Compliance

GDPR per l'hiring: quali dati delle candidate puoi conservare, per quanto e cosa cancellare

ClarityHire Team(Editorial)3 min read

Il principio che conta

Il framework di lawful-basis del GDPR pone due domande su ogni pezzo di dati di candidate che possiedi: perché ce l'hai e per quanto ne hai bisogno. Se non puoi rispondere a entrambe nettamente, non dovresti averla.

La maggior parte dei problemi di compliance non sono edge case esotici. Sono default.

Default difendibili

Lawful basis

Per una candidata attiva: legitimate-interest o contract-preparatory. Non ti serve consenso per valutarla — ha fatto domanda.

Per una candidata passiva in un pool di talent-pipeline: consent, con opt-in chiaro e periodo di ritenzione chiaro.

Non mescolare. Se raccogli sotto una base e usi sotto un'altra, hai un problema.

Ritenzione

  • Candidate attive: per la durata del processo più una finestra ragionevole di difesa (6-12 mesi dopo il rifiuto in UE).
  • Candidate assunte: transizione a dati dipendente.
  • Talent pipeline: solo con consenso esplicito e cadenza di rinnovo definita.

Qualunque cosa più vecchia dovrebbe essere auto-cancellata.

Minimizzazione dei dati

Raccogli ciò che la valutazione del ruolo richiede, non tutto ciò che potresti volere. Foto sul CV? Non richiesta. Data di nascita? Non richiesta. ID nazionale? Decisamente no.

Dati di categoria speciale

Razza, etnia, salute, orientamento sessuale, religione, opinioni politiche, dati biometrici — categoria speciale sotto GDPR. Requisiti più stringenti. Evita a meno che tu non abbia un uso specifico di compliance.

Checklist pratica di compliance

  • Avviso privacy sulla pagina di candidatura
  • Lawful basis documentata per ogni categoria di dati
  • Periodo di ritenzione documentato e applicato automaticamente
  • Processo DSAR documentato e testato
  • Processo di diritto all'oblio documentato e testato
  • Sub-processor elencati con DPA in essere
  • Meccanismo di trasferimento transfrontaliero documentato
  • Processo di notifica breach con proprietario nominato e SLA di 72 ore

Modalità di fallimento comuni

  • Ritenzione per sempre. Dati candidate del 2019 ancora nell'ATS. Cancella o giustifica.
  • Accesso senza restrizioni. Applica il principio del privilegio minimo.
  • Registrazioni senza ritenzione. Scegli un periodo (90 giorni comune).
  • Vendor sprawl. Audita annualmente.

Cosa fa ClarityHire

Ritenzione configurabile per categoria di dati, cancellazione automatica alla fine della ritenzione, export DSAR, accesso role-based scoped, documentazione processor. La compliance è un processo, non un prodotto — ma il prodotto dovrebbe rendere il processo gestibile.

Questo post è guida generale, non consulenza legale. Per la tua giurisdizione specifica, lavora con un legale.

gdprcompliancedati candidateprivacy

Articoli correlati

Compliance

Come verificare l'identità del candidato in un colloquio remoto senza archiviare dati biometrici

Puoi confermare che la persona in chiamata è la persona che hai assunto senza riconoscimento facciale, profili vocali o template biometrici archiviati. Il modello che soddisfa GDPR, BIPA e la buona pratica di intervista.

ClarityHire Team2026-05-125 min read
Guide di Assunzione

Esportare Dati di Candidato in CSV e XLSX: Cosa Va Dove

Conformità PII, casi d'uso da mail-merge di offerte a reporting, e i trabocchetti di Excel che corrompono i tuoi dati. Una guida pratica alle scelte di formato di esportazione.

ClarityHire Team2026-05-216 min read
Hiring per industria

Validità test sanitari e compliance HIPAA: costruire valutazioni che reggono

Assicurati che le tue valutazioni di hiring sanitario siano statisticamente valide, legalmente difendibili e completamente HIPAA-compliant.

ClarityHire Team2026-05-093 min read