top of page
Cerca

Intelligenza artificiale e selezione del personale: il GDPR impone limiti precisi (e la professionalità fa la differenza)

A cura dell'Avv. Cecilia Tanzi



L'utilizzo crescente di algoritmi, intelligenza artificiale e sistemi automatizzati nel recruitment sta rivoluzionando il mercato del lavoro.

Ma attenzione: il Regolamento UE 2016/679 (GDPR) pone vincoli stringenti che le aziende non possono ignorare. E la giurisprudenza europea, con orientamenti recentissimi, ha chiarito che non basta inserire un "filtro umano" formale per rispettare la normativa.



Il divieto dell'articolo 22 GDPR: non solo teoria

L'articolo 22 del GDPR stabilisce un principio netto: "L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona."


Tradotto: nessun candidato può essere scartato o selezionato da un algoritmo senza l'intervento umano sostanziale. E la selezione del personale rientra perfettamente in questa fattispecie, producendo effetti significativi sulla vita professionale delle persone.


Il divieto ammette solo tre eccezioni:

- necessità per la conclusione o l'esecuzione di un contratto;

- autorizzazione normativa con garanzie appropriate;

- consenso esplicito dell'interessato.


Ma anche quando ricorra una di queste eccezioni, l'azienda deve comunque garantire il diritto all'intervento umano, alla contestazione della decisione e all'espressione della propria opinione (art. 22, comma 3).



L'intelligenza artificiale nel recruiting è "alto rischio"

A conferma della sensibilità della materia, il Regolamento UE 2024/1689 sull'intelligenza artificiale (AI Act) classifica espressamente come sistemi ad alto rischio quelli destinati a:

- pubblicare annunci di lavoro mirati;

- analizzare o filtrare le candidature;

- valutare i candidati.


Non si tratta quindi di semplici "strumenti di supporto": sono tecnologie che la normativa europea considera potenzialmente impattanti sui diritti fondamentali e che richiedono garanzie rafforzate.


La giurisprudenza europea: il "filtro umano" non basta

La sentenza della Corte di Giustizia UE n. 957 del 7 dicembre 2023 ha chiarito un punto fondamentale: il concetto di "decisione basata unicamente sul trattamento automatizzato" ha portata ampia e ricomprende anche le fasi intermedie che condizionano in modo decisivo la decisione finale.


Nel concreto del recruitment: se un algoritmo assegna automaticamente un punteggio ai CV e questa valutazione determina sostanzialmente chi passa alla fase successiva, siamo già nell'ambito dell'articolo 22, anche se formalmente la "decisione finale" viene presa da una persona. Non si può eludere il divieto sostenendo che il recruiter "conferma" semplicemente il risultato del software: l'intervento umano deve essere effettivo e sostanziale.

Come ha chiarito la Corte, "un'interpretazione restrittiva che qualificasse come decisione solo l'atto finale adottato dal terzo creerebbe una lacuna nella protezione giuridica e un rischio di elusione dell'articolo 22 del regolamento".



Il diritto alla spiegazione: non generiche rassicurazioni

La recente sentenza CGUE n. 117 del 27 febbraio 2025 ha affermato che l'articolo 15, paragrafo 1, lettera h) del GDPR riconosce all'interessato un vero e proprio "diritto alla spiegazione".


Il candidato ha diritto a ricevere informazioni significative sulla logica utilizzata dal sistema automatizzato:

- quali suoi dati personali sono stati utilizzati;

- in che modo sono stati elaborati;

- quali criteri e parametri hanno determinato la valutazione;

- attraverso quale procedimento logico si è giunti al risultato.

Non sono sufficienti descrizioni generiche del tipo "abbiamo utilizzato un algoritmo di machine learning". Il candidato deve ricevere esempi reali e concreti che gli permettano di comprendere effettivamente il funzionamento del sistema.



Trasparenza algoritmica anche secondo la Cassazione italiana

Anche la giurisprudenza nazionale si è espressa in termini chiari. La Cassazione civile, ordinanza n. 28358 del 10 ottobre 2023, ha precisato che quando i dati personali sono destinati ad essere "lavorati" da un algoritmo, il consenso dell'interessato è validamente prestato solo se il procedimento algoritmico sia descritto in modo non ambiguo e dettagliato.

Non è richiesto che l'algoritmo sia espresso in linguaggio matematico o informatico, ma che sia illustrato mediante descrizione in linguaggio comune dei dati di partenza, delle sequenze operative, delle istruzioni e dei parametri che conducono al risultato.



Cosa devono fare le aziende (e perché serve un professionista serio)

Di fronte a questo quadro normativo e giurisprudenziale, le implicazioni operative sono chiare:

  • No a decisioni puramente automatiche: un'azienda non può basare la decisione di assunzione o scarto esclusivamente su un sistema automatizzato, salvo eccezioni limitate e con garanzie;

  • Intervento umano sostanziale: non basta che una persona "approvi" formalmente il risultato dell'algoritmo; deve poter valutare autonomamente e modificare la decisione.

  • Consenso informato e dettagliato: se si utilizza il consenso come base giuridica, occorre spiegare preventivamente e in modo comprensibile come funziona il sistema;

  • Divieto assoluto di utilizzo di dati sensibili: le decisioni automatizzate non possono basarsi su categorie particolari di dati (art. 9 GDPR), salvo casi eccezionali con misure di tutela specifiche;

  • Trasparenza rafforzata: informazioni chiare su quali dati vengono usati, con quali criteri, attraverso quale logica; e garanzia del diritto di accesso e spiegazione;

  • Iscrizione obbligatoria all'albo: chi svolge attività di ricerca e selezione del personale deve essere iscritto alla specifica sezione dell'albo delle agenzie per il lavoro previsto dal D.lgs. 276/2003, con requisiti precisi di capitale, competenze professionali e garanzie. L'esercizio non autorizzato comporta sanzioni e nullità dei contratti.



La conclusione: solo la professionalità vera fa la differenza

In un contesto così complesso e in continua evoluzione, affidarsi a professionisti qualificati non è una scelta, ma una necessità.


Un recruiter serio, iscritto all'albo professionale come previsto dalla legge, garantisce:

- conoscenza aggiornata della normativa europea e nazionale;

- rispetto delle procedure imposte dal GDPR e dall'AI Act;

- competenze tecniche per valutare l'adeguatezza degli strumenti tecnologici utilizzati;

- capacità di documentare la conformità delle attività svolte;- copertura assicurativa per eventuali responsabilità professionali.


Non si tratta di una formalità: la giurisprudenza lo dimostra.

Le sanzioni per chi opera senza i requisiti di legge sono concrete e pesanti. E le aziende che si affidano a soggetti non abilitati rischiano di vedersi annullare i contratti, perdere i compensi versati e, nei casi più gravi, incorrere in responsabilità per violazione delle norme sul lavoro e sulla privacy.


La serietà di un recruiter professionale, iscritto all'albo e costantemente aggiornato, non è un costo: è la migliore assicurazione contro sanzioni, contenziosi e danni reputazionali che possono mettere a rischio l'attività di un'azienda.



Commenti

bottom of page