Politica GDPR

Politica GDPR

Ultimo aggiornamento: 26 febbraio 2026

Talent In The World è progettata con la protezione dei dati al centro. La presente Politica GDPR descrive come ci conformiamo al Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 e le misure di protezione che implementiamo per tutelare i diritti degli interessati — in particolare i candidati i cui dati personali sono trattati attraverso la nostra piattaforma di reclutamento basata sull’AI.
1. Il Nostro Ruolo ai Sensi del GDPR

Talent In The World opera in due vesti a seconda del contesto:

Responsabile del trattamento: Quando le organizzazioni (Tenant) utilizzano Talent In The World per gestire i loro processi di reclutamento, agiamo come responsabili del trattamento per conto del Tenant (titolare del trattamento). Il trattamento è regolato da un Accordo per il Trattamento dei Dati (DPA).
Titolare del trattamento: Per i visitatori del nostro sito web, i candidati diretti al nostro talent pool e i titolari di account, agiamo come titolari del trattamento.

2. Protezione dei Dati fin dalla Progettazione e per Impostazione Predefinita

In conformità con l’Articolo 25 del GDPR, Talent In The World implementa la protezione dei dati fin dalla progettazione e per impostazione predefinita:

Isolamento multi-tenant: I dati di ciascuna organizzazione sono logicamente isolati. Gli utenti possono accedere solo ai dati all’interno del proprio tenant.
Raccolta minima dei dati: Raccogliamo solo i dati necessari per la funzionalità di reclutamento in uso.
Pseudonimizzazione: Gli embedding vettoriali utilizzati per il matching semantico non sono leggibili dall’uomo e non possono essere invertiti per ricostruire il testo originale del CV.
Controllo degli accessi: Il controllo degli accessi basato sui ruoli (RBAC) garantisce che gli utenti vedano solo i dati pertinenti al loro ruolo (Admin, Recruiter o Candidato).
Crittografia: Tutti i dati in transito sono crittografati tramite TLS. Le credenziali sensibili sono crittografate con AES-256-CBC a riposo.

3. Gestione del Consenso

Talent In The World fornisce un sistema integrato di gestione del consenso che:

Registra il consenso granulare per specifici scopi di trattamento (analisi CV, scoring AI, valutazione psicometrica, partecipazione ai colloqui, inclusione nel talent pool)
Mantiene un audit trail completo di quando il consenso è stato dato, modificato o revocato
Consente ai candidati di revocare il consenso in qualsiasi momento attraverso il proprio profilo
Limita automaticamente il trattamento quando il consenso viene revocato

4. Garanzie per il Processo Decisionale Automatizzato (Articolo 22)

Talent In The World utilizza l’AI per lo scoring, la profilazione e la valutazione. Implementiamo le seguenti garanzie ai sensi dell’Articolo 22(3):
4.1 Nessuna Decisione Esclusivamente Automatizzata

La Piattaforma è progettata come strumento di supporto alle decisioni. Gli output AI (punteggi, classifiche, valutazioni dei colloqui) sono presentati come raccomandazioni ai recruiter umani, che mantengono piena autorità sulle decisioni di assunzione.
4.2 Spiegabilità

Ogni punteggio generato dall’AI include una motivazione AI Spiegabile (XAI) che descrive, in linguaggio semplice, i fattori che hanno influenzato il punteggio. Questo include:

Quali competenze e qualifiche hanno contribuito al punteggio
Quali aggiustamenti sono stati applicati e perché
Come il candidato si confronta con i requisiti della posizione

4.3 Diritto di Contestazione

I candidati possono richiedere la revisione umana di qualsiasi valutazione o punteggio generato dall’AI attraverso il modulo di conformità della Piattaforma. I Tenant vengono notificati e devono rispondere alle richieste di revisione entro un tempo ragionevole.
4.4 Monitoraggio dei Bias

La Piattaforma include un monitoraggio automatico dei bias che analizza i pattern di scoring AI per disparità demografiche, inclusa la distribuzione per genere ed età nei punteggi.
5. Diritti dell’Interessato

Talent In The World supporta l’esercizio di tutti i diritti dell’interessato ai sensi del GDPR:
Diritto Articolo GDPR Come Talent In The World lo Supporta
Accesso Art. 15 I candidati possono visualizzare tutti i loro dati attraverso il profilo. I Tenant possono esportare i dati dei candidati tramite il modulo di conformità.
Rettifica Art. 16 I candidati possono modificare direttamente i dati del proprio profilo. I recruiter possono aggiornare le informazioni dei candidati.
Cancellazione Art. 17 Le richieste di esportazione e cancellazione dei dati GDPR possono essere avviate tramite il modulo di conformità con audit logging completo.
Limitazione Art. 18 Il trattamento può essere limitato per singolo candidato mentre le controversie vengono risolte.
Portabilità Art. 20 I dati possono essere esportati in formato JSON strutturato tramite il modulo di conformità o le API.
Opposizione Art. 21 I candidati possono opporsi alla profilazione e al trattamento automatizzato attraverso le impostazioni di consenso.
Decisioni automatizzate Art. 22 Le richieste di revisione umana possono essere presentate per qualsiasi decisione AI. Vedi Sezione 4 sopra.
6. Accordi per il Trattamento dei Dati

Tutte le relazioni con i Tenant sono regolate da un Accordo per il Trattamento dei Dati (DPA) che specifica:

L’oggetto e la durata del trattamento
La natura e lo scopo del trattamento
I tipi di dati personali trattati
Le categorie di interessati
Gli obblighi e i diritti del titolare e del responsabile
I requisiti e le procedure di approvazione per i sub-responsabili

7. Procedure per la Violazione dei Dati

In caso di violazione dei dati personali, Talent In The World:

Notificherà i Tenant interessati (titolari del trattamento) senza indebito ritardo ed entro 72 ore dalla scoperta della violazione
Fornirà informazioni dettagliate sulla violazione, inclusa la natura dei dati interessati, le probabili conseguenze e le misure adottate
Assisterà i Tenant nell’adempimento dei propri obblighi di notifica alle autorità di controllo e agli interessati
Documenterà tutte le violazioni in un registro interno delle violazioni

8. Sub-Responsabili

Talent In The World minimizza l’uso di sub-responsabili. Attualmente:

Elaborazione AI: La maggior parte dell’elaborazione AI (analisi CV, scoring, assessment, colloqui) viene eseguita su infrastruttura ospitata localmente all’interno dello SEE. Nessun dato personale dei candidati viene inviato a fornitori AI esterni.
Generazione descrizioni lavoro: Utilizza l’API Anthropic Claude, ma vengono inviati solo dati relativi alla posizione (titoli, requisiti) — mai dati personali dei candidati.
Infrastruttura: Tutta l’infrastruttura di hosting si trova all’interno dello Spazio Economico Europeo.

Notificheremo i Tenant prima di coinvolgere nuovi sub-responsabili che trattano dati personali.
9. Conservazione e Cancellazione dei Dati

I periodi di conservazione dei dati sono configurati a livello di piattaforma e possono essere personalizzati dai Tenant entro gli intervalli consentiti. I periodi di conservazione predefiniti sono dettagliati nella nostra Informativa sulla Privacy. Processi di cancellazione automatica vengono eseguiti quotidianamente per rimuovere i dati che hanno superato il periodo di conservazione.
10. Contatta il Team Protezione Dati

Per richieste relative al GDPR, richieste degli interessati o per richiedere una copia del nostro Accordo per il Trattamento dei Dati:

Email: legal@recrytera.com

QUADRO DI CONFORMITÀ SU AI ACT, GDPR E PROFILAZIONE NEI PROCESSI DI RECRUITING

(Reg. UE 2016/679 – GDPR; Regolamento UE sull’Intelligenza Artificiale – AI Act)

v.1 13/04/2026

Il presente documento ha lo scopo di fornire una descrizione chiara e trasparente del funzionamento della Piattaforma e del modo in cui vengono utilizzati sistemi di intelligenza artificiale nel contesto dei processi di selezione del personale.

L’obiettivo è garantire che l’utilizzo di tali tecnologie non si traduca mai in un processo automatizzato privo di supervisione, ma sia sempre integrato in un sistema che prevede un intervento umano significativo, obbligatorio e verificabile, nonché adeguati meccanismi di trasparenza, responsabilità e controllo, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e ai principi previsti dalla normativa europea in materia di intelligenza artificiale (AI Act).

La Piattaforma utilizza sistemi di intelligenza artificiale per supportare i processi di selezione del personale, analizzando curriculum vitae, competenze ed esperienze professionali al fine di facilitare l’incontro tra candidati e opportunità lavorative.

Tali strumenti rappresentano un’evoluzione dei modelli tradizionali di recruiting, ma richiedono un approccio particolarmente rigoroso sotto il profilo della protezione dei dati personali, della trasparenza e del controllo umano sui risultati generati.

Per questo motivo, la tecnologia è progettata in conformità ai principi del GDPR e dell’AI Act europeo, con particolare riferimento ai sistemi utilizzati in ambito lavorativo, considerati potenzialmente ad alto rischio.

 

1. INTELLIGENZA ARTIFICIALE NEL RECRUITING: FUNZIONE E LIMITI

Il sistema di intelligenza artificiale viene utilizzato esclusivamente come strumento di supporto ai processi di selezione e in particolare per:

  • analizzare e confrontare CV e profili professionali;
  • identificare corrispondenze tra candidati e posizioni aperte;
  • generare suggerimenti di matching;
  • supportare la valutazione delle competenze e dei percorsi professionali;
  • ordinare i profili secondo criteri di rilevanza.

È espressamente escluso che il sistema possa:

  • adottare decisioni finali autonome di selezione;
  • determinare in modo automatico assunzioni o esclusioni;
  • operare come unico strumento decisionale.

Ogni output generato dall’intelligenza artificiale ha natura esclusivamente consultiva e di supporto, ed è sempre soggetto a valutazione umana.

 

2. CRITICITÀ AI ACT: SISTEMI AD ALTO RISCHIO

2.1 rischi principali e principali misure di mitigazione

L’utilizzo di sistemi di intelligenza artificiale nei processi di selezione del personale può comportare alcuni rischi noti a livello europeo e regolamentare. Tali rischi non eliminano l’utilità e il valore aggiunto della tecnologia, ma richiedono l’adozione di adeguate misure di controllo, trasparenza e supervisione umana. Per questo motivo, la Piattaforma integra tali presidi direttamente nel proprio design e nella propria architettura funzionale, in conformità ai principi previsti dalla normativa europea in materia di intelligenza artificiale (AI Act), con particolare riferimento ai sistemi classificati come ad alto rischio.

Una prima area di criticità riguarda il rischio di bias algoritmici. I sistemi di intelligenza artificiale, infatti, possono riflettere o amplificare distorsioni presenti nei dati storici utilizzati per l’addestramento o nell’insieme dei dati analizzati. Per ridurre tale rischio, la Piattaforma adotta un approccio basato su monitoraggio continuo delle performance dei modelli, esecuzione di test periodici di fairness ed equità e, soprattutto, sull’obbligo di validazione da parte di un operatore umano qualificato su ogni valutazione generata dal sistema. In questo modo, eventuali distorsioni vengono intercettate e corrette prima di influenzare qualsiasi decisione finale.

Un secondo profilo di rischio riguarda l’eccessiva automatizzazione delle decisioni, ovvero la possibilità che gli output generati dall’intelligenza artificiale vengano percepiti come determinazioni definitive o automaticamente vincolanti. La Piattaforma esclude espressamente tale impostazione: il sistema non produce in alcun caso decisioni autonome e gli output dell’AI hanno esclusivamente natura di supporto decisionale. Ogni risultato viene sempre sottoposto a revisione, valutazione e validazione umana obbligatoria prima dell’adozione di qualsiasi decisione finale, garantendo così che la responsabilità resti sempre in capo a una persona fisica.

Un’ulteriore criticità è rappresentata dalla possibile opacità dei modelli di intelligenza artificiale, spesso descritti come sistemi “black box”, in cui le logiche interne di elaborazione non sono immediatamente interpretabili. Per affrontare tale aspetto, la Piattaforma adotta strumenti di explainability dei risultati, consente la registrazione dei principali fattori che influenzano lo scoring dei profili e prevede la documentazione interna dei criteri utilizzati nei processi di valutazione. Ciò consente di rendere il processo il più possibile trasparente e verificabile, anche in ottica di audit e responsabilità.

Infine, un ulteriore rischio riguarda la presenza di dati incompleti, obsoleti o non accurati, che possono influenzare la qualità delle valutazioni effettuate dal sistema. Tale rischio viene mitigato attraverso la possibilità per gli utenti di aggiornare in qualsiasi momento i propri dati, la revisione umana obbligatoria dei profili e il divieto di utilizzo esclusivo del risultato automatizzato come unica base decisionale. In questo modo, il sistema mantiene un equilibrio tra automazione e controllo umano, riducendo il rischio di valutazioni distorte o non aggiornate.

Nel complesso, tali misure consentono di configurare l’utilizzo dell’intelligenza artificiale come uno strumento di supporto affidabile, controllato e trasparente, pienamente coerente con i principi di proporzionalità, responsabilità e centralità della supervisione umana richiesti dalla normativa europea applicabile.

 

2.2 Focus: Controllo Umano Significativo (Human-In-The-Loop) E Tracciabilità Della Decisione Umana

La Piattaforma si basa sul principio del “Human-in-the-Loop”, che garantisce la presenza costante, effettiva e sostanziale dell’intervento umano in ogni fase rilevante del processo di selezione: il sistema di intelligenza artificiale svolge esclusivamente una funzione di supporto alla valutazione, senza mai assumere autonomamente decisioni di selezione.

In concreto:

  • ogni valutazione generata dal sistema AI viene obbligatoriamente sottoposta a un processo strutturato di analisi e revisione da parte di un operatore umano qualificato;
  • nessun candidato viene selezionato o escluso sulla base del solo output automatizzato, né in assenza di una validazione umana esplicita;
  • il sistema non opera in alcun caso come decision maker autonomo;
  • ogni decisione finale è assunta esclusivamente da una persona fisica responsabile.

Nel dettaglio, per garantire trasparenza, responsabilità e auditabilità dell’intero processo, la valutazione umana effettuata successivamente all’analisi del sistema AI costituisce l’atto decisionale rilevante ed è quindi quella soggetta a registrazione e tracciabilità.

A tal fine:

  • ogni intervento e valutazione umana viene registrata nel sistema;
  • viene tracciata la motivazione della decisione finale assunta dall’operatore;
  • viene conservata evidenza della revisione dell’output generato dal sistema di intelligenza artificiale;
  • l’intero processo decisionale è ricostruibile e verificabile in qualsiasi momento.

In questo modo, il processo non si configura come una mera approvazione formale dell’output algoritmico, ma come una valutazione sostanziale, consapevole e documentata effettuata da un essere umano, che assume piena responsabilità della decisione finale.

 

3. GDPR E PROFILAZIONE: LIMITI, GARANZIE E MISURE DI TUTELA

Nell’ambito del funzionamento della Piattaforma, alcune attività effettuate tramite sistemi di intelligenza artificiale possono configurare una forma di profilazione ai sensi del GDPR, in quanto consistono nel trattamento automatizzato di dati personali volto a valutare determinati aspetti relativi a una persona fisica, in particolare con riferimento alle competenze professionali, alle esperienze lavorative e alla compatibilità con specifiche posizioni aperte. In particolare, la profilazione si realizza attraverso l’analisi e il confronto dei dati inseriti nei curriculum vitae e nei profili professionali, nonché mediante la generazione di suggerimenti, punteggi o classificazioni (ranking) che consentono di facilitare il processo di matching tra candidati e opportunità lavorative. Tali attività, pur avendo natura meramente ausiliaria, rientrano nella nozione di profilazione in quanto comportano una valutazione automatizzata di aspetti personali dei candidati.

L’attività di profilazione dei candidati mediante sistemi di intelligenza artificiale presenta alcune criticità rilevanti sotto il profilo della protezione dei dati personali, in particolare con riferimento al rischio di trattamenti automatizzati, alla possibile incidenza significativa sui diritti degli interessati e alla necessità di garantire trasparenza e controllo sull’utilizzo dei dati.

Una prima criticità riguarda il rischio che la profilazione possa evolvere in un processo decisionale automatizzato ai sensi dell’art. 22 del GDPR. Per mitigare tale rischio, la Piattaforma esclude espressamente qualsiasi decisione basata unicamente su trattamenti automatizzati: ogni risultato generato dal sistema ha natura esclusivamente orientativa ed è sempre sottoposto a valutazione e validazione umana obbligatoria prima di qualsiasi decisione finale.

Un secondo profilo di rischio riguarda la liceità del trattamento e, in particolare, la base giuridica della profilazione. A tal fine, la Piattaforma assicura che la profilazione avvenga sulla base di un’idonea base giuridica ai sensi dell’art. 6 del GDPR e, ove richiesto, sul consenso esplicito dell’interessato, raccolto in modo libero, specifico, informato e inequivocabile. Il candidato è sempre informato in modo chiaro circa l’utilizzo dei propri dati per finalità di profilazione.

Un’ulteriore criticità riguarda il rischio di utilizzo eccessivo o non pertinente dei dati personali. Tale rischio è mitigato mediante l’applicazione del principio di minimizzazione, limitando la profilazione a dati strettamente pertinenti al contesto professionale (quali esperienze, competenze e formazione) ed escludendo l’utilizzo di categorie particolari di dati personali ai sensi dell’art. 9 del GDPR.

Infine, la profilazione può presentare rischi in termini di trasparenza e comprensibilità del processo. Per questo motivo, la Piattaforma garantisce adeguati livelli di trasparenza sulle logiche generali di funzionamento dei sistemi utilizzati e consente agli interessati di ottenere informazioni sull’utilizzo dei propri dati. La fiducia nel sistema si basa sulla trasparenza dei processi. Per questo motivo:

  • i candidati possono comprendere come vengono trattati i loro dati;
  • i recruiter possono visualizzare criteri e motivazioni dello scoring;
  • i recruiter intervengono obbligatoriamente sulla decisione finale tramite un processo attivo e documentato;
  • ogni risultato è accompagnato da spiegazioni contestuali;
  • le decisioni sono sempre ricostruibili a posteriori.

In questo modo, la profilazione viene utilizzata esclusivamente come strumento di supporto al processo di selezione, nel rispetto delle garanzie previste dalla normativa europea, assicurando che non si traduca in un processo decisionale automatizzato e che sia sempre accompagnata da un controllo umano significativo e da un’adeguata base giuridica, inclusa, ove necessario, la raccolta del consenso dell’interessato.

 

4. TRASPARENZA, DIRITTI E TUTELE DEGLI INTERESSATI

Agli interessati è garantita una piena e chiara informazione circa le modalità di funzionamento della Piattaforma, l’utilizzo di sistemi di intelligenza artificiale e le logiche generali alla base dei processi di analisi e valutazione dei dati. Le informazioni sono fornite in modo accessibile, comprensibile e facilmente consultabile, al fine di consentire agli utenti di esercitare un controllo effettivo sui propri dati personali.

La Piattaforma assicura inoltre il pieno esercizio dei diritti riconosciuti agli interessati dalla normativa applicabile, tra cui:

  • il diritto di accesso ai propri dati personali;
  • il diritto di rettifica e aggiornamento delle informazioni;
  • il diritto alla cancellazione nei casi previsti;
  • il diritto alla limitazione del trattamento;
  • il diritto di opposizione al trattamento, inclusa la profilazione;
  • il diritto alla portabilità dei dati, ove applicabile.

È inoltre garantito il diritto dell’interessato di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati che producano effetti giuridici o incidano in modo analogo significativamente sulla propria persona, ai sensi dell’art. 22 del GDPR, nonché il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare eventuali decisioni adottate.

La Piattaforma adotta infine adeguate misure tecniche e organizzative volte a garantire la sicurezza dei dati personali, la prevenzione di accessi non autorizzati e la tracciabilità delle operazioni effettuate, assicurando un elevato livello di protezione e un utilizzo responsabile delle tecnologie di intelligenza artificiale.

In questo modo, l’utilizzo della Piattaforma si fonda su un equilibrio tra innovazione tecnologica e tutela dei diritti fondamentali della persona, garantendo che l’impiego dell’intelligenza artificiale avvenga in un contesto trasparente, controllato e pienamente conforme alla normativa europea applicabile.