Ricerca, Selezione e Collocamento Professionale (Recruitment & Placement)
(ai sensi degli artt. 12, 13, 14, 15‑22, 24, 25, 30, 32, 35 e 37 del Regolamento (UE) 2016/679 – “GDPR”; dei Considerando 39‑47, 58‑60; delle Linee guida EDPB 01/2022 sui trattamenti HR; nonché dell’art. 111‑bis D.Lgs. 196/2003)
1. Premessa metodologica
La presente informativa, redatta secondo il principio di trasparenza e nell’ottica dell’accountability di cui all’art. 5 §2 GDPR, integra e sostituisce le informative precedenti, incorporando i contenuti pubblicati all’URL https://uproject.it/informativa-privacy-per-candidati-uproject/ (ultimo agg. 28 febbraio 2025) e li armonizza con la disciplina interna di UProject S.r.l..
Seguendo il modello “layered notice”, un estratto sintetico (“short notice”) è disponibile accanto al form di candidatura; il presente documento costituisce il livello di dettaglio (“long form notice”) e viene reso accessibile nell’area riservata della piattaforma nonché sul sito corporate.
2. Titolare del trattamento e governance privacy
UProject S.r.l. – Sede legale: Via Giuseppe Piazzi 8, 23100 Sondrio (SO) – P. IVA 00978090140 – Tel. +39 0342 189 6222 – PEC: [email protected] – e‑mail privacy dedicata: [email protected].
Il Consiglio di Amministrazione ha adottato una Privacy Governance Policy che definisce ruoli, responsabilità e procedure (registro dei trattamenti, DPIA, data breach, policy BYOD). Un Referente Privacy interno, con formazione universitaria specialistica, coordina l’implementazione del GDPR.
3. Origine e categorie di dati
I dati provengono da:
- Form “Candidatura online” (upload CV, lettera, file multimediali);
- Area riservata (profilo candidato con possibilità di modifica autonoma);
- Single‑Sign‑On (SSO) da piattaforme terze (es. LinkedIn OAuth);
- Referral da terzi che attestano di aver acquisito il consenso;
- Colloqui di selezione, anche in modalità videoregistrata previa esplicita autorizzazione.
| Macro‑categoria | Sotto‑categorie | Esempi | Fonte | Note principali |
|---|---|---|---|---|
| Identificativi | anagrafici, contatto | nome, cognome, CF, e‑mail, telefono, PEC | 1‑3 | obbligatori per candidatura |
| Professionali | formazione, carriera, competenze | titoli di studio, ruoli, skills, lingue, retribuzione attesa | 1‑3 | minimizzazione |
| Dati particolari | salute, categorie protette | L. 68/1999, idoneità, certificazioni di invalidità | 1,5 | trattati ex art. 9 §2 b o previo consenso |
| Metadata IT | log e telemetria piattaforma | IP, user‑agent, timestamp accessi | 2‑3 | sicurezza informatica |
| Dati di colloquio | note selezionatori, test psico‑attitudinali | punteggi, appunti | 5 | interesse legittimo |
| Videoregistrazioni colloqui | audio‑video completo della sessione | immagine, voce, dati dichiarati durante l’intervista | 5 | solo con consenso esplicito |
4. Finalità, basi giuridiche e logica del trattamento
| # | Finalità specifica | Base giuridica (art. 6/9 GDPR) | Parametri di proporzionalità / Garanzie principali |
|---|---|---|---|
| a | Valutazione preliminare della candidatura, scoring e inserimento nel database recruitment | 6 §1 b (misure pre‑contrattuali) | dati minimizzati, retention 12 mesi (estendibile con consenso) |
| b | Matching con vacancy dei clienti, invio CV, organizzazione colloqui | 6 §1 f (interesse legittimo) | opt‑out disponibile; balancing test archiviato |
| c | Gestione dell’area riservata (creazione account, aggiornamento profilo, dashboard candidature) | 6 §1 b | autenticazione 2FA, cifratura TLS 1.3 |
| d | Adempimenti di legge (es. obblighi ANPAL, collocamento mirato, normative fiscali) | 6 §1 c | limitazione a dati strettamente richiesti |
| e | tutela giudiziale, prevenzione frodi, sicurezza dei sistemi | 6 §1 f | log cifrati, conservazione 12 mesi |
| f | Gestione di eventuali categorie particolari di dati per finalità di diritto del lavoro (L. 68/1999) | 9 §2 b o 9 §2 a (consenso) | trattamento circoscritto a personale HR autorizzato |
| g | Elaborazione di statistiche anonime (HR analytics) per ottimizzare i processi di selezione | 6 §1 f (interesse legittimo) | anonimizzazione irreversibile |
| h | Registrazione audio‑video del colloquio e condivisione protetta con il cliente | 6 §1 a (consenso) + 9 §2 a (eventuali dati sensibili) | link OneDrive protetto, validità 10 gg, cifratura AES‑256 |
| i | Gestione log di utilizzo della piattaforma (cyber‑security, manutenzione, audit) | 6 §1 f | pseudonimizzazione, rotazione log 12 mesi |
Il legittimo interesse di cui alle voci b, e, g, i è stato oggetto di prevalutazione (LIA – Legitimate Interest Assessment) la cui sintesi è disponibile su richiesta.
5. Modalità di trattamento e misure di sicurezza
Il trattamento avviene nel rispetto dei principi “privacy by design & by default” (art. 25):
- infrastruttura SaaS certificata ISO / IEC 27001 con data center all’interno dello Spazio Economico Europeo;
- crittografia “at rest” (AES‑256) e “in transit” (TLS 1.3);
- RBAC con privilegi minimi, autenticazione 2FA e session management sicuro;
- link temporanei per le videoregistrazioni (scadenza automatica 10 giorni), con tracciamento accessi;
- patch management e penetration test trimestrali;
- DPIA periodica (art. 35) che copre rischio re‑identificazione e trattamento immagini/video;
- accordi DPA ex art. 28 con tutti i fornitori (OneDrive/M365, piattaforme video, ATS);
- obbligo di formazione annuale (≥ 8 ore) in materia di data protection per il personale HR;
- Incident Response Plan e Data Breach Procedure conformi a EDPB 01/2021.
6. Tempi di conservazione e criteri di cancellazione
| Categoria dati | Termine ordinario | Eventuale estensione | Meccanismo di cancellazione |
|---|---|---|---|
| Dati di candidatura (CV, profilo, note) | 12 mesi dal closing vacancy | +12 mesi con consenso (tot. 24) | cancellazione logica + sovrascrittura backup |
| Account piattaforma e log accessi | 24 mesi di inattività | — | anonimizzazione credenziali |
| Videoregistrazioni colloquio | 120 giorni dall’intervista | proroga solo con consenso scritto | wipe sicuro + elim. backup |
| Link condivisi con cliente | 10 giorni (scadenza automatica) | — | disabilitazione link |
| Dati particolari (categorie protette) | fine selezione specifica | max 12 mesi con consenso | shredding documenti fisici, wipe digitale |
| Log di sicurezza | 12 mesi | — | rotazione e cifratura log |
| Documenti per obblighi legali / contenzioso | prescrizione normativa | — | archivio riservato “legal hold” |
All’approssimarsi della scadenza il candidato riceverà un promemoria di aggiornamento: in assenza di riscontro si procederà secondo lo schema sopra indicato (pseudonimizzazione cuscinetto 30 gg → cancellazione definitiva).
7. Destinatari, responsabili e trasferimenti extra‑SEE
- Clienti/Partner: titolari autonomi, destinatari di CV e – con consenso – video colloquio; vincolo NDA e obbligo di cancellazione.
- Fornitori IT: Microsoft (M365/OneDrive/Azure), provider ATS, piattaforme video, tutti nominati Data Processor ex art. 28.
- Autorità pubbliche: ANPAL, Ispettorato del Lavoro, INPS/INAIL, autorità giudiziaria.
Eventuali trasferimenti verso paesi terzi sono regolati da SCC 2021/914/EU e, se necessario, misure supplementari (cifratura forte, segregazione logica). È disponibile, su richiesta, la documentazione TIA (Transfer Impact Assessment).
8. Diritti dell’interessato
L’interessato può esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (artt. 15‑21 GDPR) nonché revocare i consensi prestati. Nessun processo decisionale interamente automatizzato con effetti giuridici è adottato (art. 22). Le richieste vanno inviate a [email protected] o via PEC; il Titolare risponde entro 30 gg (estendibili a 90 gg in casi complessi).
È sempre possibile proporre reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it) o adire l’autorità giudiziaria competente.
9. Profilazione e AI
Eventuali strumenti di CV‑parsing e skill‑matching basati su algoritmi di machine learning operano su parametri dichiarativi e sono soggetti a regolare audit di bias. Il risultato rimane supporto decisionale: la decisione finale coinvolge sempre una valutazione umana.
10. Aggiornamenti e versioning
Questa informativa è identificata come Versione 2.0 – 16 luglio 2025. Ogni revisione futura sarà pubblicata:
- nell’area riservata dei candidati;
- sul sito corporate in sezione “Privacy & Compliance”;
- tramite notifica e‑mail/push agli utenti registrati.
Eventuali variazioni sostanziali (cambio finalità, nuovi trasferimenti extra‑SEE, introduzione profilazione automatizzata) saranno oggetto di comunicazione dedicata e, ove richiesto, di raccolta di un nuovo consenso.
Il presente documento integra i contenuti dell’informativa pubblicata sul sito istituzionale di UProject (agg. 28 febbraio 2025) con i processi e le misure di governance privacy interne attualmente in vigore presso il Titolare.