Compliance

GDPR e candidate data:
la guida 2026.

Il Garante per la Privacy ha emesso 14 provvedimenti specifici sul recruiting nel 2024-2025. La maggior parte delle aziende italiane non è preparata. Ecco una guida completa: base giuridica, consenso, retention, diritto di accesso, articolo 22 — con esempi pratici di cosa puoi (e cosa non puoi) fare con i CV dei candidati.

In questa guida

  1. Su quale base giuridica tratti i CV?
  2. Per quanto tempo posso tenere un CV?
  3. Articolo 22: decisioni automatizzate
  4. I diritti del candidato
  5. I provvedimenti recenti del Garante (2024-2025)
  6. Checklist di conformità in 12 punti

Su quale base giuridica tratti i CV?

Quando un candidato manda il suo CV, c'è una catena di trattamenti di dati personali che richiedono una base giuridica chiara (Art. 6 GDPR).

L'errore più comune

Conservare i CV "in caso servano per il futuro" senza una base giuridica esplicita è la violazione più frequente che il Garante contesta nel recruiting.

Per quanto tempo posso tenere un CV?

Il principio del GDPR è chiaro: minimizzazione e limitazione della conservazione (Art. 5(1)(e)). Tradotto:

Candidati respinti (per un ruolo specifico, senza richiesta di mantenere il profilo): max 6-12 mesi. Oltre, serve giustificazione esplicita.

Candidati che hanno acconsentito al "talent pool": 18-24 mesi è il range ragionevole. Sopra, richiedere un nuovo consenso esplicito.

Candidati assunti: il fascicolo passa al rapporto di lavoro. Le tempistiche di retention sono quelle del lavoro (anni dopo cessazione per fini di tutela legale).

Candidati che hanno revocato il consenso o esercitato diritto all'oblio: cancellazione immediata, salvo conservazione necessaria per obblighi legali.

Audit log e dati anonimi statistici: possono essere conservati a tempo indeterminato.

Articolo 22: decisioni automatizzate

L'articolo 22 GDPR è la norma più rilevante nel recruiting moderno. Il candidato ha il diritto di non essere soggetto a decisioni basate unicamente su trattamento automatizzato che producono effetti giuridici o lo riguardano in modo analogo significativo.

Nel recruiting, questo significa:

L'EU AI Act dal 2 agosto 2026 inasprisce ulteriormente questi requisiti, classificando i sistemi AI di screening come "high-risk".

I diritti del candidato

Ogni candidato può esercitare questi diritti (Art. 15-22 GDPR), e tu devi rispondere entro 30 giorni:

I provvedimenti recenti del Garante (2024-2025)

Esempi pubblici di contestazioni del Garante nel 2024-2025:

Il pattern è chiaro: il Garante sta intensificando l'attenzione sul recruiting. Le sanzioni vanno da poche migliaia di euro a centinaia di migliaia, a seconda di gravità e dimensione dell'azienda.

Checklist di conformità in 12 punti

  1. Hai un'informativa privacy specifica per i candidati nel form di candidatura?
  2. Distingui chiaramente base giuridica per: candidatura attiva, sourcing, talent pool?
  3. Hai una retention policy documentata per ogni categoria di candidato?
  4. Hai un workflow Art. 15 che ti permette di rispondere entro 30 giorni?
  5. Hai un workflow Art. 22 per le richieste di revisione su decisioni AI-assistite?
  6. Documenti la supervisione umana sulle decisioni AI (chi, quando, motivazione)?
  7. Hai model card o documentazione tecnica per ogni feature AI del tuo ATS?
  8. Hai valutazioni di bilanciamento per il sourcing su interesse legittimo?
  9. I tuoi recruiter sono formati a non chiedere informazioni discriminatorie in colloquio?
  10. Hai un DPA firmato con il vendor ATS?
  11. Hai mappato i trasferimenti dati fuori dall'EEA (se il vendor è non-EU)?
  12. Conduci audit annuali di conformità con DPO o consulente privacy?

Smetti di rincorrere CV. Inizia a chiudere offerte.

TenPerZent è l'ATS AI-native completo: pubblica, raccogli, valuta, intervista, offri. Tutto in un unico tool. Gratis fino a 100 CV al mese.

Prova TenPerZent gratis →

Domande frequenti

Posso conservare i CV di candidati respinti per il futuro?
Sì, ma solo con il loro consenso esplicito e per un periodo definito (tipicamente 18-24 mesi). Senza consenso, il termine ragionevole è 6-12 mesi al massimo. Oltre serve una giustificazione.
Posso usare AI per pre-screen?
Sì, con condizioni: informativa al candidato (Art. 13 GDPR + Articolo 26 EU AI Act), supervisione umana significativa, possibilità di revisione (Art. 22), documentazione del processo, audit log.
Posso chiedere la foto sul CV?
Non come obbligatoria. Il Garante ha più volte richiamato aziende su questo. La foto non è dato necessario per la selezione (salvo casi specifici come modeling).
Cosa fare se un candidato richiede accesso ai suoi dati?
Hai 30 giorni per fornire: tutti i suoi dati che tratti, scopi, base giuridica, retention prevista, eventuali destinatari (es. clienti dell'agenzia), origine se non li ha forniti lui direttamente. Un ATS lo automatizza.
Posso fare sourcing su LinkedIn senza consenso del candidato?
Sì, sulla base di interesse legittimo (Art. 6(1)(f)). Devi però: documentare la valutazione di bilanciamento, dare informativa al primo contatto (Art. 14, entro 30 giorni), garantire opt-out facile.