Vai al contenuto
Gestione del personale

GDPR e CV: guida pratica alla gestione dei dati dei candidati

·
6 minuti di lettura
Hai bisogno d´aiuto per gestire i team
Valorizza l'esperienza dei tuoi team con una gestione del personale centralizzata, semplice e veloce. Scopri di più su Factorial!
Scritto da

La gestione dei curriculum vitae rappresenta uno degli aspetti più delicati del trattamento dei dati personali nell’ambito delle risorse umane. Ogni giorno aziende, enti pubblici, studi professionali e agenzie per il lavoro ricevono e archiviano migliaia di CV contenenti informazioni personali, recapiti, esperienze lavorative, titoli di studio e, in alcuni casi, anche categorie particolari di dati.

Nel 2026 il tema è diventato ancora più rilevante perché sempre più aziende utilizzano software ATS (Applicant Tracking System), piattaforme cloud e strumenti di intelligenza artificiale per la selezione del personale. Tutto ciò rende indispensabile conoscere gli obblighi previsti dalla normativa per evitare violazioni, sanzioni e trattamenti illeciti.

Il rapporto tra GDPR e CV: le basi della protezione dati

La gestione e la tutela delle informazioni personali all’interno dell’Unione europea si basano su un insieme di regole comuni, guidate principalmente dal GDPR, la normativa europea in vigore dal 2018. In Italia, questo testo si affianca al Codice della Privacy nazionale, che è stato aggiornato nel tempo per rimanere in linea con i requisiti comunitari.

L’applicazione pratica di queste leggi viene costantemente orientata dalle decisioni e dalle linee guida delle autorità competenti, tra cui il Garante italiano e il Comitato europeo per la protezione dei dati. Infine, per rispondere alle sfide poste dalle nuove tecnologie, il quadro normativo si è recentemente arricchito con l’AI Act, il regolamento europeo dedicato all’intelligenza artificiale, entrato progressivamente in vigore tra il 2025 e il 2026.

Le aziende e i selezionatori che raccolgono i curricula, al primo contatto utile (ad esempio nella pagina “Lavora con noi” del sito aziendale o nella prima email di risposta), devono spiegare chiaramente come, perché e per quanto tempo utilizzerà i dati del candidato.

I curricula non possono essere conservati a tempo indeterminato. Di norma, se la selezione non va a buon fine, i documenti dovrebbero essere cancellati entro un periodo ragionevole (spesso indicato in 12 o 24 mesi), a meno che non ci sia un interesse specifico e comunicato a mantenere il profilo in un database per future posizioni.

Infine, i file contenenti i CV devono essere memorizzati in archivi digitali o cartacei protetti, accessibili solo al personale addetto alla selezione, per evitare diffusioni non autorizzate.

Come gestire correttamente l’informativa tra GDPR e CV

Secondo le regole attuali, chi invia il proprio curriculum per candidarsi a una posizione lavorativa non ha l’obbligo di inserire alcuna formula di consenso. L’invio stesso del documento rappresenta una richiesta del candidato di avviare una fase pre-contrattuale (la selezione).

Nel caso della selezione del personale,  quando un candidato si candida spontaneamente oppure risponde a un annuncio di lavoro, l’azienda può trattare i dati personali (anche ricorrendo a software di gestione dei curriculum). Il GDPR stabilisce che, in questo caso specifico, la base legale non è il consenso, ma l’esecuzione di misure precontrattuali adottate su richiesta dell’interessato. L’invio stesso del CV rappresenta infatti la richiesta di avviare una trattativa di lavoro, e l’azienda è legittimata a trattare quei dati proprio per rispondere a tale richiesta.

Questo significa che non è più necessaria l’autorizzazione al trattamento dei dati, formula che per anni compariva in fondo ai curriculum e che oggi è sostanzialmente superata.

Il consenso scritto diventa invece necessario se nel CV vengono spontaneamente inserite informazioni protette in modo speciale, come l’appartenenza a categorie protette, dettagli sullo stato di salute (per esempio nel caso di assunzioni di categorie protette) o convinzioni religiose (come quando si appartiene a minoranze).

L’informativa deve indicare almeno:

  • identità del titolare del trattamento;
  • dati di contatto;
  • eventuale DPO;
  • finalità del trattamento;
  • base giuridica;
  • periodo di conservazione;
  • destinatari dei dati;
  • eventuali trasferimenti extra UE;
  • diritti dell’interessato;
  • possibilità di proporre reclamo al Garante.

Sanzioni e rischi legali per la cattiva gestione

Una gestione non conforme dei CV può comportare importanti conseguenze. Il GDPR prevede un sistema sanzionatorio progressivo, volto a punire la negligenza nella custodia delle informazioni personali.

Tra gli errori più frequenti figurano:

  • conservazione illimitata dei curriculum;
  • assenza dell’informativa, quando necessaria;
  • database non protetti e accessi indiscriminati ai CV;
  • invio accidentale dei curriculum a soggetti non autorizzati;
  • utilizzo dei dati per finalità diverse dalla selezione.

Gli errori formali – come la mancata fornitura dell’informativa privacy al candidato o la conservazione dei CV oltre i tempi dichiarati senza una giustificazione – possono comportare multe fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

In caso di trattamento illecito di dati particolari (es. informazioni sulla salute o categorie protette) senza consenso, o diffusione non autorizzata dei CV, le sanzioni possono raggiungere i 20 milioni di euro o fino al 4% del fatturato mondiale annuo.

Oltre alle multe delle autorità, l’azienda può essere citata in giudizio direttamente dai candidati. Infatti, l’articolo 82 del GDPR stabilisce che chiunque subisca un danno (anche solo morale, come lo stress o la perdita di controllo sui propri dati) a causa di un trattamento illecito ha il diritto di ottenere il risarcimento da parte del titolare del trattamento.

A prescindere dal tipo di errore e/o violazione, bisogna sempre ricordare che se l’archivio dei curricula aziendali subisce un attacco informatico o un furto di dati, l’azienda è obbligata a notificare l’evento al Garante ed, eventualmente, agli stessi candidati. Questo tipo di pubblicità negativa mina la fiducia del mercato e rende l’azienda meno attrattiva per i futuri talenti (employer branding).

Strumenti digitali e intelligenza artificiale

Nel 2026 molte imprese utilizzano sistemi di intelligenza artificiale per supportare il recruiting. Gli ATS possono infatti:

  • leggere automaticamente i CV;
  • classificare le candidature;
  • individuare competenze;
  • effettuare ranking dei candidati;
  • suggerire i profili più compatibili.

Questi strumenti possono migliorare l’efficienza della selezione, ma comportano anche nuovi obblighi normativi. Con l’applicazione progressiva dell’AI Act europeo, anche in Italia i sistemi di AI impiegati nell’ambito dell’occupazione e della selezione del personale sono generalmente classificati come sistemi ad alto rischio.

Di conseguenza, l’adozione di queste tecnologie richiede l’implementazione di una serie di misure di conformità strutturate, come:

  • sistemi di gestione del rischio, per identificare, valutare e mitigare i rischi associati all’uso dell’intelligenza artificiale, sia durante la fase di progettazione sia lungo tutto il ciclo di utilizzo dello strumento;
  • documentazione tecnica, che spieghi il funzionamento del sistema, le logiche algoritmiche sottostanti e le modalità con cui vengono elaborate le decisioni o le valutazioni;
  • supervisione umana, poiché i sistemi ad alto rischio non possono operare in totale autonomia senza un controllo, quindi devono essere previsti meccanismi che consentano a figure umane competenti di comprendere il funzionamento dell’AI, bloccarla o correggerne gli output in caso di anomalie.
  • monitoraggio continuo, per garantire la massima trasparenza e consentire, in caso di verifiche, la tracciabilità delle decisioni automatizzate o dei suggerimenti forniti ai selezionatori.

Infine, occorre evidenziare che l’introduzione delle regole previste dall’AI Act non sostituisce né attenua i vincoli già stabiliti dal GDPR. L’utilizzo dell’intelligenza artificiale nella selezione del personale deve quindi muoversi in parallelo con il rispetto della normativa sulla protezione dei dati, garantendo che la raccolta, l’analisi e la conservazione delle informazioni personali dei candidati rimangano lecite, trasparenti e limitate alle sole finalità connesse alla posizione lavorativa offerta.

Domande frequenti (FAQ)

Per quanto tempo un’azienda può conservare i CV?

Il GDPR non prevede un termine preciso. I curriculum devono essere conservati soltanto per il tempo necessario alla selezione. In molti casi un periodo compreso tra 12 e 24 mesi è considerato ragionevole, purché sia indicato nell’informativa privacy e giustificato dalle esigenze organizzative dell’azienda.

Posso chiedere la cancellazione del mio CV dal database di un’azienda?

Sì. L’interessato può esercitare il diritto alla cancellazione previsto dall’articolo 17 del GDPR, chiedendo che il proprio curriculum venga eliminato quando non sussistono più le condizioni per il trattamento o quando ricorrono gli altri presupposti previsti dalla normativa. L’azienda deve valutare la richiesta e rispondere nei termini stabiliti dal Regolamento.

Cosa deve fare un’azienda quando riceve un CV via mail?

L’azienda deve trattare il curriculum nel rispetto del GDPR. In particolare dovrebbe registrare correttamente la candidatura, fornire l’informativa privacy se non è già stata resa disponibile, limitare l’accesso ai soli soggetti autorizzati, conservare il CV per un periodo definito e adottare adeguate misure di sicurezza per proteggerne la riservatezza.

Consulente del lavoro ed esperta di Fisco, Tasse e Diritto. Laureata in Scienze dell'Amministrazione e dell'Organizzazione presso l'Università di Palermo, dal 2016, mi occupo principalmente di scrittura su temi legati a Previdenza, Economia e Lavoro, con un focus sull'attualità e i temi caldi. La mia curiosità e passione mi spinge al costante aggiornamento e un’analisi approfondita delle dinamiche di cui tratto. Scrivo perché quando lo faccio ho l'impressione di stare al posto giusto nel momento giusto