Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-05-277 min read

AI nel Recruiting: FRIA e DPIA per i Sistemi di Screening CV e Selezione del Personale

I sistemi AI per il recruiting sono ad alto rischio AI Act (Allegato III). Quali obblighi di DPIA e FRIA gravano su HR-tech e aziende, come documentare il debiasing e cosa verificano i clienti enterprise in vendor assessment.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Un sistema AI di screening CV è soggetto all'AI Act? Quali obblighi di FRIA e DPIA comporta?

Sì. I sistemi AI utilizzati per il reclutamento, la selezione del personale, la promozione e la valutazione delle prestazioni sono classificati ad alto rischio dall'Allegato III, punto 4 dell'AI Act. Per questi sistemi, il Deployer (l'azienda o la piattaforma HR che li utilizza) è obbligato a condurre sia la DPIA (GDPR Art. 35) sia la FRIA (AI Act Art. 27), documentare le misure di debiasing adottate, predisporre supervisione umana significativa e informare i candidati che la selezione è assistita da AI.

Fonti: Reg. UE 2024/1689 (AI Act) Allegato III, punto 4 · EDPB — Guidelines on processing personal data in the employment context · Garante Privacy — Linee guida sull'uso dell'AI in ambito lavorativo · AI Office UE — Orientamenti sistemi alto rischio: consultazione aperta maggio 2026 · Reg. UE 2016/679 (GDPR) Artt. 22, 35

La selezione del personale è uno dei settori in cui l'AI ha penetrazione più rapida e impatto più elevato sulle persone. Un candidato escluso da un processo di selezione perde un'opportunità lavorativa: la conseguenza è concreta, spesso difficilmente reversibile e può incidere sulla sua traiettoria professionale per anni. Per questo il legislatore europeo ha inserito i sistemi AI di recruiting nella categoria ad alto rischio dell'Allegato III, con un perimetro di obblighi che coinvolge sia le piattaforme HR-tech che li sviluppano (nella veste di Provider) sia le aziende che li acquistano e li utilizzano (nella veste di Deployer). Per il framework documentale complessivo, si veda la guida alla valutazione integrata DPIA+FRIA per sistemi AI. Per gli obblighi specifici del Deployer, si veda la guida all'Art. 26 AI Act obblighi Deployer.

Quali sistemi AI di recruiting ricadono nell'Allegato III

L'Allegato III, punto 4 AI Act copre i sistemi AI utilizzati per:

  • Selezione e scrematura dei candidati (screening CV, matching profilo-posizione)
  • Valutazione durante il processo di selezione (analisi del colloquio, scoring delle risposte)
  • Decisioni su promozione, avanzamento di carriera e assegnazione di compiti
  • Monitoraggio e valutazione delle prestazioni dei lavoratori
  • Cessazione del rapporto di lavoro

La classificazione non dipende dal grado di automazione: un sistema che assiste un recruiter umano nella prioritizzazione dei CV ricade nell'Allegato III tanto quanto uno che scarta automaticamente le candidature. Il fattore rilevante è l'influenza dell'output algoritmico sul destino occupazionale della persona.

La consultazione pubblica dell'AI Office di maggio 2026 sulle linee guida per i sistemi ad alto rischio chiarisce che la valutazione deve essere effettuata sulla funzione svolta dal sistema, non sulla denominazione commerciale adottata dal vendor.

Gli obblighi del Deployer HR: DPIA e FRIA integrate

La DPIA per sistemi AI di recruiting

La DPIA ex Art. 35 GDPR è obbligatoria perché lo screening CV costituisce trattamento automatizzato su larga scala con profilazione. I punti critici specifici per il contesto HR:

Base giuridica. Il trattamento dei dati dei candidati per finalità di selezione si fonda generalmente sul legittimo interesse del datore o sull'esecuzione di misure precontrattuali. Tuttavia, quando il trattamento include categorie particolari di dati ricavabili dal CV (lacune che suggeriscono maternità, nomi che indicano l'origine etnica, indirizzi che rivelano la provenienza geografica), la base giuridica diventa più complessa e richiede analisi specifica.

Retention dei CV. I curriculum vanno conservati per il tempo strettamente necessario al processo di selezione. Conservare i CV di candidati non selezionati per costruire un database da cui attingere in futuro richiede una base giuridica separata e un'informativa specifica.

Diritto di spiegazione. I candidati hanno diritto a sapere se la loro esclusione è stata determinata o influenzata da un sistema automatizzato e, in tal caso, di richiedere la revisione umana della decisione (Art. 22 GDPR e Legge 132/2025).

La FRIA per sistemi AI di recruiting

La FRIA valuta i rischi che la DPIA non copre: l'impatto sui diritti fondamentali dei candidati al di là della privacy. I cinque quesiti fondamentali della FRIA applicati al recruiting:

1. Quali diritti fondamentali sono esposti? Principalmente: parità di trattamento e non discriminazione (Art. 20-21 Carta dei Diritti Fondamentali UE), accesso all'occupazione, dignità dei candidati.

2. Come il sistema può comprometterli? Il bias algoritmico è il rischio principale: un sistema addestrato su dati storici di assunzioni riflette i pregiudizi del passato. Se l'azienda ha storicamente assunto prevalentemente uomini in ruoli tecnici, il modello tenderà a produrre score più bassi per le candidate donne anche in assenza di variabili di genere esplicite nel dataset, attraverso proxy correlate (tipo di università frequentata, anni di esperienza consecutivi, settori precedenti).

3. Quali conseguenze concrete per il candidato escluso? Perdita di un'opportunità lavorativa; effetto cumulativo se il sistema è usato da più aziende dello stesso settore; difficoltà di contestare una decisione opaca.

4. Chi è responsabile e quale supervisione umana esiste? La FRIA deve identificare il responsabile HR che ha la competenza e l'autorità di ignorare il ranking algoritmico; deve documentare i casi in cui la supervisione umana ha portato a una decisione diversa da quella dell'algoritmo.

5. Quali meccanismi di ricorso ha il candidato? La procedura per richiedere la revisione umana deve essere concreta e accessibile: un'email generica a info@azienda.it non è un meccanismo di ricorso adeguato.

Il problema del bias nei sistemi di recruiting AI

Il bias algoritmico nel recruiting è uno dei rischi più documentati e meno gestiti. Tre meccanismi di bias frequenti:

Proxy discrimination. Il modello non usa variabili protette esplicitamente (genere, età, etnia) ma usa variabili correlate che producono lo stesso effetto. Un sistema addestrato su CV di dipendenti di successo in un'azienda in cui il management è prevalentemente maschile e cresciuto in specifici ambienti accademici produrrà bias strutturale verso candidati con profili demografici simili.

Bias di maternità. Buchi nel CV corrispondenti a periodi di maternità/paternità vengono interpretati dal modello come lacune negative di carriera. Un sistema non debiasato penalizza sistematicamente le donne che hanno usufruito di congedi.

Bias geografico. CAP o città di residenza nel CV possono correlare con caratteristiche socioeconomiche che il modello interpreta come proxy di "adeguatezza culturale" o affidabilità.

Le misure di debiasing da documentare nella FRIA includono: analisi delle disparate impact tra sottogruppi protetti (test di fairness), rimozione o oscuramento delle variabili proxy, audit periodici degli output disaggregati per genere, età ed etnia di riferimento.

Cosa verificano i clienti enterprise nel vendor assessment HR-tech

Le grandi aziende che acquistano piattaforme HR-tech stanno includendo nei vendor assessment domande specifiche sulla compliance AI Act. Le più frequenti:

Domanda del clienteRisposta attesa
Avete la FRIA per il modulo di screening CV?Documento datato e firmato
Come dimostrate l'assenza di bias discriminatorio?Report di fairness testing disaggregato per genere/età
I candidati vengono informati dell'uso dell'AI?Estratto dell'informativa candidati con sezione AI
Qual è la procedura di revisione umana?SOP scritta con responsabili nominati
Avete la documentazione tecnica del modello per il nostro DPO?Documentazione ex Art. 11 AI Act

Un vendor HR-tech che non può rispondere documentalmente a queste domande non supera il procurement enterprise delle grandi aziende.

La tua piattaforma HR-tech o il sistema di recruiting che usi hanno DPIA e FRIA documentate?

Studio Legale Ingoglia assiste piattaforme HR-tech e aziende utilizzatrici nella conduzione della DPIA e della FRIA per i sistemi di selezione del personale, nella progettazione dei test di fairness e nella predisposizione della documentazione per i vendor assessment enterprise. Prenota una consulenza strategica prima del prossimo ciclo di selezione o del prossimo vendor assessment.

Articolo aggiornato al 27 maggio 2026. Le linee guida AI Office UE sui sistemi ad alto rischio sono in consultazione pubblica fino al 23 giugno 2026. Per supporto specifico, contatta lo studio.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeACN e Notifica Incidenti AI: Obblighi di Reporting per Sistemi ad Alto Rischio7 min readAziendeBias Detection e Debiasing: come Documentare le Misure di Mitigazione nella FRIA7 min readAziendeCredit Scoring e AI: Obblighi DPIA e FRIA per Banche e Fintech7 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza