In questa guida
Su quale base giuridica tratti i CV?
Quando un candidato manda il suo CV, c'è una catena di trattamenti di dati personali che richiedono una base giuridica chiara (Art. 6 GDPR).
- Per il candidato che si è candidato spontaneamente: esecuzione di misure precontrattuali (Art. 6(1)(b)) — non serve consenso. Limitato però al processo di selezione specifico per cui si è candidato.
- Per il candidato che hai cercato attivamente (sourcing): interesse legittimo (Art. 6(1)(f)) — può funzionare ma richiede valutazione di bilanciamento documentata.
- Per mantenere il CV oltre il processo specifico: consenso (Art. 6(1)(a)) — esplicito, granulare, revocabile.
- Per dati particolari (origine, religione, salute, orientamento) — Art. 9 GDPR — base più stretta, di solito consenso esplicito o eccezioni specifiche.
L'errore più comune
Conservare i CV "in caso servano per il futuro" senza una base giuridica esplicita è la violazione più frequente che il Garante contesta nel recruiting.
Per quanto tempo posso tenere un CV?
Il principio del GDPR è chiaro: minimizzazione e limitazione della conservazione (Art. 5(1)(e)). Tradotto:
Candidati respinti (per un ruolo specifico, senza richiesta di mantenere il profilo): max 6-12 mesi. Oltre, serve giustificazione esplicita.
Candidati che hanno acconsentito al "talent pool": 18-24 mesi è il range ragionevole. Sopra, richiedere un nuovo consenso esplicito.
Candidati assunti: il fascicolo passa al rapporto di lavoro. Le tempistiche di retention sono quelle del lavoro (anni dopo cessazione per fini di tutela legale).
Candidati che hanno revocato il consenso o esercitato diritto all'oblio: cancellazione immediata, salvo conservazione necessaria per obblighi legali.
Audit log e dati anonimi statistici: possono essere conservati a tempo indeterminato.
Articolo 22: decisioni automatizzate
L'articolo 22 GDPR è la norma più rilevante nel recruiting moderno. Il candidato ha il diritto di non essere soggetto a decisioni basate unicamente su trattamento automatizzato che producono effetti giuridici o lo riguardano in modo analogo significativo.
Nel recruiting, questo significa:
- Un punteggio AI che scarta automaticamente un candidato senza revisione umana = rischio Art. 22.
- Un punteggio AI che ordina i candidati per il recruiter, che poi decide manualmente = generalmente OK.
- La soglia di "supervisione umana significativa" richiede: tempo umano dedicato, possibilità di override documentato, motivazione registrata.
L'EU AI Act dal 2 agosto 2026 inasprisce ulteriormente questi requisiti, classificando i sistemi AI di screening come "high-risk".
I diritti del candidato
Ogni candidato può esercitare questi diritti (Art. 15-22 GDPR), e tu devi rispondere entro 30 giorni:
- Accesso (Art. 15): visualizzare tutti i suoi dati che tratti, scopo del trattamento, retention prevista.
- Rettifica (Art. 16): correggere dati inesatti.
- Cancellazione (Art. 17): diritto all'oblio (con eccezioni per obblighi legali).
- Limitazione (Art. 18): bloccare temporaneamente il trattamento.
- Portabilità (Art. 20): ricevere i dati in formato strutturato e trasferirli altrove.
- Opposizione (Art. 21): opporsi a un trattamento basato su interesse legittimo.
- Decisione automatizzata (Art. 22): richiedere intervento umano, esprimere opinione, contestare la decisione.
I provvedimenti recenti del Garante (2024-2025)
Esempi pubblici di contestazioni del Garante nel 2024-2025:
- 2024-03: sanzione a una società di selezione che conservava CV per oltre 5 anni senza consenso esplicito.
- 2024-05: richiamo a un'azienda che richiedeva la foto sul CV come obbligatoria.
- 2024-09: sanzione a un ATS-as-a-service che condivideva profili candidati con clienti senza informativa chiara.
- 2025-01: richiamo a una multinazionale che usava AI per scrematura automatica senza documentazione Art. 22.
- 2025-04: sanzione a un'agenzia che chiedeva dati su stato civile e composizione familiare in fase di colloquio.
Il pattern è chiaro: il Garante sta intensificando l'attenzione sul recruiting. Le sanzioni vanno da poche migliaia di euro a centinaia di migliaia, a seconda di gravità e dimensione dell'azienda.
Checklist di conformità in 12 punti
- Hai un'informativa privacy specifica per i candidati nel form di candidatura?
- Distingui chiaramente base giuridica per: candidatura attiva, sourcing, talent pool?
- Hai una retention policy documentata per ogni categoria di candidato?
- Hai un workflow Art. 15 che ti permette di rispondere entro 30 giorni?
- Hai un workflow Art. 22 per le richieste di revisione su decisioni AI-assistite?
- Documenti la supervisione umana sulle decisioni AI (chi, quando, motivazione)?
- Hai model card o documentazione tecnica per ogni feature AI del tuo ATS?
- Hai valutazioni di bilanciamento per il sourcing su interesse legittimo?
- I tuoi recruiter sono formati a non chiedere informazioni discriminatorie in colloquio?
- Hai un DPA firmato con il vendor ATS?
- Hai mappato i trasferimenti dati fuori dall'EEA (se il vendor è non-EU)?
- Conduci audit annuali di conformità con DPO o consulente privacy?