Guida3 min di letturaTenPerZent

    GDPR e conservazione dei CV: tempi, base giuridica, talent pool legittimo.

    Quanto puoi tenere un CV nel 2026? Durata, base giuridica, talent pool, diritti del candidato, multe Garante. Checklist gratis per HR e DPO.

    Conservare CV oltre il necessario è una delle violazioni GDPR più comuni nei processi di selezione. Il Garante italiano ha già sanzionato aziende per pratiche di talent pool non documentate. Qui la guida concreta per non sbagliare.

    I 4 punti chiave del GDPR applicato ai CV

    1. Base giuridica. Per la singola candidatura: misure precontrattuali (art. 6.1.b). Per il talent pool: consenso esplicito separato (art. 6.1.a).
    2. Limitazione conservazione. Non oltre quanto necessario per la finalità. Linee guida Garante: max 24 mesi senza nuovo consenso.
    3. Trasparenza. Informativa accessibile prima dell'invio del CV, indicando finalità, durata, diritti e DPO.
    4. Diritti del candidato. Accesso, rettifica, cancellazione, opposizione. Tempo di risposta: max 30 giorni.

    Tempi consigliati per finalità

    FinalitàDurata raccomandataBase giuridicaNote
    Selezione singola posizione12 mesi dall'esitoArt. 6.1.bAnche se rifiutato
    Talent pool generico24 mesi rinnovabiliArt. 6.1.a (consenso)Riconferma annuale via email
    Difesa in giudizio10 anniArt. 6.1.fSolo dato strettamente necessario
    Reportistica anonimizzataIndeterminatoN/A (no dato personale)Aggregato senza re-identifica
    Errori frequenti. Conservare CV in Excel o cartelle email senza scadenza non è 'comodo': è una violazione potenziale. Il Garante in più sanzioni ha applicato multe sopra i 50.000€ per aziende che mantenevano database CV senza policy di retention.

    Talent pool fatto bene: 5 step

    1. Consenso esplicito separato dalla candidatura singola (checkbox non pre flaggata).
    2. Informativa che cita esplicitamente 'inserimento in database talenti'.
    3. Email di riconferma del consenso a 12 mesi (mantieni la prova).
    4. Cancellazione automatica dopo 24 mesi se non riconfermato.
    5. Log di accesso al database conservato per audit Garante.

    Cosa fare oggi se la tua azienda non è compliant

    1. Audit di tutti i CV in archivio (ATS, email, drive condivisi).
    2. Classificazione per finalità e data di acquisizione.
    3. Cancellazione di tutto ciò che è oltre i 24 mesi senza consenso documentato.
    4. Aggiornamento dell'informativa pubblicata su carriere.azienda.it.
    5. Form di consenso talent pool separato e tracciabile.

    Domande frequenti

    Posso conservare CV per 'eventuali future opportunità' senza consenso?

    No. La finalità deve essere dichiarata prima e il consenso espresso separatamente. Il Garante è stato chiaro più volte: il talent pool richiede base giuridica del consenso, non legittimo interesse generico.

    Cosa rischio se conservo CV oltre i 24 mesi?

    Sanzione amministrativa fino a 20M€ o 4% fatturato globale (art. 83 GDPR). In pratica le sanzioni del Garante italiano per casi simili oscillano tra 20.000 e 200.000€ per aziende mid market.

    Posso usare AI per fare matching CV-job nel talent pool?

    Sì se hai una base giuridica adeguata e applichi i requisiti EU AI Act in vigore da agosto 2026 (sistema ad alto rischio). Serve trasparenza, oversight umano e bias monitoring documentato.

    Smetti di combattere col tuo ATS. Inizia ad assumere.

    Focus sulle persone, non sulla burocrazia. Analizza i tuoi primi 100 CV gratis. Nessuna carta di credito, nessuna call di setup.

    100 screening gratis · Senza carta · Online in 60 secondi

    Basta leggere CV. Inizia ad assumere meglio.

    Carica la prossima descrizione del ruolo. TenPerZent classifica ogni candidato con evidenze e ti mostra i migliori 5 — di solito prima del caffè del mattino.

    • Conforme all'EU AI Act
    • Setup in 60 secondi
    • Disdici quando vuoi