La gestione dei dati personali dei candidati rappresenta una delle aree più delicate per qualsiasi azienda, indipendentemente dalle sue dimensioni. Con l’adozione crescente di strumenti digitali per la selezione del personale – dai software di recruiting automatizzato fino all’intelligenza artificiale per l’analisi dei curriculum – aumentano anche i rischi di non conformità alle norme sul trattamento dei dati.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone obblighi stringenti in ogni fase del processo: dalla raccolta del CV alla conservazione delle informazioni, passando per l’uso di algoritmi decisionali. E quando l’intelligenza artificiale entra nei processi HR, si aggiungono ulteriori vincoli: trasparenza, supervisione umana e valutazione d’impatto sulla protezione dei dati.

In un contesto in cui i reparti HR si affidano sempre più a tecnologie esterne e piattaforme cloud, la domanda cruciale è: come garantire che il trattamento dei dati dei candidati sia legittimo, sicuro e conforme al GDPR, anche in presenza di sistemi AI?

In questa guida analizziamo:

  • Quali dati personali vengono trattati nei processi HR
  • Quali sono gli obblighi previsti dalla normativa
  • Come gestire strumenti di intelligenza artificiale in modo conforme
  • Quali documenti e policy predisporre per tutelare l’organizzazione

1. Quali dati personali vengono trattati in ambito HR

Nel contesto della selezione del personale, le aziende trattano una molteplicità di dati personali, spesso anche dati sensibili o particolarmente tutelati. Conoscere esattamente quali tipi di dati sono coinvolti è il primo passo per strutturare una gestione conforme alle previsioni del GDPR.

1.1. Dati comuni dei candidati: nessun consenso nel CV

I dati più frequentemente raccolti attraverso CV, moduli di candidatura o piattaforme di recruiting includono:

  • Dati identificativi (nome, cognome, età, data di nascita)
  • Contatti personali (email, telefono, indirizzo)
  • Informazioni relative a studi, formazione e competenze
  • Esperienze lavorative pregresse
  • Lettere di presentazione o profili motivazionali

Un errore ancora diffuso consiste nell’inserire nel CV la dicitura: Autorizzo il trattamento dei miei dati personali ai sensi del GDPR”.

Questa formula non è richiesta né corretta, soprattutto nel caso di candidature spontanee. Come chiarito dall’art. 111-bis del Codice Privacy e dagli orientamenti interpretativi, il trattamento dei dati contenuti in un CV inviato spontaneamente è lecito in quanto necessario all’esecuzione di misure precontrattuali su richiesta dell’interessato (art. 6, par. 1, lett. b GDPR).

Inoltre, non può esserci consenso valido se non è stata fornita prima un’informativa, cosa che nelle candidature spontanee è per definizione impossibile.

1.2. Dati particolari (ex sensibili): quando possono essere trattati

Può accadere che il candidato inserisca nel CV dati appartenenti a categorie particolari (art. 9 GDPR), come:

  • Stato di salute (es. disabilità)
  • Appartenenza a categorie protette
  • Altre informazioni sensibili (origine etnica, credo religioso, orientamento sessuale)

In linea generale, è preferibile evitare l’inserimento di tali dati nel CV, salvo se strettamente necessari e rilevanti per l’applicazione di normative specifiche (es. Legge 68/1999). In questi casi, la base giuridica può essere trovata nell’art. 9, par. 2, lett. b) GDPR, che consente il trattamento quando necessario per l’adempimento di obblighi e diritti in materia di diritto del lavoro e sicurezza sociale.

Anche in questo caso, il consenso non è richiesto, né sarebbe valido se non preceduto da informativa.

1.3. Dati raccolti tramite strumenti digitali e AI

Sempre più spesso le aziende impiegano:

  • Sistemi ATS (Applicant Tracking Systems)
    che registrano e conservano in cloud i dati dei candidati
  • Strumenti di analisi automatizzata dei CV
    basati su algoritmi di matching
  • Software di video-interview
    che utilizzano analisi comportamentale o espressioni facciali (AI emotion recognition)

Questi strumenti possono trattare anche metadati, registrazioni vocali, informazioni biometriche o pattern comportamentali, spesso senza che il candidato ne sia consapevole.

Per questo è fondamentale:

  • Fornire un’informativa chiara su modalità e finalità del trattamento
  • Limitare la raccolta ai dati pertinenti (principio di minimizzazione)
  • Effettuare valutazioni d’impatto per i trattamenti automatizzati

Il trattamento HR coinvolge una varietà di dati personali, spesso anche di natura sensibile. L’uso di tecnologie avanzate comporta nuovi obblighi di trasparenza, minimizzazione e accountability. Una mappatura preventiva dei dati trattati è il primo passo per una gestione privacy conforme.

2. Adempimenti fondamentali secondo il GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) impone alle aziende che trattano dati personali una serie di obblighi strutturali, validi anche (e soprattutto) nel contesto HR. La selezione del personale deve quindi essere gestita secondo i principi di liceità, correttezza, trasparenza, e con una documentazione adeguata.

2.1. Informativa privacy: il quando conta

L’informativa ex art. 13 GDPR va resa prima della raccolta dei dati, se la candidatura avviene tramite form strutturato o piattaforma aziendale.
Nel caso di candidature spontanee, invece, come stabilito dall’art. 111-bis del Codice Privacy, l’informativa può essere fornita al primo contatto utile successivo alla ricezione del CV.

In entrambi i casi, l’informativa deve includere:

  • Finalità e base giuridica del trattamento
  • Tipi di dati trattati e tempi di conservazione
  • Destinatari dei dati e trasferimenti extra-UE, se presenti
  • Diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, reclamo al Garante)
  • Contatti del titolare e del DPO (se nominato)

2.2. Conservazione: definire un termine chiaro

Il GDPR impone che i dati siano conservati per un periodo limitato, proporzionato alla finalità per cui sono raccolti.
Le aziende devono quindi:

  • Specificare quanto tempo conserveranno i CV (es. 6 o 12 mesi dopo il termine della selezione)
  • Evitare conservazioni indefinite o non giustificate
  • Stabilire regole chiare per la cancellazione o anonimizzazione dei dati una volta esaurita la finalità

L’informativa deve indicare con trasparenza questo termine.

2.3. Minimizzazione e pertinenza

È responsabilità dell’azienda evitare la raccolta di dati non pertinenti o eccessivi.
Nei processi HR:

  • Vanno richiesti solo i dati strettamente necessari alla valutazione del profilo
  • È buona prassi non sollecitare informazioni sensibili, salvo per obblighi specifici (es. categorie protette)
  • Eventuali automatismi di raccolta dati (form con campi opzionali) devono essere progettati secondo logiche privacy-by-design

2.4. Misure di sicurezza e gestione degli accessi

Come previsto dall’art. 32 GDPR, il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per proteggere i dati dei candidati da:

  • Accessi non autorizzati
  • Alterazioni, perdite o divulgazioni indebite
  • Utilizzi impropri da parte del personale

Questo si traduce operativamente in:

  • Limitazione degli accessi ai soli incaricati HR
  • Audit interni sulle piattaforme ATS o cloud
  • Politiche di backup e di cancellazione sicura
  • Formazione periodica per il personale coinvolto

3. L’uso di strumenti AI nella selezione: vincoli e cautele

L’impiego dell’intelligenza artificiale nei processi HR – dall’analisi dei CV alla video-interview automatizzata – può ottimizzare i tempi e migliorare l’efficienza, ma introduce criticità legali e rischi di non conformità. Il GDPR, insieme al nascente quadro normativo europeo sull’AI (AI Act), richiede l’adozione di cautele specifiche.

3.1. Decisioni automatizzate e art. 22 GDPR

Il GDPR vieta che un candidato sia sottoposto a una decisione fondata esclusivamente su un trattamento automatizzato, se questa decisione produce effetti giuridici o impatta significativamente la sua persona.

Nel contesto della selezione, questo divieto può riguardare:

  • L’esclusione automatica da un processo selettivo
  • La valutazione algoritmica del CV (scoring, ranking)
  • L’analisi automatica di interviste registrate

Tali trattamenti sono ammessi solo se:

  • Il trattamento è necessario per l’esecuzione del contratto o misure precontrattuali
  • L’interessato ha prestato consenso esplicito
  • È prevista da una legge che garantisca diritti e libertà adeguati

In ogni caso, il candidato deve essere informato dell’automatismo e deve poter:

  • Richiedere l’intervento umano
  • Esprimere la propria opinione
  • Contestare la decisione

3.2. Supervisione umana significativa

Uno dei principi centrali del GDPR (e ancor più dell’AI Act) è quello della supervisione umana significativa (human oversight).
Ciò significa che l’uso di strumenti AI non può essere “cieco” o puramente formale. Serve un processo nel quale:

  • Un operatore umano valuta consapevolmente i risultati prodotti dall’algoritmo
  • Le decisioni non sono prese automaticamente ma con giudizio critico e discrezionalità
  • L’esito può essere modificato, annullato o approfondito

Questo approccio richiede formazione del personale HR, tracciabilità delle decisioni e capacità di intervenire su bias e anomalie.

3.3. Bias e discriminazioni: il rischio nascosto

Gli algoritmi, se non correttamente progettati e addestrati, possono replicare o amplificare pregiudizi esistenti.
Rischi comuni includono:

  • Penalizzazione indiretta di alcune fasce di età, genere o background
  • Esclusione di candidati atipici rispetto ai dati storici
  • Favoritismi impliciti in base al linguaggio del CV o alla provenienza geografica

Il principio di equità richiede un’attenta analisi preventiva dei dati utilizzati e delle logiche decisionali. È buona prassi effettuare audit periodici degli strumenti AI per verificare neutralità e imparzialità.

Un Caso Reale – Amazon
Un team interno di Amazon sviluppò un sistema di AI per selezionare i CV in modo automatizzato, con l’obiettivo di identificare i migliori candidati tra centinaia di curriculum. Tuttavia, il progetto venne abbandonato dopo che si scoprì che il modello penalizzava sistematicamente i profili femminili, in particolare per posizioni tech. Il bias era dovuto al fatto che il sistema era stato addestrato sui CV ricevuti dall’azienda in un decennio, prevalentemente da uomini.

3.4. DPIA e accountability

L’uso di strumenti AI nei processi HR rientra tra i trattamenti potenzialmente ad alto rischio, e può richiedere la redazione di una Valutazione d’Impatto sulla Protezione dei Dati (DPIA), obbligatoria quando:

  • Vi è una valutazione sistematica e automatizzata
  • I dati sono utilizzati per predire comportamenti o attitudini
  • L’algoritmo influisce sulla possibilità di accesso a un impiego

La DPIA deve documentare:

  • Finalità e logica del trattamento automatizzato
  • Rischi per i diritti dei candidati
  • Misure tecniche e organizzative adottate
  • Garanzie di supervisione umana e possibilità di intervento

L’uso di AI nella selezione richiede trasparenza, supervisione e attenzione al rischio di discriminazione. Le aziende devono evitare decisioni automatizzate prive di controllo umano, e garantire auditabilità, documentazione e rispetto dei diritti dei candidati. Integrare l’AI nella selezione significa assumersi una responsabilità tecnica, etica e giuridica.

Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

4. Policy e documentazione per la compliance

La gestione conforme dei dati personali nei processi HR – soprattutto quando sono coinvolti strumenti digitali o sistemi AI – richiede una documentazione accurata e policy interne chiare. La sola adozione di strumenti tecnologici non basta: serve un quadro organizzativo che assicuri tracciabilità, consapevolezza e responsabilità.

4.1. Informativa privacy per i candidati

Come stabilito dagli artt. 13 e 14 del GDPR e dall’art. 111-bis del Codice Privacy, l’informativa deve essere:

  • fornita al primo contatto utile in caso di candidatura spontanea
  • resa prima della raccolta nei moduli online o nei portali di recruiting

Deve contenere almeno:

  • Finalità del trattamento
  • Base giuridica (tipicamente: art. 6.1.b GDPR)
  • Dati trattati e durata della conservazione
  • Diritti dell’interessato e modalità di esercizio
  • Contatti del titolare e del DPO (se nominato)

È consigliabile predisporre formati brevi e comprensibili, con link a informative estese, anche in linguaggio semplificato per una migliore UX.

4.2. Regolamenti e procedure HR

L’azienda dovrebbe dotarsi di un regolamento interno che disciplini:

  • Le modalità di raccolta, accesso e archiviazione dei CV
  • Le regole di utilizzo degli strumenti digitali e AI
  • I criteri di minimizzazione dei dati e sicurezza informatica
  • Le procedure di cancellazione, conservazione, anonimizzazione

Tali policy devono essere note e accessibili al personale HR e agli eventuali consulenti o fornitori esterni.

4.3. Designazione e formazione del personale autorizzato

Chiunque abbia accesso ai dati dei candidati deve essere:

  • formalmente designato come autorizzato al trattamento
  • formato in materia di data protection e sicurezza
  • soggetto a regole precise sull’utilizzo dei sistemi informatici e sulla riservatezza

La formazione non deve essere una tantum, ma aggiornata periodicamente, specie in caso di adozione di nuove tecnologie.

4.4. DPIA e documentazione dell’uso di AI

Quando nei processi HR sono coinvolti strumenti basati su AI, è spesso necessario predisporre una Valutazione d’Impatto sulla Protezione dei Dati (DPIA), in particolare quando:

  • L’algoritmo influisce sulla selezione dei candidati
  • Si utilizzano strumenti di profilazione
  • I dati sono trattati in modo automatizzato e potenzialmente discriminatorio

La DPIA deve includere:

  • Descrizione del trattamento e delle tecnologie utilizzate
  • Analisi dei rischi per i diritti e le libertà degli interessati
  • Misure tecniche e organizzative adottate
  • Garanzie di supervisione umana, auditabilità e tracciabilità

4.5. Contratti con fornitori esterni

Nel caso in cui si utilizzino software, piattaforme cloud o ATS forniti da terzi, è necessario:

  • Verificare la conformità del fornitore al GDPR
  • Sottoscrivere un contratto di nomina a responsabile del trattamento (art. 28 GDPR)
  • Regolare trasferimenti extra-UE, sub-responsabili, diritti di audit
  • Prevedere obblighi di cooperazione e notifica in caso di data breach

La compliance non si esaurisce nell’informativa: richiede policy interne, documentazione formale, DPIA e gestione dei fornitori. Solo un sistema organizzato e documentato può sostenere l’uso sicuro e legittimo dei dati HR, specialmente in ambienti ad alta automazione.

5. Best practice per aziende in fase di crescita

Le aziende in fase di sviluppo – startup, scale-up o PMI in trasformazione digitale – affrontano la sfida di coniugare velocità operativa e conformità normativa. In particolare nei processi HR, l’adozione di strumenti di selezione automatizzata o piattaforme cloud rende necessaria una gestione consapevole e scalabile dei dati personali.

5.1. Integrare la compliance nella fase di design

È essenziale applicare fin da subito i principi di privacy-by-design e by-default. Ciò significa che, già nella progettazione dei processi HR e degli strumenti utilizzati, l’azienda dovrebbe:

  • Identificare le finalità del trattamento in modo chiaro
  • Limitare la raccolta ai dati strettamente necessari
  • Prevedere modalità di accesso controllate e sicure
  • Documentare le scelte fatte, anche in assenza di obblighi formali

Questo approccio riduce i rischi e consente di evitare modifiche correttive in fase avanzata, spesso più onerose.

5.2. Adottare strumenti affidabili e verificati

La selezione di strumenti digitali e AI deve tenere conto non solo della funzionalità, ma anche del livello di conformità e trasparenza garantito dal fornitore. È opportuno:

  • Prediligere piattaforme che offrono funzionalità GDPR-ready
  • Chiedere valutazioni di impatto, white paper o audit interni del fornitore
  • Verificare se sono disponibili meccanismi di intervento umano e di spiegabilità delle decisioni automatizzate

L’uso di soluzioni open source o gratuite richiede una valutazione tecnica e giuridica più approfondita.

5.3. Gestire i CV come processo, non come archivio casuale

Molte aziende, soprattutto in fase iniziale, raccolgono CV in modo disorganizzato: via email, senza policy scritte, né regole di conservazione.
Questo approccio espone a rischi inutili. È preferibile:

  • Centralizzare la ricezione dei CV tramite un form o una casella email dedicata
  • Predisporre un registro semplificato dei trattamenti
  • Stabilire tempi certi per la conservazione e cancellazione
  • Informare il candidato anche tramite template predefiniti al primo contatto

5.4. Coinvolgere un consulente privacy

Anche se non vi è obbligo di nominare un DPO, il coinvolgimento di un consulente privacy esterno può essere strategico per:

  • Redigere informative, policy e regolamenti interni
  • Supportare la scelta di strumenti AI compliant
  • Predisporre (o valutare la necessità di) una DPIA
  • Gestire eventuali reclami, richieste di accesso o data breach

Un supporto qualificato riduce errori e responsabilità in caso di controlli o contenziosi.

La compliance non è un freno alla crescita, ma un fattore abilitante. Le aziende che strutturano fin da subito i propri processi HR in modo conforme al GDPR e trasparente verso i candidati costruiscono fiducia, credibilità e resilienza, anche in un mercato competitivo e ad alta innovazione tecnologica.

In breve – Selezione del personale tra AI e GDPR

  • Il trattamento dei dati nei processi di selezione richiede chiarezza, trasparenza e documentazione: il consenso non è necessario, ma serve una base giuridica solida, di norma le misure precontrattuali (art. 6.1.b GDPR).
  • I CV inviati spontaneamente non devono contenere formule di autorizzazione al trattamento: l’informativa va fornita al primo contatto utile.
  • L’uso di strumenti AI nella selezione impone limiti precisi: divieto di decisioni automatizzate senza supervisione umana, rischio bias, obbligo di DPIA in molti casi.
  • Le aziende devono adottare policy interne, gestire i fornitori esterni con attenzione e formare il personale HR sull’uso corretto dei dati e degli algoritmi.
  • Anche le realtà in crescita possono strutturarsi in modo conforme e competitivo, grazie a strumenti selezionati con criterio, documentazione chiara e consulenza specialistica.

Stai integrando sistemi di Intelligenza Artificiale?

Contattaci per una consulenza legale personalizzata sull’AI compliance.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide, Nuove tecnologie

NDA nel mondo tech: come proteggere dati, codice e progetti digitali

Guide, Nuove tecnologie

DPIA e FRIA: guida pratica alla compliance AI e GDPR

Guide, Nuove tecnologie

Selezione del personale tra AI e GDPR: guida alla gestione conforme dei dati HR

Guide, Nuove tecnologie

Responsabilità civile dell’AI: chi risponde in caso di errore o danno?

Guide, Nuove tecnologie

AI spiegabile: guida alla trasparenza algoritmica e agli audit obbligatori

Guide, Nuove tecnologie

Dataset AI: guida legale alla raccolta e uso conforme dei dati

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Legal – Innovation – Business

Il nostro approccio al lavoro

Ti guidiamo passo dopo passo con soluzioni legali su misura che rispondono alle tue esigenze specifiche.

Step 1

Videocall conoscitiva gratuita

La sessione iniziale ci permette di identificare i punti chiave e delineare un piano d’azione.

Step 2

Preventivo chiaro

Dopo aver compreso le Tue necessità, Ti forniremo un preventivo dettagliato di ogni costo.

Step 3

Iniziamo la collaborazione

Una volta firmato l’incarico, daremo inizio alla collaborazione con un approccio strutturato.