GDPR nel Recruiting tramite Messaggistica: Dati dei Candidati, Opt-in e Conformità

WhatsApp nel recruiting? Solo con una base giuridica solida. Questa guida spiega i requisiti GDPR per la messaggistica nel processo di selezione: consenso vs. interesse legittimo, regola dei 6 mesi per la cancellazione, e DPA.

TL;DR

Chi contatta i candidati tramite WhatsApp, SMS o altri canali di messaggistica ha bisogno di una base GDPR solida. Tre basi giuridiche sono rilevanti nel contesto del recruiting: consenso (art. 6, par. 1, lett. a) per campagne pool di talenti e messaggi di outreach proattivi, misure precontrattuali (art. 6, par. 1, lett. b) per la comunicazione nel processo di selezione in corso e interesse legittimo (art. 6, par. 1, lett. f) per casi strettamente limitati. Inoltre si aggiungono la regola dei 6 mesi per la cancellazione dei dati, l'obbligo di comunicazione conforme alla normativa antidiscriminazione e un DPA con il tuo fornitore di messaggistica. Questa guida spiega tutti i requisiti in modo pratico e senza gergo giuridico. Torna al cluster: Messaggistica nel Recruiting: la guida completa 2026.

Nota: questa guida fornisce una panoramica pratica e non sostituisce la consulenza legale. Per questioni specifiche di conformità, si consiglia di coinvolgere un responsabile della protezione dei dati o un avvocato specializzato.

3 basi giuridiche per la messaggistica nel recruiting

Il GDPR consente il trattamento di dati personali solo se è presente una delle basi giuridiche elencate nell'art. 6. Nella messaggistica di recruiting sono rilevanti tre basi:

Base giuridicaQuando applicabileEsempio nel recruiting
Art. 6, par. 1, lett. a: ConsensoIl candidato ha acconsentito esplicitamente e volontariamente. Revoca possibile in qualsiasi momento.Inserimento nel pool di talenti, broadcast WhatsApp per nuove posizioni, campagna di outreach proattivo
Art. 6, par. 1, lett. b: Misure precontrattualiIl trattamento dei dati è necessario per l'esecuzione di misure precontrattuali che avvengono su richiesta della persona interessata.Aggiornamenti di stato nel processo di selezione in corso, coordinamento colloqui, promemoria appuntamenti
Art. 6, par. 1, lett. f: Interesse legittimoInteresse legittimo del responsabile del trattamento che non prevale sugli interessi della persona interessata. Richiede una valutazione dell'interesse (LIA).Strettamente limitato: es. primo contatto per una posizione chiaramente adatta, se il contatto esiste già in un contesto professionale

Quale base giuridica per quale caso d'uso?

Processo di selezione in corso (art. 6, par. 1, lett. b): Una volta che un candidato ha presentato una candidatura, la comunicazione successiva nel quadro del processo è coperta da misure precontrattuali. Nessun opt-in aggiuntivo necessario, ma: il consenso al canale (WhatsApp) deve essere presente separatamente. La base giuridica GDPR consente il trattamento – non il canale stesso.

Pool di talenti e campagne (art. 6, par. 1, lett. a): Per il contatto proattivo dopo la conclusione di un processo di selezione, ovvero per la riattivazione del pool di talenti, nuove offerte di lavoro, messaggi di employer branding, è sempre necessario un consenso esplicito. L'interesse legittimo non è generalmente sufficiente qui, poiché le aspettative del candidato dopo un rifiuto non sono più orientate a ulteriori contatti.

Sourcing proattivo (art. 6, par. 1, lett. f, con cautela): Per il primo contatto diretto tramite canali di messaggistica, l'interesse legittimo è applicabile solo entro limiti molto ristretti. Richiede una valutazione documentata dell'interesse. In caso di dubbio: ottenere l'opt-in invece di fare affidamento sull'interesse legittimo.

Conservazione dei dati dei candidati: la regola dei 6 mesi

La regola di cancellazione più importante nel diritto del recruiting europeo proviene non direttamente dal GDPR, ma dalla legislazione antidiscriminazione. In Germania, per esempio, l'AGG (Allgemeines Gleichbehandlungsgesetz) prevede termini di prescrizione per le azioni legali per discriminazione nell'assunzione. In Italia si applicano principi analoghi. Nella pratica si è affermato un periodo di conservazione di 6 mesi dopo la conclusione della procedura di selezione come compromesso tra protezione antidiscriminazione e minimizzazione dei dati GDPR.

Stato del candidatoDurata di conservazioneBase giuridica
Processo di selezione attivoFino alla fine del processo + 6 mesiArt. 6, par. 1, lett. b + termine di prescrizione antidiscriminazione
Candidato rifiutato senza opt-in6 mesi dopo il rifiuto, poi cancellareNormativa antidiscriminazione
Pool di talenti con opt-in attivoFino alla revoca del consenso, max. 2–3 anni (rinnovo regolare raccomandato)Art. 6, par. 1, lett. a GDPR
Documenti di assunzione (contratto concluso)Durata del rapporto di lavoro + 10 anniDiritto fiscale / commerciale

Implementazione pratica: Configura nel tuo ATS regole automatizzate di cancellazione o anonimizzazione che si attivano allo scadere dei termini. In SendSeven puoi contrassegnare i candidati con un tag come data-cancellazione:2026-10-01 e attivare promemoria automatizzati tramite webhook, Zapier o Make.com. La responsabilità della cancellazione spetta al responsabile del trattamento: ovvero a te, non al fornitore di messaggistica.

Double opt-in per pool di talenti e campagne

La procedura di double opt-in è di fatto lo standard per l'e-mail marketing in molti paesi europei, ma non è esplicitamente prescritta dalla legge per WhatsApp e SMS. Tuttavia la raccomandiamo – per un semplice motivo: fornisce la prova più sicura di un consenso valido.

Double opt-in conforme al GDPR per il pool di talenti via WhatsApp
Ecco come funziona un double opt-in conforme al GDPR via WhatsApp.

Procedura del double opt-in

  1. Prima richiesta: Il candidato si iscrive in un modulo (es. "Desidero essere informato/a via WhatsApp su posizioni adatte") o clicca su un link di opt-in in una e-mail.
  2. Messaggio di conferma: Il candidato riceve un messaggio WhatsApp: "Confermi il Suo consenso rispondendo a questo messaggio o cliccando su: [Link]."
  3. Conferma: Il candidato risponde o clicca. Il consenso viene attivato e memorizzato con timestamp, canale e testo del consenso.

Cosa deve contenere la documentazione

Ai sensi dell'art. 7, par. 1 GDPR, l'onere della prova spetta al responsabile del trattamento. I seguenti dati devono essere memorizzati per ogni opt-in:

  • Data e ora del consenso
  • Canale (WhatsApp, SMS, e-mail)
  • Testo esatto del consenso a cui il candidato ha acconsentito
  • Indirizzo IP o altri elementi identificativi (per opt-in basato sul web)
  • Indicazione della possibilità di revoca

SendSeven memorizza automaticamente questi metadati per ogni contatto nel profilo del contatto. Puoi esportarli in qualsiasi momento come prova.

Revoca e opt-out

La revoca deve essere semplice quanto il consenso (art. 7, par. 3 GDPR). Per WhatsApp: aggiungi alla fine di ogni messaggio broadcast un chiaro avviso di opt-out: "Non vuoi ricevere ulteriori messaggi? Rispondi con STOP." SendSeven elabora automaticamente i messaggi STOP e rimuove il contatto dalla lista broadcast attiva.

Conformità antidiscriminazione nei messaggi automatizzati

La legislazione antidiscriminazione si applica anche alla comunicazione di recruiting automatizzata. Chi utilizza un chatbot IA o campagne automatizzate deve assicurarsi che i sistemi non riproducano schemi discriminatori.

Criteri vietati dalla normativa antidiscriminazione

I messaggi automatizzati e le logiche di selezione non possono basarsi sulle seguenti caratteristiche:

  • Età: nessuna esclusione di candidati al di sopra o al di sotto di una certa età dai segmenti di campagna
  • Sesso: nessuna formulazione di posizioni specifica per genere nei template
  • Origine / nazionalità: nessun filtraggio per paese di origine nel contatto
  • Religione o convinzione personale
  • Disabilità
  • Identità sessuale

Regole pratiche per i template di messaggistica

  • Nessun filtro per età nelle segmentazioni delle campagne
  • Linguaggio neutro rispetto al genere nei template WhatsApp: "Salve [Nome]" invece di formulazioni legate al genere
  • Versioni di template uniformi per tutti i target. Nessuna "variante senior" con contenuti diversi
  • Documentazione della logica di selezione: perché vengono contattati determinati candidati e altri no? I criteri devono essere conformi alla normativa antidiscriminazione e documentabili.

Quando l'IA seleziona: diritto di revisione umana

Se il tuo sistema effettua suggerimenti assistiti dall'IA per la selezione dei candidati (es. "Questi 50 candidati dal pool di talenti si adattano meglio"), si applica l'art. 22 GDPR se tali suggerimenti portano direttamente a contatti. In questo caso un essere umano deve prendere la decisione finale. Non il sistema. Documenta la revisione nel tuo processo.

DPA con il fornitore di messaggistica

Chi fa elaborare dati personali da un fornitore di servizi esterno ha bisogno di un accordo di trattamento dei dati (DPA) ai sensi dell'art. 28 GDPR. Questo si applica a ogni fornitore di messaggistica che gestisce dati dei candidati.

Cosa deve contenere un DPA

  • Oggetto e durata del trattamento
  • Natura e finalità del trattamento
  • Tipo di dati personali (es. nome, numero di telefono, cronologia della conversazione)
  • Categorie di persone interessate (es. candidati, membri del pool di talenti)
  • Obblighi e diritti del responsabile del trattamento
  • Misure tecnico-organizzative (TOM)
  • Sub-responsabili del trattamento (sub-processor) con obbligo di approvazione
  • Obblighi di cancellazione e restituzione dopo la fine del contratto

SendSeven come responsabile del trattamento

SendSeven tratta i dati dei candidati esclusivamente per conto tuo e secondo le tue istruzioni. Il DPA è standard nel contratto. Punti chiave:

  • Sede del server: UE (Francoforte / Google Cloud)
  • Crittografia dei dati: a riposo e in transito
  • Sub-processor: lista di tutti i sub-responsabili del trattamento disponibile su richiesta
  • Cancellazione: cancellazione completa dei dati su richiesta o dopo la fine del contratto

Checklist in 10 punti: messaggistica di recruiting conforme al GDPR

Dialogo WhatsApp: candidata richiede cancellazione dati GDPR
Art. 17 GDPR in pratica: elaborare professionalmente le richieste di cancellazione via WhatsApp.
  1. Base giuridica documentata: Per ogni tipo di comunicazione (processo in corso, pool di talenti, outreach) la base giuridica applicabile è stabilita e documentata.
  2. Opt-in ottenuto con la candidatura: Il modulo di candidatura contiene un'opzione di consenso volontaria e non pre-selezionata per i canali di messaggistica.
  3. Opt-in offerto con il rifiuto: L'e-mail di rifiuto contiene un'offerta opzionale per l'inserimento nel pool di talenti con scelta del canale.
  4. Double opt-in per WhatsApp e SMS: I consensi vengono verificati tramite un messaggio di conferma e memorizzati con timestamp.
  5. Termini di cancellazione implementati: I candidati rifiutati senza opt-in vengono cancellati o anonimizzati 6 mesi dopo il rifiuto.
  6. Opt-out in ogni messaggio di campagna: Ogni messaggio broadcast contiene un chiaro avviso STOP. Le risposte STOP vengono elaborate automaticamente.
  7. Privacy policy aggiornata: La tua privacy policy menziona i canali di messaggistica, la finalità del trattamento e i tempi di conservazione per i dati dei candidati.
  8. Template conformi alla normativa antidiscriminazione: Tutti i template di messaggi automatizzati sono stati verificati per criteri discriminatori. Il linguaggio neutro rispetto al genere è standard.
  9. DPA concluso: Con SendSeven (e eventualmente con altri fornitori di servizi) è disponibile un DPA completo e aggiornato.
  10. Richieste di accesso e cancellazione elaborate: Il tuo team sa come rispondere alle richieste di accesso ai sensi dell'art. 15 GDPR e alle richieste di cancellazione ai sensi dell'art. 17 GDPR, inclusa la fornitura delle cronologie delle chat su richiesta.

Conclusione

La messaggistica di recruiting conforme al GDPR non è un ostacolo burocratico – è la base per una relazione fiduciosa con i candidati. Chi comunica in modo trasparente, documenta accuratamente i consensi e rispetta i termini di cancellazione, non solo ha meno rischi di conformità. Costruisce anche un employer brand credibile per i candidati.

L'implementazione tecnica con SendSeven è gestibile: i moduli di opt-in, la doppia conferma tramite messaggistica, l'elaborazione automatica dell'opt-out e le cronologie complete delle conversazioni per contatto nella casella unificata sono integrati. La checklist in 10 punti sopra ti dà un punto di partenza per la prossima revisione di conformità interna.

Articoli correlati dal cluster recruiting:

Domande frequenti

Ho bisogno di un DPA per ogni contatto WhatsApp nel recruiting?

Hai bisogno di un DPA con il fornitore che invia i messaggi WhatsApp – ovvero con SendSeven. Non con ogni singolo candidato. Il DPA disciplina il rapporto tra te (responsabile del trattamento) e SendSeven (responsabile del trattamento per conto terzi). Con i candidati disciplini invece il trattamento dei dati tramite la privacy policy e il consenso.

Posso contattare direttamente via WhatsApp i candidati da LinkedIn?

In linea di principio no, senza consenso. Un contatto via WhatsApp presuppone che tu abbia il numero di cellulare del candidato e che abbia acconsentito al contatto tramite questo canale. Se hai il numero da un contesto professionale (es. biglietto da visita a un evento), l'interesse legittimo è concepibile entro limiti molto ristretti, ma richiede una valutazione documentata dell'interesse (Legitimate Interest Assessment, LIA).

Cosa succede se un candidato revoca il proprio consenso?

Devi interrompere immediatamente ulteriori comunicazioni tramite il canale interessato. Questo vale per WhatsApp, SMS e tutti gli altri canali di messaggistica. Un consenso basato sull'art. 6, par. 1, lett. a decade completamente. I dati finora raccolti su questa base devono essere cancellati, a meno che non esista un'altra base giuridica.

Il termine di 6 mesi dopo il rifiuto è un obbligo o una raccomandazione?

Non è un obbligo legale nel senso letterale, ma lo standard raccomandato dalla maggior parte delle autorità europee per la protezione dei dati e una pratica ben consolidata per la tutela antidiscriminazione. Termini più brevi sono possibili. Termini più lunghi senza opt-in sono giuridicamente problematici.

Ho bisogno di un responsabile della protezione dei dati per la messaggistica di recruiting?

Dipende dalla dimensione dell'azienda e dall'entità del trattamento dei dati. Se tratti regolarmente dati personali di più di 20 persone, un responsabile della protezione dei dati aziendale è generalmente obbligatorio ai sensi dell'art. 37 GDPR. Per le agenzie di selezione che trattano professionalmente dati di candidati, questo è generalmente il caso.

Risorse correlate