La raccolta dei CV è una pratica quotidiana per molte aziende, ma la gestione dei dati dei candidati richiede attenzione e conformità al GDPR.
Sottovalutare obblighi come informativa, tempi di conservazione e trattamento dei dati particolari espone le imprese – in particolare PMI e studi professionali – a rischi concreti: violazioni di sicurezza, reclami dei candidati e sanzioni dell’Autorità Garante.

In un contesto dove i processi di selezione diventano sempre più digitali, conoscere le regole è fondamentale per tutelare l’azienda e costruire procedure trasparenti.

È obbligatoria l’informativa privacy? Sì. Sempre.

Prima di raccogliere un curriculum, l’azienda deve fornire al candidato una informativa privacy completa, ai sensi degli artt. 13 e 14 GDPR.

L’informativa deve indicare:

• finalità del trattamento (es. selezione del personale);
• base giuridica (misure precontrattuali);
• tempi di conservazione;
• diritti dell’interessato;
• dati di contatto del titolare e dell’eventuale DPO;
• soggetti che possono accedere ai dati (es. HR, società partner).

La mancanza dell’informativa è una delle violazioni più contestate dal Garante.

CV con dati particolari: come comportarsi

I curriculum contengono spesso informazioni che il candidato inserisce spontaneamente: foto, stato di salute, iscrizioni sindacali, preferenze politiche o religiose.
Si tratta di dati particolari (art. 9 GDPR), che richiedono cautele specifiche.

L’azienda può:

• limitare il trattamento ai soli dati necessari;
• eliminare quelli non pertinenti;
• chiedere un consenso esplicito solo se strettamente indispensabile.

In ogni caso, i dati particolari non devono essere utilizzati per finalità discriminatorie o non essenziali alla selezione.

Per quanto tempo possono essere conservati i CV?

In linea generale, i CV devono essere conservati per un tempo non superiore a 6 mesi.
Un periodo più lungo è ammesso solo se:

• c’è una posizione aperta con selezione ancora in corso;
• esiste una documentazione che giustifica la conservazione;
• il candidato è stato informato in modo chiaro.

Conservare CV per anni senza motivazione espone l’azienda a violazioni del principio di limitazione della conservazione.

Chi è responsabile in caso di violazione dei dati?

Il titolare del trattamento è sempre l’azienda.
Se la raccolta o gestione dei CV viene delegata a soggetti terzi (agenzie interinali, piattaforme di recruiting, software HR), questi devono essere nominati Responsabili del trattamento tramite accordo conforme all’art. 28 GDPR.

Il titolare ha l’obbligo di:

• verificare l’affidabilità del fornitore;
• garantire misure tecniche e organizzative adeguate;
• documentare il trattamento nel registro dei trattamenti.

---

FAQ – Domande frequenti

Serve sempre il consenso del candidato?

No.
Per la selezione del personale, la base giuridica è l’esecuzione di misure precontrattuali.
Il consenso è richiesto solo per l’eventuale trattamento di dati particolari.

Posso usare un CV ricevuto in passato per nuove selezioni?

No, se non lo hai indicato chiaramente nell’informativa o se hai superato i tempi di conservazione dichiarati. È obbligatorio rispettare il principio di finalità e trasparenza.

Devo notificare il trattamento dei CV al Garante?

No, non è più previsto dal GDPR.
Devi però documentare il trattamento nel registro e garantire la sicurezza dei dati.

---

Hai bisogno di assistenza nella gestione privacy dei CV?

Lo Studio Legale Orefice & Gabriele supporta aziende e professionisti nell’organizzazione dei processi di selezione, nella redazione delle informative e nella messa in sicurezza dei dati dei candidati.

📞 081/3414529
✉️ studiolegale@orefice-gabriele.it
🌐 www.orefice-gabriele.it
📍 Frattamaggiore (NA)