tassi di mendacità sui titoli in Italia: 8-12% per ruoli mid-senior (HireRight 2024).
Esperienze professionali
Reference check con i datori precedenti (vedi guida reference check) e/o verifica via INPS estratti contributivi (richiesti al candidato).
Certificazioni professionali
Albo professionale, certificazioni tecniche (AWS, Cisco, ecc.), abilitazioni specifiche per il ruolo.
Precedenti penali — SOLO se richiesti da norma
Casellario giudiziale richiedibile solo per ruoli specifici previsti dalla legge: forze dell'ordine, certain finanziari, sicurezza nazionale, lavoro con minori. Non richiedibile per ruoli generici.
Posizione finanziaria — caso per caso
Per ruoli finanziari sensibili (tesoriere, direttore finanziario, asset management), possibile verifica protesti via CRIF / centrali rischio. Richiede consenso esplicito.
Cosa NON puoi verificare
Casellario giudiziale senza autorizzazione normativa
Per ruoli generici, richiedere il casellario è violazione del GDPR (Art. 9 — dati particolari) e del D.P.R. 313/2002. Sanzioni del Garante anche per la sola richiesta.
Social network personali
Provvedimento Garante 2023: la scrematura via social personali (Instagram, TikTok, Facebook private) è eccessiva. Solo LinkedIn pubblico e profili professional-grade.
Stato civile, famiglia, gravidanza
Vietato per legge (art. 6 Stat. Lav., Codice Pari Opportunità). Anche "informalmente" tramite reference. Esposizione alta a contestazioni.
Stato di salute
Vietato pre-offer. Solo medico aziendale post-offer per idoneità al ruolo specifico. Mai HR/recruiter direttamente.
Orientamento politico, religioso, sindacale
Vietato. Categoria dati particolari (Art. 9 GDPR). Sanzione amministrativa + civile.
Origine etnica / nazionalità (oltre verifica del titolo a lavorare)
Verifica del diritto a lavorare in Italia: sì (per cittadini non UE, permesso di soggiorno). Verifica dell'origine come tale: no.
Come strutturare il processo
- Informativa esplicita al candidato: quali verifiche farai, perché, dove i dati saranno conservati, retention.
- Consenso esplicito: firma documentata, separata dall'application form generale.
- Solo dopo l'offerta condizionata: background check è tipicamente "conditional offer" — l'offerta è subordinata al risultato positivo. Riduce esposizione GDPR.
- Provider qualificato: per verifiche delicate (titoli, certificazioni), usa provider specializzati con DPA in regola.
- Retention limitata: cancella i risultati 90-180 giorni dopo l'assunzione (o decisione di non procedere).
- Audit log: documenta tutte le verifiche fatte, per audit interno e Garante.
Ban-the-box: la tendenza emergente
"Ban the box" è il movimento normativo che richiede di rimuovere la domanda "hai precedenti penali?" dall'application iniziale. Negli USA è legge in 36 stati. In Italia non c'è normativa specifica, ma:
- Il Decreto Trasparenza implica trasparenza sui criteri di valutazione
- Il Garante ha più volte sottolineato il principio di minimizzazione (Art. 5 GDPR)
- Best practice europea (es. UK "Fair Chance") sta convergendo verso ban-the-box
Pratica raccomandata 2026: non chiedere precedenti penali al primo step, anche se l'azienda è esente dalla normativa che lo vieta strict. Riduce bias, allarga il pool.
Errori comuni e sanzioni
- Richiesta casellario per ruoli generici. Sanzione Garante.
- Verifica social personali. Provvedimento + sanzione.
- Domande su stato civile / salute / orientamento in colloquio. Esposizione contestazioni Codice Pari Opportunità.
- Retention illimitata dei risultati di background check. Violazione minimizzazione GDPR.
- Provider extra-EU senza DPA / SCC. Trasferimento illegittimo.