GDPR nel Recruiting
Il GDPR (Regolamento UE 2016/679) regola il trattamento dei dati personali dei candidati. Nel recruiting impone: base giuridica chiara per il trattamento, durata di conservazione limitata (di norma 12-24 mesi salvo consenso), diritto di accesso e cancellazione, valutazione di impatto privacy (DPIA) per profilazione automatizzata.
Definizione estesa
GDPR nel Recruiting: Il GDPR (Regolamento UE 2016/679) regola il trattamento dei dati personali dei candidati. Nel recruiting impone: base giuridica chiara per il trattamento, durata di conservazione limitata (di norma 12-24 mesi salvo consenso), diritto di accesso e cancellazione, valutazione di impatto privacy (DPIA) per profilazione automatizzata.
I dati raccolti in fase di recruiting (CV, lettere motivazionali, registrazioni audio, valutazioni psicometriche) sono dati personali ai sensi del GDPR. Spesso includono categorie particolari (origine etnica visibile dalla foto, orientamento sessuale o religione deducibili da lettere di accompagnamento, dati sanitari per ruoli con visite mediche), che richiedono base giuridica rafforzata.
Le basi giuridiche tipiche per un ATS sono: - Esecuzione di misure precontrattuali (art. 6.1.b): copre la candidatura attiva del candidato a una posizione specifica. - Legittimo interesse (art. 6.1.f): può coprire la conservazione del CV in talent pool dopo il rifiuto, con bilanciamento documentato. - Consenso (art. 6.1.a): richiesto per usi specifici (es. comunicazioni marketing future, condivisione con aziende terze del gruppo).
Le durate di conservazione consigliate dall'Autorità Garante italiana sono: 12 mesi dalla candidatura per i candidati non assunti, salvo consenso esplicito alla conservazione prolungata; per gli assunti, le tempistiche standard del rapporto di lavoro.
I diritti del candidato (artt. 15-22 GDPR) che un ATS deve poter esercitare sono: accesso ai dati raccolti, rettifica, cancellazione (right to be forgotten), portabilità in formato strutturato, opposizione al trattamento, non essere soggetti a decisioni automatizzate che producono effetti significativi (art. 22) — quindi diritto a chiedere revisione umana se l'ATS ha respinto la candidatura sulla base del solo matching AI.
Per i sistemi che includono profilazione algoritmica (matching intelligente, scoring) è obbligatoria una DPIA — valutazione d'impatto sulla protezione dei dati, da revisare periodicamente.
L'errore più frequente è la conservazione eccessiva: molti ATS legacy mantengono CV per 5+ anni senza base giuridica. Il rischio è doppio: sanzione GDPR (fino al 4% del fatturato globale) e perdita di asset, perché le candidature vecchie sono comunque obsolete.
Cumino implementa retention policy configurabili per cliente, audit log nativo dei consensi, export GDPR-compliance e processo di cancellazione one-click.
Vuoi vedere come si usa nella pratica?
Cumino implementa nativamente i concetti chiave del recruiting moderno. Prenota una demo per vederli all'opera.
Prenota demoVedi prezzi