Il CV come “cavallo di Troia”: un candidato potrebbe usare il GDPR per fare causa all’azienda
di Pasquale Di Matteo
Lo so: anche nella tua azienda, l’automatizzazione dei processi HR è sempre più utilizzata, perché velocizza il lavoro ed è efficace per tenere tutto in ordine.
Tuttavia, questi nuovi sistemi potrebbero costarti parecchio.
Perché?
Qualcuno che conosce le normative invia un CV spontaneo, aspetta qualche mese, verifica se l’azienda ha gestito i suoi dati secondo il GDPR e, se trova irregolarità, fa causa. Ci sono casi documentati in cui il giudice ha dato ragione al candidato.
Il CV diventa un vero e proprio “cavallo di Troia” per aprire un contenuto sulla privacy.
PERCHÉ IL CV PUÒ DIVENTARE UN’ARMA
Il Curriculum Vitae è un documento che contiene dati personali sensibili: nome, contatti, percorso formativo, esperienze lavorative, talvolta anche elementi che possono rivelare stato di salute, origine, opinione politica o religione.
Per il GDPR, ogni trattamento di questi dati deve rispettare tre pilastri fondamentali.
Base giuridica chiara (art. 6 GDPR): consenso, legittimo interesse, obbligo legale, ecc.
Trasparenza: l’interessato deve ricevere un’informativa (art. 13) che spiega finalità, base giuridica, tempi di conservazione, diritti.
Corretto trattamento: limitazione della conservazione, sicurezza, minimizzazione, tracciabilità.
Se un’azienda riceve un CV spontaneo e lo conserva, lo archivia, lo passa a un sistema di screening o lo carica in un’AI senza aver fornito l’informativa e senza una base giuridica documentata, si crea un rischio concreto di contestazione.
Il candidato, sapendo che molte aziende non sono in regola, può usare questa irregolarità come pretesto per un’azione legale legittima.
IL MECCANISMO IN TRE STEP
Qualcuno manda il proprio CV spontaneamente, senza che ci sia una posizione aperta o un contatto precedente.
Dopo alcuni mesi, il candidato controlla se l’azienda ha gestito i dati come previsto dal GDPR (informativa, base giuridica, conservazione, uso di AI).
Se trova irregolarità, invia un reclamo al Garante della privacy o fa causa. In alcuni casi, il giudice ha riconosciuto la violazione e ha dato ragione al candidato.
E non serve che tu faccia qualcosa di sbagliato; basta che tu non invii la mail di ricezione del curriculum e di come lo tratterai per essere in torto.
Non tutte le cause vanno a buon fine, ma il rischio è reale: sanzioni, danni morali, costi legali e, soprattutto, un danno reputazionale per l’azienda o per la giunta comunale, come per il Comune di Afragola, condannato a pagare migliaia di euro di danni a un ex dipendente nel 2022, quando le regole erano anche meno stringenti di oggi.
L’AI AUMENTA IL RISCHIO
Un aspetto critico è l’uso di strumenti di intelligenza artificiale per leggere, filtrare o valutare i CV, come i famosi sistemi ATS (Applicant Tracking System), piattaforme digitali integrate con l’Intelligenza Artificiale che automatizzano, tracciano e filtrano le candidature, largamente usate da Agenzie per il Lavoro e da grandi aziende strutturate.
L’AI Act europeo classifica questi sistemi come ad alto rischio quando sono usati per la selezione del personale.
È necessaria una base giuridica chiara per il trattamento.
Deve esistere tracciabilità delle decisioni (chi, quando, come ha valutato, con quali strumenti, tarati e omologati da chi).
In molti casi è richiesta una DPIA (Valutazione d’Impatto sulla Protezione dei Dati).
È previsto il controllo umano sulle decisioni automatizzate. Il candidato ha il diritto di chiedere come è stata valutata da un umano (e quando, dove e da chi nella fattispecie) la valutazione preliminare di una macchina (software, AI).
Molte aziende usano AI per screening automatico senza aver fatto queste valutazioni, senza conoscerle, perciò, senza valutare quanto valutato dalle AI.
In quel caso, il rischio di non essere in regola è elevato.
DUE SOLUZIONI PER METTERSI IN REGOLA
Chi teme questo tipo di tattica non deve preoccuparsi della “situazione” (cioè l’esistenza di persone che usano questa strategia), ma deve agire sul “problema”, mettendosi in regola.
1. Informativa privacy al primo contatto
Ogni candidato deve sapere come l’azienda tratta i suoi dati. Per un CV inviato spontaneamente, la legge consente di fornire l’informativa al primo contatto utile, ad esempio nella mail con cui rispondere per fissare un colloquio. Ma deve esistere e deve essere inviato.
Anche a chi non vi interessa contattare per un colloquio.
Elementi essenziali dell’informativa
Identità del titolare del trattamento (azienda, indirizzo, PIVA).
Finalità del trattamento (valutazione candidatura).
Base giuridica (legittimo interesse o consenso).
Tipologia di dati trattati.
Periodo di conservazione (es. 12–24 mesi).
Diritti dell’interessato (accesso, rettifica, cancellazione, portabilità, opposizione).
Diritto di reclamo al Garante della privacy.
2. Governance dell’AI nei processi di recruiting
Se usi strumenti di AI per leggere, filtrare o valutare i CV: documenta la base giuridica del trattamento.
Assicurazione tracciabilità (log delle decisioni, chi ha usato l’AI, quale modello).
Effettuare una DPIA se il trattamento è suscettibile di alto rischio.
Implementa il controllo umano sulle decisioni automatizzate.
Stipula contratti GDPR con i fornitori di AI (responsabili del trattamento).
Fino a qualche anno fa, queste cose si potevano rimandare. Oggi, con modelli AI che elaborano dati personali ogni giorno, avere le carte in regola è la differenza tra lavorare tranquilli e rischiare multe e sanzioni che fanno male.
UN ESEMPIO DI MAIL DA INVIARE SUBITO, A CHIUNQUE INVII UN CV
Ecco un testo pronto da usare come prima risposta a un CV spontaneo, con informativa privacy inclusa.
“
Oggetto: Conferma di ricezione candidatura spontanea e informativa privacy (art. 13 GDPR)
Gentile [Nome del candidato],
grazie per aver inviato la sua candidatura spontanea a [Nome Azienda]. La confermo la ricezione del suo Curriculum Vitae e dei dati personali contenuti.
Informativa sul trattamento dei dati personali (art. 13 Regolamento UE 2016/679 – GDPR)
Ai sensi dell’art. 13 GDPR, la informiamo che i suoi dati personali saranno trattati da [Nome Azienda], con sede [Indirizzo], [Codice Fiscale/PIVA], come sotto descritto.
Finalità del trattamento: valutazione del profilo per eventuali opportunità di lavoro e instaurazione di un rapporto di lavoro.
Base giuridica del trattamento: legittimo interesse del titolare (art. 6(1)(f) GDPR) per la valutazione della candidatura spontanea; in caso di successiva fase di selezione, il trattamento potrà fondarsi anche sulla necessità di adempimento di precontrattuali (art. 6(1)(b) GDPR).
Tipologia dei dati: dati identificativi (nome, contatti), dati professionali (esperienze, formazione), eventuali dati di contatto per colloqui. Non sono richiesti dati particolari (sensibili) per la valutazione; se involontariamente inclusi, saranno trattati con le garanzie previste.
Periodo di conservazione: i dati saranno conservati per il tempo necessario alla valutazione della candidatura, non oltre [12/24] mesi dall’invio del CV, salvo il suo consenso esplicito per una conservazione più lunga o obblighi di legge.
Comunicazione a terzi: i dati potranno essere condivisi con responsabilità interni (HR, direzione) e, se necessario, con esterni (agenzie per il lavoro, fornitori di servizi) che agiscono come responsabilità del trattamento, in conformità al GDPR.
Diritti dell’interessato: Lei ha diritto di accesso, rettifica, cancellazione, limitazione, portabilità dei dati e opposizione al trattamento (art. 15–21 GDPR). Per esercitare i diritti, può contattare [email privacy@azienda.it] o inviare richiesta scritta a [Indirizzo].
Diritto di reclamo: potrà presentare reclamo all’Autorità di controllo (Garante per la protezione dei dati personali, www.garanteprivacy.it).
In caso di uso di strumenti di IA per screening del CV, la informiamo che il trattamento sarà condotto con garanzie di trasparenza, tracciabilità e controllo umano, in itinere e successivo; potrà richiedere ulteriori dettagli sul processo.
Prossimi passi
Se il suo profilo sarà considerato interessante, la invieremo una mail per fissare un primo colloquio conoscitivo. Nel caso non ci siano posizioni aperte al momento, la manterremo nel nostro pool di talenti per eventuali future opportunità coerenti con il suo profilo.
Resto a disposizione per qualsiasi chiarimento.
Cordiali saluti,
[Nome e Cognome]
[Ruolo – es. Responsabile Risorse Umane]
[Nome Azienda]
[Indirizzo]
[Telefono]
[Email]
[PIVA/Codice Fiscale]
“
CONOSCERE PER NON DOVER PAGARE
La tattica del “CV come cavallo di Troia” è reale e ha una forte base giuridica in tribunale, perciò, se a inviare il CV è una persona che conosce le norme vigenti, il rischio per l’azienda è elevato, così come la probabilità di dover sborsare migliaia di euro.
Il rischio non è l’esistenza di queste persone, ma il non avere le carte in regola.
Lo so che le AI sembrano la panacea per tutti i mali e che un sistema ATS elabora i CV per cui ti servirebbero dieci impiegati in più, ma il rischio di pagare in tribunale questo presunto risparmio esiste ed è molto più elevato di quanto tu creda.
Fornire un’informativa chiara al primo contatto e governare correttamente l’uso di AI nei processi di recruiting sono le due azioni fondamentali per ridurre il rischio di contenzioso e sanzioni.
Nell’era del recruiting automatizzato, la conformità al GDPR non è un optional, ma la differenza tra lavorare tranquilli e rischiare multe che fanno male.
PASQUALE DI MATTEO KINSAISEI 