Protezione dei dati

GDPR e risorse umane: dati dei dipendenti in azienda

GDPR e risorse umane: base giuridica dei dati dei dipendenti, controlli a distanza art. 4 Statuto, metadati email, geolocalizzazione e management algoritmico.

Also available in:Français·Español·Deutsch·Nederlands

Nel rapporto di lavoro il consenso non è quasi mai una base giuridica valida: il Garante e il Comitato europeo per la protezione dei dati lo ripetono da anni, perché tra datore e dipendente manca l’equilibrio di potere che rende il consenso “libero”. I dati del personale si trattano quindi su altre basi — contratto (art. 6, par. 1, lett. b, GDPR), obbligo legale (buste paga, contributi, sicurezza sul lavoro) e, con cautela, legittimo interesse. Sopra questo impianto pesa un vincolo tutto italiano: l’art. 4 dello Statuto dei Lavoratori (L. 300/1970), che disciplina i controlli a distanza e impone accordo sindacale o autorizzazione. Questa guida copre l’intero ciclo di vita dei dati HR, dai CV al management algoritmico.

Punti chiave

  • Nel rapporto di lavoro il consenso è raramente valido: le basi corrette sono contratto, obbligo legale e legittimo interesse.
  • I controlli a distanza (videosorveglianza, geolocalizzazione, strumenti che tracciano l’attività) richiedono accordo sindacale o autorizzazione ex art. 4 Statuto dei Lavoratori.
  • Il Garante ha adottato indicazioni sui metadati delle email dei dipendenti, limitandone la conservazione da parte del datore.
  • La profilazione algoritmica dei lavoratori (rider, valutazioni automatizzate) è sotto stretto controllo: le sanzioni a Foodinho/Glovo e Deliveroo lo dimostrano.
  • I CV dei candidati non assunti vanno conservati per un tempo limitato (prassi del Garante: 6-24 mesi).

Perché il consenso non funziona in azienda

L’idea di far firmare al dipendente un consenso “per tutto” è diffusa e sbagliata. Un consenso è valido solo se libero, e nel rapporto di lavoro il subordinato non è nella condizione di rifiutare senza timore di conseguenze. Il datore deve quindi individuare la base corretta per ciascun trattamento:

Trattamento HR Base giuridica Consenso?
Buste paga, presenze, contributi Contratto + obbligo legale No
Sorveglianza sanitaria, sicurezza Obbligo legale (D.Lgs. 81/2008) No
Welfare, benefit facoltativi Contratto/consenso caso per caso A volte
Videosorveglianza, geolocalizzazione Legittimo interesse + art. 4 Statuto No, ma serve accordo/autorizzazione
Foto sul sito aziendale, uso promozionale Consenso

Solo per trattamenti realmente facoltativi e non necessari — come la pubblicazione della foto sul sito — il consenso resta la base adeguata. Per formularlo correttamente si vedano gli esempi di consenso GDPR.

L’art. 4 dello Statuto: il vincolo italiano sui controlli

Qualunque strumento che consenta un controllo a distanza dell’attività dei lavoratori — telecamere, GPS sui veicoli aziendali, software che monitorano l’uso del pc — è soggetto all’art. 4 della L. 300/1970. La regola: gli impianti da cui deriva anche la possibilità di controllo a distanza possono essere installati solo per esigenze organizzative, produttive, di sicurezza o di tutela del patrimonio, e previo accordo con le rappresentanze sindacali o, in difetto, autorizzazione dell’Ispettorato del Lavoro. Manca questa garanzia e il trattamento è illecito, a prescindere dalla base GDPR. Per le telecamere valgono anche le regole del Garante sulla videosorveglianza.

Metadati delle email: il caso che ha cambiato le prassi

Con le indicazioni adottate nel 2024 sui programmi e servizi informatici per la gestione della posta elettronica in ambito lavorativo, il Garante ha affrontato la conservazione dei metadati delle email dei dipendenti (log di invio/ricezione, mittenti, destinatari, orari). Il principio: il datore non può conservare a lungo e in modo generalizzato questi metadati, perché consentirebbe una ricostruzione sistematica dell’attività del lavoratore, sconfinando nei controlli a distanza. La conservazione va limitata a tempi ridotti e giustificata, salvo diverse esigenze tecniche documentate.

Geolocalizzazione, badge e biometria

La geolocalizzazione dei veicoli aziendali è ammessa per finalità organizzative e di sicurezza, ma non per il controllo continuo del lavoratore: va limitata, segnalata e soggetta all’art. 4. I sistemi biometrici per la rilevazione delle presenze sono fortemente sconsigliati e, di regola, sproporzionati: esistono alternative meno invasive (badge, PIN). Quando un trattamento HR è su larga scala o ad alto rischio — monitoraggio sistematico, biometria, profilazione — è necessaria una valutazione d’impatto sulla protezione dei dati (DPIA).

Management algoritmico: il fronte più sanzionato

L’uso di algoritmi per assegnare turni, valutare la performance o gestire i rider è al centro dell’attenzione del Garante. Nel 2021 l’Autorità ha sanzionato Foodinho (Glovo) per 2,6 milioni di euro e Deliveroo Italy per 2,5 milioni di euro per il trattamento illecito dei dati dei rider tramite algoritmi di gestione, contestando trasparenza insufficiente, assenza di misure di sicurezza e mancata garanzia dei diritti sulle decisioni automatizzate (art. 22 GDPR). La lezione: qualsiasi sistema che influenza in modo automatizzato le condizioni di lavoro richiede trasparenza, base giuridica solida e tutele per l’interessato.

Ciclo di vita dei dati e conservazione

Ogni categoria di dato HR ha il suo termine: le buste paga e i documenti contributivi seguono i termini di legge; i CV dei candidati non assunti vanno conservati per un tempo limitato (prassi del Garante: 6-24 mesi); i dati disciplinari hanno termini legati alle esigenze difensive. Costruire lo schema richiede una tabella dei tempi di conservazione, e tutti i trattamenti HR vanno censiti nel registro delle attività di trattamento. Dove l’azienda tratta molti dipendenti e categorie particolari, è opportuno valutare la nomina di un responsabile della protezione dei dati (DPO). Le indicazioni ufficiali sono su garanteprivacy.it e il Regolamento su EUR-Lex.

Whistleblowing e segnalazioni interne

Il D.Lgs. 24/2023, che attua la direttiva europea sul whistleblowing, impone a molte aziende un canale di segnalazione che tratta dati particolarmente delicati: identità del segnalante, del segnalato, dettagli dell’illecito. La riservatezza dell’identità del segnalante è un obbligo di legge, e il trattamento va gestito con base giuridica nell’obbligo legale, accesso limitatissimo, tempi di conservazione definiti e misure di sicurezza rafforzate. La piattaforma di whistleblowing, se esterna, è un responsabile ex art. 28 da nominare con cura. Il coordinamento tra la disciplina whistleblowing e il GDPR è uno dei punti su cui il Garante ha fornito indicazioni operative, ed è un fronte dove l’improvvisazione espone a rischi seri.

Accesso ai dati da parte del lavoratore

Il dipendente è un interessato come gli altri e può esercitare i diritti dell’art. 15 GDPR: chiedere quali suoi dati l’azienda tratta, ottenerne copia, chiederne la rettifica. Le richieste di accesso dei lavoratori — spesso in fase di contenzioso o al termine del rapporto — vanno gestite entro un mese e non possono essere negate solo perché scomode. Al tempo stesso, l’azienda può opporre limiti quando la richiesta interferisce con i diritti di terzi o con esigenze difensive documentate. Predisporre un flusso di risposta chiaro evita che una richiesta si trasformi in un reclamo al Garante. La gestione ordinata di richieste, registro e nomine è più semplice con strumenti che centralizzano la documentazione HR invece di disperderla tra fogli e cartelle condivise.

FAQ

Devo far firmare un consenso privacy ai dipendenti?

Quasi mai. Nel rapporto di lavoro il consenso non è considerato libero e non è la base corretta per la gran parte dei trattamenti, che poggiano su contratto e obbligo legale. Il consenso serve solo per trattamenti realmente facoltativi, come la pubblicazione della foto sul sito aziendale.

Posso mettere il GPS sulle auto aziendali?

Sì, ma con limiti. La geolocalizzazione è ammessa per esigenze organizzative e di sicurezza, non per il controllo continuo del lavoratore, ed è soggetta all’art. 4 dello Statuto dei Lavoratori: serve accordo sindacale o autorizzazione dell’Ispettorato, oltre a informativa e limitazione dei dati.

Per quanto tempo posso conservare i CV dei candidati?

Per un tempo limitato. La prassi del Garante indica 6-24 mesi per le candidature non andate a buon fine, salvo che l’interessato acconsenta a una conservazione più lunga per future selezioni. Oltre il termine, i CV vanno cancellati secondo una tabella dei tempi di conservazione per tipologia di documento.

Posso monitorare le email dei dipendenti?

Solo entro limiti stringenti. Le indicazioni del Garante del 2024 vietano la conservazione generalizzata e prolungata dei metadati delle email e impongono di rispettare l’art. 4 dello Statuto. Il controllo del contenuto è ammesso solo in casi eccezionali, proporzionati e previamente resi noti.

Vedi anche: un’informativa privacy per i dipendenti da consegnare all’assunzione e il GDPR per le scuole e gli istituti, che gestiscono personale docente e ATA.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →