Conformità GDPR & AI Act
La selezione del personale con l'AI è un trattamento delicato. Abbiamo progettato Hybrid.AI Interviewer per aiutare le aziende che operano in Italia e nell'UE a usarlo nel pieno rispetto del Regolamento (UE) 2016/679 (GDPR) e del Regolamento europeo sull'intelligenza artificiale (AI Act).
1Ruoli: Titolare e Responsabile
L'azienda cliente è Titolare del trattamento dei dati dei propri candidati: decide finalità e mezzi della selezione.
Hybrid s.a.s. agisce come Responsabile del trattamento (art. 28 GDPR), trattando i dati per conto e su istruzione del cliente, sulla base di un accordo sul trattamento dei dati (DPA) reso disponibile su richiesta.
2Principi applicati
- Liceità, correttezza e trasparenza: i candidati sono informati del trattamento e dell'uso dell'AI.
- Limitazione della finalità: i dati sono usati solo per la specifica selezione.
- Minimizzazione: raccogliamo solo i dati necessari (contatto, CV, esito).
- Esattezza: i dati del candidato sono rettificabili in ogni momento dalla scheda.
- Limitazione della conservazione: cancellazione al termine del processo o su richiesta.
- Integrità e riservatezza: misure tecniche e organizzative adeguate (sez. 6).
3Basi giuridiche
- Esecuzione del contratto di servizio con l'azienda cliente;
- Consenso del candidato per la registrazione/trascrizione dei colloqui e per il contatto via WhatsApp (raccolto e datato nella piattaforma);
- Legittimo interesse alla gestione della selezione, bilanciato con i diritti del candidato.
4Decisioni automatizzate, art. 22 e AI Act
La selezione dei candidati mediante AI è classificata come sistema ad alto rischio dall'AI Act. Per questo:
- le valutazioni AI sono di supporto e non determinano da sole l'esito: è sempre prevista una revisione umana significativa (human-in-the-loop);
- lo scoring è spiegabile: criteri, punti di forza e lacune sono mostrati in chiaro;
- il candidato può richiedere l'intervento umano, esprimere la propria opinione e contestare l'esito (art. 22 GDPR);
- manteniamo tracciabilità delle valutazioni per finalità di controllo e supervisione.
5Diritti degli interessati (come li supportiamo)
6Sicurezza e localizzazione dei dati
- Dati ospitati nell'Unione Europea (infrastruttura in Germania);
- trasmissioni cifrate (TLS) e credenziali protette con hashing robusto;
- isolamento multi-tenant: ogni azienda/agenzia accede solo ai propri dati;
- controllo degli accessi basato sui ruoli e registrazione degli accessi (audit);
- i costi e i dati economici della piattaforma non sono visibili ai clienti.
7Fornitori e trasferimenti extra-UE
Ci avvaliamo di fornitori (sub-responsabili) per hosting nell'UE, servizi di IA (elaborazione del linguaggio, riconoscimento e sintesi vocale) e messaggistica WhatsApp Business Platform di Meta. Ove un trattamento comporti un trasferimento fuori dall'UE, esso avviene con garanzie adeguate (es. Clausole Contrattuali Standard). L'elenco aggiornato dei sub-responsabili è disponibile su richiesta.
8Trattamento da parte dei servizi di IA
Il Servizio impiega componenti di intelligenza artificiale per analizzare e valutare i curriculum (modelli linguistici ed embedding semantici), condurre e trascrivere i colloqui vocali (riconoscimento del parlato) e generare la voce dell'assistente (sintesi vocale).
- Dati inviati: ai servizi di IA trasmettiamo solo i dati necessari all'elaborazione (testo del CV, audio e trascrizione del colloquio, contesto della posizione), nel rispetto del principio di minimizzazione.
- Localizzazione: privilegiamo fornitori che trattano i dati nell'Unione Europea per l'elaborazione del linguaggio e degli embedding. Alcuni servizi vocali (riconoscimento e sintesi) possono operare anche presso fornitori con sede fuori dall'UE; in tali casi il trasferimento avviene con garanzie adeguate (Clausole Contrattuali Standard ed eventuale adesione a framework di adeguatezza, es. EU–US Data Privacy Framework).
- Nessun addestramento sui tuoi dati: i contenuti inviati ai fornitori di IA sono usati per la sola erogazione del Servizio e non per addestrare i loro modelli, in base alle condizioni d'uso business/API applicabili.
- Protezione: trasmissioni cifrate (TLS), conservazione minima presso il fornitore e obblighi contrattuali di riservatezza e sicurezza in qualità di responsabili/sub-responsabili del trattamento (art. 28 GDPR). L'elenco aggiornato dei fornitori di IA è disponibile su richiesta.
9Conservazione e cancellazione
I dati dei candidati sono conservati per il tempo necessario alla selezione, o per il periodo indicato dal cliente, e poi cancellati o anonimizzati. Le registrazioni audio possono essere eliminate su richiesta o al termine del processo.
10Responsabilità dell'azienda cliente
- informare i candidati e raccogliere le eventuali basi giuridiche necessarie;
- utilizzare le valutazioni AI come supporto e non come unico criterio;
- rispettare la normativa anti-discriminazione e giuslavoristica applicabile.
11Contatti e reclami
Per richieste sulla protezione dei dati: info@hybrid.it — Hybrid s.a.s. di Taddeucci D. & C., Via Traversa Livornese 73, 57016 Rosignano Marittimo (LI). È sempre possibile proporre reclamo al Garante per la protezione dei dati personali. Vedi anche l'Informativa sulla Privacy.