AI recruiting e conformità GDPR in Italia: regole e checklist 2026
L'introduzione di sistemi di intelligenza artificiale nei processi di selezione del personale rappresenta, in Italia, una delle aree a più elevato rischio regolatorio. Il combinato disposto tra Regolamento UE 2016/679 (GDPR), AI Act (Regolamento UE 2024/1689), Decreto Legislativo 196/2003 come modificato, Statuto dei Lavoratori e provvedimenti del Garante per la protezione dei dati personali configura un quadro denso, in cui ogni scelta tecnica del titolare del trattamento produce conseguenze giuridiche immediate.
Questo documento ricostruisce il perimetro normativo applicabile all'uso di sistemi di AI per attività di sourcing, screening curricula, valutazione candidati e supporto alle decisioni di assunzione. Non sostituisce un parere legale e non costituisce consulenza professionale: rappresenta una sintesi operativa orientata a responsabili HR, Data Protection Officer, direzioni generali e funzioni compliance che debbano impostare o revisionare processi di AI recruiting conformi al diritto italiano vigente alla data di aprile 2026.
1. Perimetro normativo applicabile
1.1 Le fonti rilevanti
Il quadro di riferimento per il trattamento di dati personali dei candidati mediante sistemi automatizzati si articola su quattro livelli principali. Il primo è costituito dal GDPR, che fissa i principi generali del trattamento (articolo 5), individua le basi giuridiche ammissibili (articolo 6), disciplina le categorie particolari di dati (articolo 9), regola le decisioni automatizzate e la profilazione (articolo 22) e prescrive la valutazione d'impatto sulla protezione dei dati (articolo 35).
Il secondo livello è rappresentato dal Codice in materia di protezione dei dati personali (Decreto Legislativo 196/2003), che integra il GDPR per profili specifici della disciplina italiana, e dallo Statuto dei Lavoratori (Legge 300/1970), il cui articolo 4 in tema di controlli a distanza assume rilievo ogniqualvolta lo strumento di selezione possa, anche solo indirettamente, monitorare l'attività del lavoratore o del candidato.
Il terzo livello è costituito dai provvedimenti, dalle linee guida e dalle FAQ del Garante per la protezione dei dati personali, che hanno progressivamente delineato un orientamento prudenziale rispetto agli strumenti di valutazione automatizzata applicati al rapporto di lavoro e alla fase pre-contrattuale.
Il quarto livello, infine, è rappresentato dall'AI Act, applicabile a partire dalle scadenze scaglionate previste dall'articolo 113 del Regolamento. I sistemi di AI utilizzati per il reclutamento, la selezione, l'assegnazione di compiti, il monitoraggio e la valutazione delle performance ricadono nell'allegato III del Regolamento e sono qualificati come sistemi ad alto rischio. La disciplina dell'AI Act si somma, non sostituisce, agli obblighi di protezione dei dati personali. Per un inquadramento sistematico delle scadenze e degli adempimenti, si rinvia all'analisi dedicata in AI Act Italia: guida completa.
1.2 Qualificazione del trattamento
Il trattamento di candidature per finalità di selezione costituisce trattamento di dati personali ai sensi dell'articolo 4 GDPR e, in molti casi, profilazione ai sensi dell'articolo 4, paragrafo 4. La presenza di componenti di intelligenza artificiale (modelli di scoring, parsing semantico dei curricula, matching automatizzato tra job description e profilo, ranking dei candidati) eleva sistematicamente il livello di rischio, poiché il sistema produce valutazioni che incidono sull'accesso al lavoro, una delle aree più sensibili nell'ottica del legislatore europeo.
2. L'articolo 22 GDPR e le decisioni automatizzate
2.1 La regola e le eccezioni
L'articolo 22 GDPR stabilisce il principio per cui l'interessato ha diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Le eccezioni sono tre, tassativamente individuate dal paragrafo 2: la decisione automatizzata è necessaria per la conclusione o l'esecuzione di un contratto; è autorizzata dal diritto dell'Unione o dello Stato membro con previsione di misure adeguate; si fonda sul consenso esplicito dell'interessato.
Nel contesto del recruiting, l'eccezione "necessità contrattuale" è interpretata restrittivamente: la giurisprudenza e i pareri del Garante chiariscono che la mera convenienza organizzativa del titolare non integra il requisito di necessità. Il consenso esplicito, dal canto suo, presenta nell'ambito lavorativo profili noti di squilibrio di potere tra le parti, che ne mettono in discussione la libertà ai sensi dell'articolo 7 GDPR e del considerando 43.
2.2 Le garanzie minime
Quando una decisione automatizzata significativa è ammissibile, l'articolo 22, paragrafo 3, impone che il titolare adotti misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato. Tra queste rientrano almeno: il diritto di ottenere l'intervento umano da parte del titolare, il diritto di esprimere la propria opinione e il diritto di contestare la decisione.
Sul piano operativo, ciò significa che ogni sistema di screening AI applicato a candidature deve prevedere un punto di intervento umano effettivo, documentato, non meramente formale. Una revisione che si limiti a confermare in modo automatico l'output del modello non soddisfa il requisito.
3. Base giuridica del trattamento
3.1 Le opzioni disponibili
Le basi giuridiche teoricamente utilizzabili per i trattamenti di selezione sono tre: il legittimo interesse del titolare (articolo 6, paragrafo 1, lettera f), l'esecuzione di misure precontrattuali su richiesta dell'interessato (lettera b) e il consenso (lettera a). La lettera c, obbligo legale, può rilevare per profili accessori (per esempio, conservazione documentale ai fini fiscali) ma non costituisce base autonoma del trattamento di selezione.
L'esecuzione di misure precontrattuali è generalmente la base più solida per la fase iniziale del rapporto: il candidato che invia il proprio curriculum richiede implicitamente al titolare di valutarlo in vista di un possibile contratto di lavoro. Questa base, tuttavia, copre l'attività di valutazione strettamente funzionale alla candidatura presentata, non l'arricchimento del profilo con dati raccolti da fonti terze, né l'inserimento del candidato in talent pool generici per future selezioni non specificamente richieste.
Il legittimo interesse richiede il superamento del test di bilanciamento: il titolare deve documentare la legittimità dell'interesse perseguito, la necessità del trattamento rispetto a tale interesse e la prevalenza dell'interesse del titolare rispetto ai diritti e alle libertà fondamentali dell'interessato. Nei trattamenti che impiegano sistemi di profilazione algoritmica, il bilanciamento è tendenzialmente sfavorevole al titolare, salvo robuste garanzie compensative.
Il consenso, infine, rimane praticabile per finalità ulteriori e separate (per esempio, la conservazione del curriculum oltre la durata della selezione specifica, la valutazione per posizioni diverse da quella per cui ci si è candidati). Deve essere libero, specifico, informato, inequivocabile e revocabile in ogni momento.
3.2 Categorie particolari di dati
Quando il trattamento coinvolge, anche solo potenzialmente, dati appartenenti alle categorie particolari di cui all'articolo 9 GDPR (origine etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati relativi alla salute, alla vita sessuale o all'orientamento sessuale, dati biometrici e genetici), si aggiunge un livello ulteriore di tutela. Nel contesto HR, il riferimento più frequente è all'articolo 9, paragrafo 2, lettera b, che ammette il trattamento se necessario per assolvere obblighi del titolare in materia di diritto del lavoro, della sicurezza sociale e della protezione sociale, nella misura autorizzata dal diritto dell'Unione o degli Stati membri.
I sistemi di videointervista con analisi delle espressioni facciali, del tono di voce o di altri parametri biometrici e comportamentali ricadono in questa cornice. Il loro utilizzo, anche se tecnicamente possibile, è soggetto a vincoli stringenti, e nella pratica recente è stato oggetto di valutazioni critiche da parte di autorità di vigilanza europee.
4. Il quadro tracciato dal Garante Privacy
L'autorità italiana ha negli ultimi anni adottato una postura prudenziale nei confronti dei trattamenti algoritmici in ambito lavorativo. Si segnalano in particolare gli interventi sui sistemi di rating reputazionale, sulle piattaforme di gig economy con algoritmi di assegnazione del lavoro, sul whistleblowing e sui controlli a distanza. Il filo conduttore è la richiesta di trasparenza algoritmica, di proporzionalità delle misure adottate, di documentazione delle scelte tecniche e di garanzia effettiva del diritto all'intervento umano.
Per quanto attiene specificamente all'AI recruiting, l'orientamento desumibile dai provvedimenti e dalle FAQ pubblicati richiede che il titolare: documenti la logica del sistema in modo comprensibile per l'interessato; non utilizzi categorie di dati superflue rispetto alla finalità; eviti la creazione di profili predittivi che vadano oltre quanto necessario per la valutazione della candidatura specifica; assicuri che il sistema non produca effetti discriminatori indiretti, anche in assenza di intento.
La verifica di non discriminazione algoritmica è uno degli aspetti più tecnicamente complessi e giuridicamente delicati. Va integrata sia nella fase di progettazione del sistema (data minimization, selezione delle feature, validazione del training set) sia nella fase di esercizio (monitoraggio continuo degli esiti, audit periodici, possibilità di reazione tempestiva in caso di drift). Il quadro complessivo si interseca con gli obblighi di gestione del rischio previsti dall'AI Act per i sistemi ad alto rischio, dettagliati nelle scadenze illustrate in AI Act scadenze 2026-2027 in Italia.
5. La valutazione d'impatto sulla protezione dei dati
L'articolo 35 GDPR impone la valutazione d'impatto (DPIA) quando un trattamento, in particolare se basato su nuove tecnologie, presenta un rischio elevato per i diritti e le libertà delle persone fisiche. Il paragrafo 3, lettera a, prevede espressamente l'obbligo di DPIA per le valutazioni sistematiche e globali di aspetti personali di persone fisiche basate su trattamento automatizzato, compresa la profilazione, da cui derivino decisioni che producono effetti giuridici o incidono in modo analogo significativamente sulla persona.
L'AI recruiting con componenti decisionali automatizzate o di profilazione rientra pienamente in questa fattispecie. La DPIA deve descrivere il trattamento, valutarne la necessità e la proporzionalità, identificare i rischi per gli interessati e individuare le misure tecniche e organizzative previste per mitigarli. Va aggiornata in caso di modifiche significative del sistema, in particolare quando si introducono nuovi modelli, nuove fonti dati o nuove finalità.
La DPIA è inoltre lo strumento privilegiato per documentare la scelta della base giuridica, l'esito del bilanciamento dei legittimi interessi (se applicabile), le misure adottate per rispettare l'articolo 22 GDPR e i criteri di non discriminazione algoritmica. La sua qualità documentale è frequentemente oggetto di verifica in caso di accertamento dell'autorità.
6. Il registro dei trattamenti
Ogni trattamento di selezione che impieghi sistemi di AI deve risultare nel registro delle attività di trattamento (ROPA) di cui all'articolo 30 GDPR. Il registro deve indicare con precisione le finalità, le categorie di interessati e di dati, i destinatari, i trasferimenti verso paesi terzi (con la documentazione delle garanzie), i termini di conservazione previsti per ciascuna categoria, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Quando il sistema di AI è fornito da un soggetto esterno, va documentato il rapporto contrattuale ai sensi dell'articolo 28 GDPR. Va prestata attenzione, nei contratti di fornitura, a eventuali clausole di riutilizzo dei dati per il miglioramento del modello: tali clausole, se presenti, configurano un trattamento ulteriore con finalità autonoma del fornitore, che richiede una base giuridica autonoma e, in molti casi, è incompatibile con il principio di limitazione delle finalità (articolo 5, paragrafo 1, lettera b).
7. Trasparenza verso il candidato
L'articolo 13 GDPR impone al titolare di fornire all'interessato, al momento della raccolta dei dati, una serie di informazioni dettagliate. Quando il trattamento include processi decisionali automatizzati ai sensi dell'articolo 22, l'informativa deve esplicitare l'esistenza del processo decisionale automatizzato, fornire informazioni significative sulla logica utilizzata, nonché descrivere l'importanza e le conseguenze previste di tale trattamento per l'interessato.
In termini operativi, l'informativa al candidato deve dichiarare con chiarezza: che la valutazione delle candidature può avvenire mediante sistemi di intelligenza artificiale; quali tipologie di dati sono trattate dal sistema; quali sono i criteri generali della valutazione; chi sono i destinatari delle informazioni elaborate; per quanto tempo i dati saranno conservati; quali diritti esercitabili l'interessato ha a disposizione, incluso il diritto di richiedere l'intervento umano, di esprimere la propria opinione, di contestare la decisione, di ottenere la portabilità dei dati e di proporre reclamo all'autorità di controllo.
L'informativa va resa in linguaggio chiaro e accessibile, evitando formulazioni meramente difensive. La trasparenza non è solo un obbligo formale: è il presupposto di legittimità del trattamento e, in caso di contestazione, l'elemento principale che il titolare può opporre per dimostrare la propria correttezza.
8. Workflow di opt-out e intervento umano
8.1 Modalità tecniche
L'opt-out dal processo automatizzato deve essere accessibile, immediato e privo di oneri sproporzionati per il candidato. Le buone pratiche includono: una casella dedicata nell'informativa, raggiungibile prima dell'invio della candidatura; un canale di comunicazione esplicito (e-mail dedicata o modulo web); un termine di risposta del titolare predefinito e congruo; la documentazione interna di ogni richiesta di intervento umano, dei tempi di gestione, dell'esito.
Non è ammissibile uno schema in cui il rifiuto del trattamento automatizzato comporti l'esclusione automatica dalla selezione. Una previsione di questo tipo svuoterebbe il diritto di ogni effettività e configurerebbe una pratica scorretta ai sensi dell'articolo 5 GDPR.
8.2 Significatività dell'intervento umano
L'intervento umano richiesto dall'articolo 22 deve essere significativo, non meramente nominale. La persona che esamina il caso deve avere autorità e competenza per modificare la decisione, deve disporre di tutti gli elementi rilevanti (compreso, se necessario, l'output del modello, i dati di input, i parametri considerati), deve effettuare una valutazione autonoma e documentata. Una procedura interna che si limiti a confermare l'esito del modello non soddisfa il requisito.
La competenza tecnica e la formazione di chi presidia questo punto di controllo è essa stessa parte della conformità: va documentata nel registro dei trattamenti e, in caso di esternalizzazione, nei contratti con il fornitore.
9. Audit trail e accountability
Il principio di responsabilizzazione di cui all'articolo 5, paragrafo 2, GDPR impone al titolare non solo di rispettare il Regolamento, ma di essere in grado di dimostrarne il rispetto. Per i sistemi di AI applicati al recruiting, ciò si traduce in un'esigenza puntuale di tracciabilità: ogni decisione presa dal sistema, ogni intervento umano, ogni richiesta di esercizio dei diritti deve essere registrata in modo verificabile, conservata per un tempo adeguato, accessibile in caso di accertamento.
L'audit trail deve includere almeno: l'identificativo della candidatura, la versione del modello utilizzata, l'output del sistema, le motivazioni in caso di intervento umano, le richieste pervenute dall'interessato e la risposta del titolare. La sua integrità tecnica (immutabilità, time-stamping, controllo degli accessi) è essa stessa una misura di sicurezza ai sensi dell'articolo 32 GDPR. Per un approfondimento operativo sugli adempimenti AI Act 2026 si rinvia alla checklist conformità AI 2026, che include molti dei requisiti documentali rilevanti anche sul versante GDPR.
10. Retention policy dei curricula
Il principio di limitazione della conservazione (articolo 5, paragrafo 1, lettera e) impone di conservare i dati personali in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Per i candidati non selezionati, il termine ragionevole di conservazione è generalmente individuato nella durata della selezione specifica più un periodo limitato per la gestione di eventuali contestazioni e per documentare la legittimità del processo. Orientamenti consolidati di prassi indicano un range tra dodici e ventiquattro mesi, salvo esigenze di documentazione specifiche.
La conservazione del curriculum oltre tale periodo, ai fini della costituzione di un talent pool aziendale o per future selezioni non ancora pianificate, costituisce un trattamento ulteriore che richiede una base giuridica autonoma. La via più solida è il consenso espresso del candidato, separato e revocabile, accompagnato da una chiara informativa sulle modalità del trattamento futuro e sulla durata massima della conservazione.
I curricula dei candidati selezionati confluiscono nel rapporto di lavoro e seguono le regole di conservazione previste per la documentazione del personale, in coordinamento con gli obblighi giuslavoristici e fiscali.
11. Trasferimenti extra-UE
Quando il sistema di AI recruiting comporta trasferimenti di dati personali verso paesi terzi non coperti da decisione di adeguatezza della Commissione Europea, si applicano gli articoli 44 e seguenti del GDPR. Le clausole contrattuali standard (SCC) restano lo strumento più diffuso, integrate dalle misure supplementari richieste dalla giurisprudenza Schrems II.
I sistemi di AI recruiting forniti da soggetti con infrastrutture statunitensi o cinesi richiedono una valutazione preliminare specifica del livello di protezione del paese di destinazione, anche alla luce delle leggi di accesso ai dati da parte delle autorità pubbliche. Il Data Privacy Framework UE-USA, ove applicabile al fornitore certificato, può semplificare il trasferimento, ma non esime il titolare da una valutazione propria. La scelta di un fornitore con infrastruttura UE è frequentemente la soluzione più efficiente sotto il profilo della conformità.
12. AI Act e classificazione ad alto rischio
L'AI Act qualifica come sistemi ad alto rischio quelli destinati al reclutamento o alla selezione di persone fisiche, in particolare per la pubblicazione di annunci di lavoro mirati, lo screening o il filtraggio delle candidature, la valutazione dei candidati. Si aggiungono i sistemi destinati a prendere decisioni che incidano sulle condizioni dei rapporti di lavoro, sulla promozione o cessazione, o per l'allocazione di compiti e il monitoraggio e la valutazione delle prestazioni.
I deployer di tali sistemi (in larga parte, le aziende che li utilizzano) devono adempiere agli obblighi previsti dall'articolo 26 del Regolamento, che includono: l'uso del sistema conformemente alle istruzioni del fornitore; la garanzia che gli input siano pertinenti rispetto alla finalità prevista; la sorveglianza umana effettiva da parte di personale formato; il monitoraggio del funzionamento del sistema; la conservazione dei log; l'informazione dei lavoratori e dei loro rappresentanti, prima dell'attivazione, sull'impiego del sistema.
L'obbligo di informazione preventiva ai lavoratori e ai loro rappresentanti, in particolare, si raccorda con la disciplina italiana dell'articolo 4 dello Statuto dei Lavoratori e con le procedure di informazione e consultazione sindacale previste per le innovazioni organizzative. Per un inquadramento del raccordo tra questi adempimenti e la più ampia trasformazione AI dell'organizzazione, si veda Strategia talent acquisition AI.
13. Checklist operativa di conformità
La sintesi che segue rappresenta una traccia operativa per l'assessment di un processo di AI recruiting alla luce del quadro normativo descritto. Va calata sulle specificità organizzative e tecnologiche del titolare e validata da un legale qualificato e dal Data Protection Officer, ove designato.
In fase di pianificazione, il titolare dovrebbe verificare di avere mappato tutte le fasi del processo in cui interviene un sistema di AI, dalla pubblicazione dell'annuncio fino alla decisione finale; di avere individuato la base giuridica per ciascuna fase e per ciascuna finalità; di avere completato la DPIA e di averla sottoposta a revisione del DPO; di avere definito termini di conservazione coerenti con le finalità.
In fase di implementazione, il titolare dovrebbe disporre di un'informativa aggiornata e accessibile, di un workflow di opt-out e intervento umano funzionante, di un audit trail tecnicamente integro, di contratti con i fornitori conformi all'articolo 28 GDPR, di una procedura per la gestione delle richieste di esercizio dei diritti.
In fase di esercizio, il titolare dovrebbe condurre un monitoraggio periodico degli esiti del sistema con verifica di non discriminazione, una revisione almeno annuale della DPIA, una formazione continua del personale che presidia il punto di intervento umano, un piano di risposta in caso di incidente o di reclamo dell'interessato.
Sul piano contrattuale e di governance, è opportuno che il titolare formalizzi l'integrazione con i propri sistemi di gestione del rischio, allineandosi quanto più possibile a standard riconosciuti per la qualità della governance algoritmica. L'integrazione tra GDPR, AI Act e standard ISO è approfondita nel quadro ISO 42001 Italia: guida implementazione.
14. Aree di rischio frequenti
L'esperienza di assessment su organizzazioni italiane evidenzia alcune aree in cui il rischio di non conformità è particolarmente elevato. La prima è l'utilizzo di sistemi di AI forniti come servizio cloud da provider esteri, senza un adeguato vendor assessment, senza DPA conformi, senza valutazione degli effettivi flussi di dati. La seconda è l'estensione informale del talent pool senza consenso specifico. La terza è la sostituzione di fatto del giudizio umano con quello del sistema, in violazione dell'articolo 22. La quarta è l'assenza di misurazione sistematica degli esiti, con conseguente impossibilità di rilevare e correggere fenomeni di discriminazione algoritmica.
Una quinta area, di sempre maggiore rilievo, riguarda l'utilizzo di modelli linguistici generativi per la stesura di feedback automatici ai candidati o per la conduzione di colloqui chatbot in fasi preliminari. Tali utilizzi possono ricadere nella nozione di trattamento automatizzato significativo se, in concreto, l'output condiziona l'esito della selezione. La presenza di un revisore umano formale non è sufficiente: la sua azione deve essere effettiva e documentata.
15. Conclusioni operative
L'AI recruiting non è di per sé incompatibile con il quadro normativo italiano, ma richiede un disegno del processo che sia, fin dall'origine, conforme per costruzione (privacy by design, articolo 25 GDPR; AI by design nello spirito dell'AI Act). I costi di un'implementazione conforme non sono marginali, ma sono significativamente inferiori ai costi di una rimediazione successiva all'accertamento dell'autorità o al contenzioso individuale.
La direzione del lavoro normativo, sia europeo sia italiano, è chiara: maggiore trasparenza, maggiore documentazione, maggiore accountability, maggiore tutela del candidato come parte debole del rapporto pre-contrattuale. Le organizzazioni che internalizzano per tempo questo quadro non solo riducono il rischio regolatorio ma costruiscono un asset reputazionale rilevante nei processi di attraction dei migliori profili. Per un'analisi delle implicazioni operative dell'introduzione dell'AI nei processi HR e dell'evoluzione del ruolo del recruiter, si veda AI recruiting: guida completa.
Knowlee.ai offre una piattaforma di workforce digitale progettata per integrarsi con i framework di governance richiesti dal quadro normativo descritto, includendo audit trail nativi, tracciabilità delle decisioni algoritmiche e workflow di intervento umano configurabili per processo. La conformità è una proprietà dell'architettura, non un livello aggiunto a posteriori.
Disclaimer informativo. Il presente documento ha finalità esclusivamente informative e divulgative. Non costituisce parere legale, consulenza professionale, né sostituisce in alcun modo l'analisi specifica del singolo caso da parte di un avvocato qualificato e del Data Protection Officer. Le valutazioni di conformità in materia di GDPR e AI Act richiedono un esame puntuale del trattamento, dell'organizzazione, dei fornitori e del contesto applicativo. L'autore e Knowlee.ai non assumono alcuna responsabilità per scelte operative adottate sulla base esclusiva del contenuto di questo articolo. Il quadro normativo è in evoluzione: si raccomanda di verificare l'aggiornamento delle fonti citate alla data di consultazione.