Skip to content

ATS e candidati: i dati che rischiano di trasformare il reclutamento in un minefield legale

Ogni candidatura archiviata in un ATS genera obblighi di conservazione, diritti d'accesso e rischi GDPR reali. Questo articolo analizza i compliance blind spot del recruiting digitale: cosa si può e non si può fare con i dati dei candidati, quando eliminare i CV e come valutare un sistema in ottica privacy.

Aggiornato il 3 giugno 2026 · Team Laborio
ATS e candidati: i dati che rischiano di trasformare il reclutamento in un minefield legale

Il recruiting digitale ha reso la selezione del personale più rapida, scalabile e misurabile. Ma ogni volta che un candidato invia un CV attraverso un portale aziendale o una job board integrata, inizia un ciclo di trattamento dati personali soggetto al GDPR — e spesso gestito con una disinvoltura che espone le organizzazioni a rischi concreti. Non si tratta di questioni teoriche: le autorità di controllo europee hanno già emesso sanzioni significative nei confronti di aziende che non rispettavano i diritti degli interessati in ambito recruiting.

Questo articolo affronta i principali compliance blind spot degli Applicant Tracking System (ATS): dalla base giuridica del trattamento alle politiche di retention dei dati, dai diritti di accesso e cancellazione fino alla valutazione automatizzata dei profili. L'obiettivo è offrire agli HR manager e ai recruiter un quadro operativo chiaro per muoversi con consapevolezza.

Perché il dato del candidato è (già) un dato personale sensibile

Un curriculum vitae contiene, per sua natura, una quantità di informazioni personali che va ben oltre nome e cognome: data di nascita, indirizzo, storico lavorativo, livello di istruzione, talvolta fotografie e — in modo non sempre voluto — indicatori indiretti di salute, origine etnica, orientamento politico o sindacale. Il GDPR classifica alcune di queste categorie come dati particolari (art. 9), che richiedono una base giuridica rafforzata e misure di protezione aggiuntive.

Il problema non riguarda solo i candidati assunti: riguarda, e forse soprattutto, tutti quelli che non vengono selezionati. Questi profili rimangono negli archivi degli ATS per mesi o anni, spesso senza che sia mai stato definito un piano di retention, senza che al candidato sia stata data un'informativa adeguata e senza che la base giuridica del trattamento sia mai stata formalizzata. È qui che si concentra la parte più critica del rischio legale.

La base giuridica più comune nel recruiting è il legittimo interesse (art. 6, par. 1, lett. f) oppure il consenso (lett. a). Le due opzioni non sono equivalenti: il legittimo interesse presuppone un bilanciamento documentato tra l'interesse del titolare e i diritti dell'interessato; il consenso deve essere libero, specifico, informato e revocabile in qualsiasi momento — il che implica che, se il candidato lo revoca, i dati devono essere cancellati. Usare il consenso come base giuridica "comoda" senza predisporre meccanismi di revoca efficaci è un errore frequente e costoso.

I tempi di conservazione dei CV: una zona grigia ad alto rischio

Quanto a lungo si possono conservare i dati di un candidato non selezionato? Il GDPR non fissa un termine preciso per il recruiting, ma stabilisce il principio di limitazione della conservazione: i dati vanno tenuti solo per il tempo strettamente necessario alla finalità per cui sono stati raccolti.

In pratica, questo significa che un CV ricevuto per una posizione specifica non può restare in archivio indefinitamente con la motivazione generica di "eventuali opportunità future". Se si vuole conservarlo per finalità di talent pooling — ovvero per contattare il candidato in futuro — occorre una base giuridica separata, tipicamente un consenso esplicito e granulare, distinto da quello per la candidatura originaria.

Le prassi più comuni tra le organizzazioni strutturate prevedono:

  • Candidature non selezionate: cancellazione o anonimizzazione entro 6-12 mesi dalla chiusura della selezione.
  • Candidature spontanee: conservazione fino a 12 mesi con consenso; oltre, necessità di rinnovare il consenso o cancellare.
  • Talent pool attivi: trattamento su base consensuale esplicita, con possibilità di opt-out semplice e immediato.
  • Documentazione dei colloqui e delle valutazioni: stessi termini del profilo, con attenzione particolare agli appunti manoscritti e alle note interne, anch'esse soggette al GDPR.

La mancata definizione di una data retention policy per i dati dei candidati è una delle violazioni più frequentemente rilevate nelle ispezioni del Garante per la protezione dei dati personali. Le sanzioni, in base all'art. 83 del GDPR, possono arrivare al 4% del fatturato mondiale annuo o a 20 milioni di euro. Per un approfondimento sui costi reali delle violazioni documentali in ambito HR, è utile consultare l'analisi disponibile su /blog/sanzioni-violazioni-conservazione-documenti-hr.

Diritto di accesso, rettifica e cancellazione: cosa succede quando un candidato chiede i propri dati

Il GDPR riconosce agli interessati — inclusi i candidati — una serie di diritti esercitabili in qualsiasi momento: accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione del trattamento (art. 18), portabilità (art. 20) e opposizione (art. 21). In ambito recruiting, questi diritti vengono raramente esercitati, ma quando accade le aziende si trovano spesso impreparate.

Un candidato che chiede: "Quali dati avete su di me? Mostratemi i feedback del colloquio e qualsiasi nota interna che mi riguarda" ha il pieno diritto di farlo. L'azienda deve rispondere entro 30 giorni (prorogabili a 90 in casi complessi) e fornire una copia completa dei dati trattati — compresi gli eventuali punteggi assegnati da algoritmi o sistemi di ranking.

Questo crea un nodo delicato: molti ATS producono scoring automatici dei profili, basati su parole chiave nel CV, su criteri di seniority o su pattern storici di hiring. Se un candidato chiede spiegazioni sul proprio punteggio, l'organizzazione è tenuta — ai sensi dell'art. 22 — a fornire "informazioni significative sulla logica utilizzata". Non è sufficiente rispondere "è un algoritmo": occorre saper descrivere i criteri, il peso attribuito a ciascuno e le logiche di esclusione automatica.

Cosa predisporre in anticipo:

  1. Un registro dei trattamenti (art. 30) che includa esplicitamente il trattamento dati nel recruiting.
  2. Un'informativa privacy dedicata ai candidati, distinta da quella per i dipendenti, resa disponibile al momento della candidatura.
  3. Un processo interno per gestire le richieste degli interessati (DSR — Data Subject Request), con responsabilità chiare e tempi certi.
  4. La capacità di esportare o cancellare i dati di un singolo candidato dall'ATS in modo granulare, senza dover agire manualmente su backup o sistemi legacy.

Algoritmi, bias e obbligo di spiegabilità

L'automazione del primo screening tramite ATS è ormai prassi in molte organizzazioni. Ma l'utilizzo di algoritmi nella selezione introduce un rischio che va oltre la compliance GDPR: quello della discriminazione algoritmica. Sistemi addestrati su dati storici di hiring tendono a replicare — e talvolta amplificare — i bias presenti nei processi precedenti, penalizzando candidati appartenenti a gruppi sottorappresentati.

Dal punto di vista normativo, in Italia vige il D.Lgs. 198/2006 (Codice delle pari opportunità) e il D.Lgs. 216/2003 che vietano discriminazioni in base a genere, età, origine etnica, disabilità, religione, orientamento sessuale. L'automazione non costituisce uno scudo: se uno strumento produce sistematicamente risultati discriminatori, la responsabilità rimane in capo al datore di lavoro.

Concretamente, questo significa che ogni organizzazione che utilizza filtri automatici nell'ATS dovrebbe:

  • Documentare i criteri di esclusione automatica applicati a ciascuna selezione.
  • Monitorare periodicamente la distribuzione dei candidati avanzati e scartati per caratteristiche demografiche, verificando l'assenza di pattern sistematici.
  • Garantire che le decisioni finali di assunzione siano sempre prese da un essere umano, con la possibilità di override rispetto al ranking algoritmico.
  • Includere i rischi di bias algoritmico nella valutazione d'impatto sulla protezione dei dati (DPIA), obbligatoria quando il trattamento automatizzato è su larga scala.

Il Garante italiano si è espresso più volte sull'obbligo di DPIA per i trattamenti di profilazione automatica nel recruiting. Un sistema ATS che produce ranking automatici su larga scala rientra tipicamente tra i trattamenti ad alto rischio che richiedono una valutazione preliminare obbligatoria.

Come valutare un ATS in ottica privacy: i criteri che contano davvero

Scegliere una piattaforma di recruiting non è solo una decisione funzionale: è una decisione che ha impatti diretti sulla compliance aziendale. Nell'ambito della GDPR, il titolare del trattamento (l'azienda che assume) rimane responsabile anche dei trattamenti effettuati da un responsabile esterno (il fornitore dell'ATS). Questo rapporto va formalizzato con un Data Processing Agreement (DPA), disciplinato dall'art. 28 del GDPR.

Quando si valuta uno strumento ATS, questi sono i criteri di privacy che non possono mancare nella due diligence:

  • DPA disponibile e aggiornato: il fornitore deve mettere a disposizione un accordo sul trattamento dei dati che specifichi finalità, misure di sicurezza, sub-responsabili autorizzati e politiche di cancellazione.
  • Localizzazione dei dati: i dati dei candidati devono essere ospitati in server all'interno dello Spazio Economico Europeo (SEE), oppure il fornitore deve garantire trasferimenti extra-UE conformi agli artt. 44-49 del GDPR (clausole contrattuali standard, decisioni di adeguatezza, ecc.).
  • Funzionalità di cancellazione granulare: la piattaforma deve permettere di cancellare o anonimizzare il profilo di un singolo candidato senza compromettere i dati aggregati o gli altri profili.
  • Log degli accessi: chi ha consultato il profilo di un candidato e quando? Un ATS conforme deve tenere un audit trail degli accessi ai dati personali.
  • Gestione del consenso: la piattaforma deve consentire di raccogliere, tracciare e revocare il consenso del candidato in modo documentato, distinguendo tra consenso alla candidatura e consenso al talent pool.
  • Supporto alla DPIA: il fornitore deve fornire documentazione sufficiente per consentire al titolare di completare la valutazione d'impatto, incluse informazioni sulle logiche algoritmiche eventualmente implementate.

Sul piano della firma dei documenti correlati alla selezione — offerte di lavoro, lettere di incarico, moduli di consenso — è importante anche capire quali strumenti di firma elettronica siano giuridicamente adeguati: un approfondimento è disponibile su /blog/firma-elettronica-limiti-legali-documenti-hr.

Errori comuni da evitare (e come correggerli)

Al di là dei requisiti formali, nella pratica quotidiana del recruiting digitale si ripetono alcuni errori che aumentano significativamente l'esposizione legale:

Raccogliere più dati del necessario. Chiedere la data di nascita, lo stato civile o la fotografia quando non sono rilevanti per la selezione viola il principio di minimizzazione dei dati (art. 5, par. 1, lett. c). Molti form di candidatura contengono campi ereditati da prassi pre-GDPR che andrebbero eliminati o resi facoltativi.

Non formare chi gestisce i dati. Recruiter e hiring manager che accedono ai profili nell'ATS sono spesso inconsapevoli dei loro obblighi come "autorizzati al trattamento". La formazione è un requisito, non un optional.

Ignorare i candidati provenienti da LinkedIn o job board. Quando i profili vengono importati automaticamente nell'ATS da fonti esterne, l'obbligo informativo non decade: l'azienda deve informare il candidato del trattamento dei suoi dati entro un termine ragionevole (generalmente entro 1 mese dall'acquisizione).

Non aggiornare l'informativa privacy ai cambiamenti di sistema. Ogni modifica rilevante all'ATS — un nuovo modulo di AI ranking, l'integrazione di una nuova job board, il cambio di hosting — va valutata in termini di impatto sulla privacy e, se necessario, riflessa nell'informativa agli interessati.

Condividere i profili dei candidati su canali non sicuri. Email, chat aziendali o cartelle condivise non cifrate sono mezzi inadeguati per la circolazione dei dati di selezione. Il profilo va condiviso esclusivamente tramite l'ATS stesso, con accessi tracciati e profilati per ruolo.

Verso un recruiting digitale davvero responsabile

La compliance in ambito recruiting non è un vincolo burocratico: è una componente dell'employer brand. I candidati sono sempre più consapevoli dei propri diritti digitali, e un processo di selezione opaco o tecnicamente non conforme può trasformarsi — nel peggiore dei casi — in un procedimento davanti al Garante, in una class action o semplicemente in recensioni negative che compromettono la reputazione dell'azienda sui marketplace del lavoro.

Adottare un approccio privacy-by-design nel recruiting significa integrare la protezione dei dati fin dalla progettazione del processo: scegliere con cura gli strumenti, definire politiche di retention chiare prima di aprire una selezione, formare chi gestisce i profili, documentare le decisioni. Non è un progetto straordinario: è una prassi che si consolida con metodo e continuità.

Il GDPR, in questo senso, non è solo un insieme di obblighi: è un'opportunità per costruire processi di selezione più equi, trasparenti e difendibili — davanti ai candidati, ai regolatori e, in ultima analisi, al mercato. Per chi gestisce anche la fase successiva all'assunzione, i medesimi principi di rigore documentale si applicano lungo tutto il ciclo di vita del rapporto di lavoro, come evidenziato nell'analisi dei rischi legali legati alla gestione digitale dei documenti HR su /blog/buste-paga-digitali-rischi-legali-compliance.

Domande frequenti

Per quanto tempo posso conservare il CV di un candidato non selezionato?

Il GDPR non fissa un termine preciso, ma impone la limitazione della conservazione alla sola durata necessaria per la finalità originaria. La prassi più diffusa e prudente è la cancellazione o anonimizzazione entro 6-12 mesi dalla chiusura della selezione. Per conservare il profilo oltre tale termine (ad esempio per un talent pool), è necessario un consenso esplicito e separato del candidato.

Devo fare una DPIA se utilizzo un ATS con ranking automatico dei candidati?

In linea generale, sì. Il trattamento automatizzato su larga scala di dati personali per scopi di selezione rientra tipicamente tra le attività ad alto rischio che richiedono una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 del GDPR. Il Garante italiano ha indicato esplicitamente la profilazione automatica come attività che può richiedere DPIA.

Un candidato può chiedermi di vedere gli appunti del colloquio e il punteggio assegnato dall'algoritmo?

Sì. Il diritto di accesso (art. 15 GDPR) comprende qualsiasi dato personale trattato, incluse le note interne dei recruiter e i punteggi algoritmici. Per le decisioni automatizzate, l'azienda è tenuta a fornire 'informazioni significative sulla logica utilizzata', cioè a spiegare i criteri e il peso attribuito a ciascun fattore.

Cosa succede se importo profili LinkedIn o da job board nell'ATS senza informare i candidati?

Se i candidati non hanno già ricevuto un'informativa adeguata, l'azienda è tenuta a informarli del trattamento entro un termine ragionevole (generalmente non oltre un mese dall'acquisizione). Omettere questo passaggio costituisce una violazione dell'art. 14 del GDPR, che disciplina i dati non raccolti direttamente dall'interessato.

Il fornitore ATS è considerato un responsabile del trattamento? Come va regolato il rapporto?

Sì. Il fornitore dell'ATS agisce come responsabile del trattamento ai sensi dell'art. 28 GDPR. Il rapporto deve essere regolato da un Data Processing Agreement (DPA) che specifica finalità, misure di sicurezza, elenco dei sub-responsabili e obblighi di cancellazione. In assenza di DPA, il titolare è esposto a responsabilità diretta in caso di violazione.

È legale usare filtri automatici che escludono candidati in base all'anno di laurea o al gap occupazionale?

L'utilizzo di filtri automatici è lecito solo se i criteri sono pertinenti, non discriminatori e documentati. Filtri che producono sistematicamente l'esclusione di categorie protette (ad esempio escludendo indirettamente candidati over 50 o donne rientranti dalla maternità) possono configurare discriminazione indiretta ai sensi del D.Lgs. 216/2003 e del Codice delle pari opportunità, indipendentemente dall'intenzione.

Articoli correlati

Documenti HR: quanto costa una violazione di conservazione

Sanzioni GDPR, multe del Ministero del Lavoro, contenzioso giuslavoristico: le violazioni nella conservazione dei documenti HR hanno un costo reale e spesso sottovalutato. Una guida ai rischi normativi e agli audit interni per prevenirli.

Leggi l’articolo

Firma elettronica: quando NON basta in ambito lavorativo

Non tutti i documenti HR possono essere firmati elettronicamente. Analisi dei limiti legali della firma elettronica nei processi del lavoro: quando la normativa impone la forma scritta autenticata, il documento originale cartaceo e come evitare conseguenze legali gravi.

Leggi l’articolo

Buste paga digitali: rischi legali e compliance che nessuno nomina

Dematerializzare i cedolini non è solo una scelta tecnica: porta con sé obblighi di conservazione, responsabilità legali e rischi di non conformità spesso sottovalutati. Un'analisi approfondita del "lato oscuro" della busta paga digitale.

Leggi l’articolo

Inizia la prova gratuita

30 giorni gratis · Attivazione immediata

Prova gratis 30 giorni Vedi i prezzi
Torna al blog