L’informativa privacy per i dipendenti, resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR), è il documento con cui il datore di lavoro, in qualità di titolare del trattamento, spiega al lavoratore quali dati tratta, per quali finalità, su quali basi giuridiche e per quanto tempo. Va consegnata all’assunzione e aggiornata quando cambiano i trattamenti. Attenzione a un punto che molte aziende sbagliano: nel rapporto di lavoro il consenso non è quasi mai una base giuridica valida, perché tra datore e dipendente manca la parità che rende il consenso «libero». Qui trovi il fac-simile dell’informativa e i vincoli specifici del diritto del lavoro italiano.
Punti chiave
- L’informativa ai dipendenti è obbligatoria ex art. 13 GDPR e va data prima o all’atto dell’assunzione.
- Le basi giuridiche corrette sono il contratto (art. 6, par. 1, lett. b), l’obbligo di legge (lett. c) e il legittimo interesse (lett. f) — non il consenso.
- I controlli a distanza sono limitati dall’art. 4 dello Statuto dei Lavoratori (L. 300/1970).
- Il Garante nel 2024 è intervenuto sulla conservazione dei metadati delle email dei dipendenti.
- L’informativa va coordinata con il registro dei trattamenti e la nomina degli autorizzati.
Perché il consenso non funziona nel rapporto di lavoro
Il punto di partenza è controintuitivo per chi arriva dal mondo del marketing. Nel rapporto di lavoro il consenso del dipendente è, di regola, inidoneo a fondare il trattamento: il Garante e l’EDPB rilevano che lo squilibrio di potere tra datore e lavoratore priva il consenso del requisito di libertà (art. 4, n. 11 e art. 7 GDPR). Un dipendente difficilmente rifiuta ciò che il datore chiede.
Le basi corrette sono altre: l’esecuzione del contratto di lavoro (retribuzione, gestione presenze, mansioni), l’obbligo di legge (adempimenti fiscali, contributivi, previdenziali, comunicazioni obbligatorie), il legittimo interesse del datore (sicurezza informatica, tutela del patrimonio aziendale, entro i limiti dell’art. 4 Statuto), e, per i dati particolari, le condizioni dell’art. 9 (es. adempimenti in materia di lavoro e sicurezza sociale). Il consenso resta praticabile solo per trattamenti realmente facoltativi e slegati dalla prestazione, come la pubblicazione della foto del dipendente sul sito aziendale. Per orientarti tra le basi, vedi gli esempi di consenso GDPR.
Il fac-simile dell’informativa ai dipendenti
Ecco la struttura pronta da adattare, che riprende i contenuti obbligatori dell’art. 13.
Informativa sul trattamento dei dati personali dei dipendenti (art. 13 GDPR)
1. Titolare del trattamento: [denominazione, sede, contatti]. RPD/DPO (se nominato): [contatti].
2. Finalità e basi giuridiche:
- Gestione del rapporto di lavoro (retribuzione, presenze, mansioni) — art. 6, par. 1, lett. b.
- Adempimenti fiscali, contributivi, previdenziali e assicurativi — art. 6, par. 1, lett. c.
- Gestione della sicurezza sul lavoro e sorveglianza sanitaria — art. 9, par. 2, lett. b/h.
- Welfare aziendale, formazione, valutazione — art. 6, par. 1, lett. b/f.
- Tutela del patrimonio e sicurezza informatica — art. 6, par. 1, lett. f, nei limiti dell’art. 4 L. 300/1970.
- Gestione delle segnalazioni (whistleblowing) — obbligo di legge (D.lgs. 24/2023).
3. Categorie di dati: anagrafici, retributivi, presenze, dati sanitari (idoneità, infortuni), dati bancari, eventuali dati giudiziari nei casi previsti.
4. Destinatari: consulente del lavoro, INPS, INAIL, Agenzia delle Entrate, enti previdenziali, istituto bancario, fornitori nominati responsabili.
5. Conservazione: per la durata del rapporto e successivamente nei termini di legge (es. 5-10 anni per i profili contributivi e civilistici).
6. Diritti dell’interessato: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità (artt. 15-22), reclamo al Garante.
7. Natura del conferimento: obbligatoria per i dati necessari al rapporto; il rifiuto rende impossibile la costituzione o la gestione del rapporto.
I limiti dell’art. 4 dello Statuto dei Lavoratori
Il vincolo che rende speciale la privacy sul lavoro è l’art. 4 della L. 300/1970. Gli strumenti dai quali derivi la possibilità di un controllo a distanza dell’attività dei lavoratori (impianti audiovisivi, sistemi di geolocalizzazione, software di monitoraggio) possono essere installati solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e previo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro. Fanno eccezione gli strumenti «utilizzati per rendere la prestazione» (es. il PC di lavoro) e quelli di registrazione degli accessi/presenze, ma solo se il lavoratore è stato adeguatamente informato delle modalità d’uso e dei controlli.
Ne discende che l’informativa ai dipendenti deve dettagliare le regole di utilizzo di email, internet e dispositivi aziendali e i relativi controlli. Nel 2024 il Garante è intervenuto sulla conservazione dei metadati delle email dei dipendenti, indicando che il datore non può conservarli a lungo in modo generalizzato senza le garanzie procedurali dell’art. 4: un tema che va affrontato proprio nell’informativa e nelle policy interne. Per il quadro completo del ciclo dei dati HR, vedi la guida su GDPR e risorse umane.
Informativa, autorizzati e ruoli
L’informativa non vive da sola. I dipendenti che, nell’ambito del loro lavoro, trattano dati personali di altri (colleghi, clienti, utenti) vanno designati autorizzati al trattamento con apposite istruzioni. Chi gestisce il personale — l’ufficio HR, il consulente del lavoro esterno — assume ruoli precisi: il consulente del lavoro che elabora le paghe è di norma responsabile del trattamento e va nominato ai sensi dell’art. 28. La sorveglianza complessiva spetta, ove nominato, al Responsabile della protezione dei dati (RPD/DPO). La coerenza tra informativa, registro dei trattamenti e nomine è ciò che il Garante verifica per primo.
Costruire l’informativa dipendenti e tenerla allineata alle policy interne, alle nomine e ai termini di conservazione è più semplice se il tutto è collegato in un unico sistema. Piattaforme come Legiscope generano l’informativa a partire dai trattamenti mappati e la mantengono coerente con il registro e le designazioni degli autorizzati.
Per approfondire, il testo dell’art. 13 GDPR su EUR-Lex, lo Statuto dei Lavoratori su Normattiva e la sezione lavoro del Garante per la protezione dei dati personali.
Domande frequenti
Serve il consenso del dipendente per trattarne i dati?
Di regola no. Nel rapporto di lavoro il consenso è considerato non libero per lo squilibrio tra le parti, quindi le basi giuridiche corrette sono il contratto, l’obbligo di legge e il legittimo interesse. Il consenso resta valido solo per trattamenti realmente facoltativi e non collegati alla prestazione, come l’uso della foto del dipendente a fini promozionali.
Quando va consegnata l’informativa ai dipendenti?
Prima o al momento dell’inizio del rapporto, cioè all’assunzione, e comunque prima che i dati siano trattati per una determinata finalità (art. 13 GDPR). Va aggiornata quando cambiano i trattamenti (nuovi software, nuovi controlli, nuove finalità). È buona prassi farne sottoscrivere la presa visione e archiviarla.
Posso installare telecamere o software di monitoraggio dei dipendenti?
Solo entro i limiti dell’art. 4 dello Statuto dei Lavoratori: servono esigenze organizzative, produttive, di sicurezza o di tutela del patrimonio, e un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. I lavoratori vanno informati delle modalità d’uso e di controllo. L’uso di questi strumenti senza le garanzie previste è sanzionabile sia sul piano giuslavoristico sia da parte del Garante.
Per quanto tempo posso conservare i dati dei dipendenti dopo la fine del rapporto?
Per il tempo necessario ad assolvere gli obblighi di legge residui: in genere 5 anni per i documenti di lavoro e fino a 10 anni per i profili contributivi e civilistici legati alla prescrizione. I dati non più necessari vanno cancellati. Sui metadati delle email il Garante ha indicato tempi contenuti, salvo le garanzie procedurali dell’art. 4 Statuto.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial