GDPR dati dipendenti HR compliance trattamento dati personali
quali dati personali può raccogliere il datore di lavoro GDPR consenso dipendente obbligatorio assunzione per quanto tempo conservare dati dipendenti GDPR L'azienda può monitorare le email dei dipendenti? Devo chiedere il consenso GDPR ai dipendenti per ogni trattamento?

Dal curriculum vitae alla biometria delle impronte digitali: ogni dato che la tua azienda raccoglie su un dipendente è soggetto al GDPR. Una violazione in questo ambito non è solo un problema di sanzioni (fino al 4% del fatturato globale) — è un rischio reputazionale e di relazione con il personale. Eppure molte HR italiane continuano a raccogliere dati “perché si è sempre fatto così”, senza una base giuridica documentata.

Il GDPR applicato al rapporto di lavoro: inquadramento generale

Il Regolamento (UE) 2016/679 (GDPR) si applica integralmente al trattamento dei dati personali dei dipendenti. In Italia, il D.Lgs. 196/2003 (Codice Privacy), come novellato dal D.Lgs. 101/2018, integra le disposizioni europee con specificità nazionali per il contesto lavorativo.

Il punto di partenza obbligatorio è la base giuridica: prima di raccogliere qualsiasi dato, l’azienda deve identificare il fondamento giuridico che legittima quel trattamento specifico.

Le basi giuridiche per i dati HR

Esecuzione del contratto (art. 6.1.b GDPR): la maggior parte dei dati necessari alla gestione del rapporto di lavoro (retribuzione, presenze, inquadramento). Obbligo legale (art. 6.1.c): dati richiesti dalla legge (contributi previdenziali, adempimenti fiscali, sicurezza sul lavoro). Interesse legittimo (art. 6.1.f): monitoring limitato per finalità di sicurezza aziendale, con bilanciamento obbligatorio. Consenso (art. 6.1.a): residuale nel contesto lavorativo — il consenso del dipendente non è considerato “libero” per definizione, quindi usarlo come base giuridica principale è rischioso.

Perché il consenso in ambito lavorativo è problematico

Il Garante Privacy italiano (Provvedimento del 13 maggio 2021) e le linee guida WP29 hanno chiarito: il rapporto di subordinazione crea uno squilibrio di potere che mette in dubbio la libertà del consenso del dipendente. Usare il consenso come unica base giuridica per dati ordinari del rapporto di lavoro espone l’azienda al rischio di invalidità del trattamento.

Mappa dei trattamenti HR: cosa puoi raccogliere e perché

Ecco una classificazione operativa dei principali trattamenti HR, con la relativa base giuridica raccomandabile.

Dati anagrafici e contrattuali

Cosa: nome, codice fiscale, residenza, inquadramento, retribuzione, banca. Base giuridica: esecuzione del contratto + obbligo legale. Conservazione: durata del rapporto + 10 anni (prescrizione ordinaria crediti). Note: nessuna criticità se gestiti correttamente.

Dati di presenze e timbrature

Cosa: orari di ingresso/uscita, assenze, ferie, straordinari. Base giuridica: esecuzione del contratto + obbligo legale (D.Lgs. 66/2003). Conservazione: minimo 2 anni (norma) ma raccomandato 5 anni. Note: se si usa biometrica, necessaria valutazione d’impatto (DPIA) preventiva.

Dati sanitari (categoria speciale)

Cosa: certificati di malattia, idoneità lavorativa, invalidità, gravidanza. Base giuridica: obbligo legale + esecuzione contratto (art. 9.2.b GDPR). Conservazione: 5 anni per l.104 e idoneità; durata rapporto per malattia ordinaria. Note: accesso limitato al medico competente e HR senior; nessuna condivisione con responsabili di reparto salvo idoneità/limitazioni.

Dati di monitoraggio (controllo a distanza)

Cosa: badge accessi, log informatici, email aziendali, GPS aziendale. Base giuridica: interesse legittimo (con bilanciamento), previa procedura ex art. 4 L. 300/1970. Conservazione: massimo 1 anno (Provvedimento Garante 2016). Note: informativa specifica obbligatoria; accordo sindacale o autorizzazione ITL per strumenti di controllo.

Dati giudiziari

Cosa: carichi penali pendenti, sentenze di condanna. Base giuridica: solo se previsto da norma di legge o necessario per specifiche posizioni (sicurezza, contatto con minori). Conservazione: durata strettamente necessaria. Note: trattamento vietato in assenza di specifica norma autorizzativa.

Gli adempimenti obbligatori per il datore di lavoro

GDPR dati dipendenti HR compliance trattamento dati personali

Il GDPR non è solo un vincolo: è un sistema di adempimenti che, se implementato correttamente, riduce il rischio legale e aumenta la fiducia interna.

Informativa ai lavoratori (art. 13 GDPR)

Obbligatoria prima dell’inizio del trattamento. Deve specificare: finalità e base giuridica per ogni categoria di dati, periodo di conservazione, diritti dell’interessato, eventuale trasferimento extra-UE. Il Garante italiano ha sanzionato diverse aziende per informative generiche o incomplete.

Registro dei trattamenti (art. 30 GDPR)

Obbligatorio per aziende con più di 250 dipendenti, ma raccomandato per tutte. Deve contenere per ogni trattamento: nome e contatti del titolare, finalità, categorie di interessati e dati, destinatari, trasferimenti extra-UE, misure di sicurezza. I software HR moderni generano automaticamente questo registro.

Valutazione d’impatto – DPIA (art. 35 GDPR)

Obbligatoria per trattamenti ad alto rischio, tra cui: dati biometrici, monitoraggio sistematico dei dipendenti, trattamento su larga scala di dati sensibili. La DPIA deve essere documentata e, nei casi previsti, consultata con il Garante prima dell’avvio del trattamento.

Le sanzioni del Garante: i casi italiani emblematici

Il Garante Privacy italiano ha erogato negli ultimi 3 anni sanzioni significative in ambito HR. Alcuni casi rilevanti:

Azienda manifatturiera (2022): sanzione di 40.000€ per installazione di sistemi di videosorveglianza senza informativa ai dipendenti e senza accordo sindacale, in violazione dell’art. 4 Statuto dei Lavoratori.

Società di servizi (2023): sanzione di 25.000€ per conservazione di dati sanitari dei dipendenti oltre i termini necessari e per accesso non autorizzato da parte dei responsabili di reparto.

Gruppo bancario (2023): sanzione di 2,4 milioni di euro per profilazione sistematica dei dipendenti attraverso dati di navigazione su pc aziendali senza adeguata informativa.

Conclusione: il GDPR come strumento di governance HR

Affrontare il GDPR in ottica puramente difensiva — “non voglio sanzioni” — è un approccio miope. Le aziende che gestiscono correttamente i dati dei dipendenti costruiscono un rapporto di fiducia con il personale, riducono il rischio di contenziosi interni e dimostrano maturità organizzativa ai propri stakeholder.

L’implementazione richiede un investimento iniziale (mappatura dei trattamenti, aggiornamento delle informative, eventuale nomina del DPO) ma genera un ritorno misurabile in termini di rischio evitato e qualità della relazione con le risorse umane.

Vuoi trasformare i dati di presenza della tua azienda in decisioni strategiche? Scopri come la nostra piattaforma di workforce management supporta le aziende italiane nella compliance, nell’efficienza operativa e nella people analytics. Richiedi una demo gratuita — nessun impegno, nessun setup richiesto.

FAQ — Domande Frequenti

D: Il datore di lavoro può leggere le email dei dipendenti?

R: Solo in presenza di specifiche condizioni: informativa preventiva ai dipendenti, accordo sindacale o autorizzazione dell’Ispettorato del Lavoro (art. 4, L. 300/1970), e finalità di sicurezza aziendale documentata. Non è possibile una sorveglianza sistematica e indiscriminata della posta elettronica.

D: Per quanto tempo si conservano i dati di un ex dipendente?

R: Dipende dalla categoria di dati. I dati retributivi e contributivi si conservano per 10 anni (prescrizione ordinaria). I dati di presenze per almeno 5 anni. I dati sanitari per i termini stabiliti dalle norme specifiche. Dopo questi termini, i dati vanno cancellati o anonimizzati.

D: Il curriculum vitae dei candidati non assunti deve essere cancellato?

R: Sì, entro un termine ragionevole dalla conclusione della selezione (il Garante indica generalmente 6-12 mesi, salvo consenso esplicito del candidato alla conservazione). Il candidato deve ricevere informativa prima dell’invio del CV.

D: Quando è obbligatorio nominare un DPO?

R: Il DPO è obbligatorio per aziende che effettuano monitoraggio sistematico di dipendenti su larga scala o che trattano dati sensibili su larga scala come attività principale. Per molte PMI non è obbligatorio, ma è comunque raccomandato come presidio di conformità.

Articoli Correlati
  • Privacy lavoratori GDPR
  • Registro trattamenti HR
  • Consenso dipendenti GDPR

Tag
Condividi il contenuto
Alessandro Pericolo
Alessandro Pericolo

Founder Pragmatica.ai | Tech Bro | Trasformo le PMI italiane con l’AI | 30 anni di esperienza + Innovation.
Appassionato di tecnologia per formazione, imprenditore per vocazione. Oggi, founder e CEO di Pragmatica.ai, startup innovativa con sede a Trieste

Articoli: 23

Altri contenuti interessanti da leggere

Lascia un risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *