Protezione dei dati

Informativa privacy dipendenti: modello art. 13 GDPR

Modello di informativa privacy per i dipendenti ex art. 13 GDPR: fac-simile con finalità, basi giuridiche e i limiti dell'art. 4 Statuto dei Lavoratori.

Also available in:Français·Deutsch

L’informativa privacy per i dipendenti, resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR), è il documento con cui il datore di lavoro, in qualità di titolare del trattamento, spiega al lavoratore quali dati tratta, per quali finalità, su quali basi giuridiche e per quanto tempo. Va consegnata all’assunzione e aggiornata quando cambiano i trattamenti. Attenzione a un punto che molte aziende sbagliano: nel rapporto di lavoro il consenso non è quasi mai una base giuridica valida, perché tra datore e dipendente manca la parità che rende il consenso «libero». Qui trovi il fac-simile dell’informativa e i vincoli specifici del diritto del lavoro italiano.

Punti chiave

  • L’informativa ai dipendenti è obbligatoria ex art. 13 GDPR e va data prima o all’atto dell’assunzione.
  • Le basi giuridiche corrette sono il contratto (art. 6, par. 1, lett. b), l’obbligo di legge (lett. c) e il legittimo interesse (lett. f) — non il consenso.
  • I controlli a distanza sono limitati dall’art. 4 dello Statuto dei Lavoratori (L. 300/1970).
  • Il Garante nel 2024 è intervenuto sulla conservazione dei metadati delle email dei dipendenti.
  • L’informativa va coordinata con il registro dei trattamenti e la nomina degli autorizzati.

Perché il consenso non funziona nel rapporto di lavoro

Il punto di partenza è controintuitivo per chi arriva dal mondo del marketing. Nel rapporto di lavoro il consenso del dipendente è, di regola, inidoneo a fondare il trattamento: il Garante e l’EDPB rilevano che lo squilibrio di potere tra datore e lavoratore priva il consenso del requisito di libertà (art. 4, n. 11 e art. 7 GDPR). Un dipendente difficilmente rifiuta ciò che il datore chiede.

Le basi corrette sono altre: l’esecuzione del contratto di lavoro (retribuzione, gestione presenze, mansioni), l’obbligo di legge (adempimenti fiscali, contributivi, previdenziali, comunicazioni obbligatorie), il legittimo interesse del datore (sicurezza informatica, tutela del patrimonio aziendale, entro i limiti dell’art. 4 Statuto), e, per i dati particolari, le condizioni dell’art. 9 (es. adempimenti in materia di lavoro e sicurezza sociale). Il consenso resta praticabile solo per trattamenti realmente facoltativi e slegati dalla prestazione, come la pubblicazione della foto del dipendente sul sito aziendale. Per orientarti tra le basi, vedi gli esempi di consenso GDPR.

Il fac-simile dell’informativa ai dipendenti

Ecco la struttura pronta da adattare, che riprende i contenuti obbligatori dell’art. 13.

Informativa sul trattamento dei dati personali dei dipendenti (art. 13 GDPR)

1. Titolare del trattamento: [denominazione, sede, contatti]. RPD/DPO (se nominato): [contatti].

2. Finalità e basi giuridiche:

  • Gestione del rapporto di lavoro (retribuzione, presenze, mansioni) — art. 6, par. 1, lett. b.
  • Adempimenti fiscali, contributivi, previdenziali e assicurativi — art. 6, par. 1, lett. c.
  • Gestione della sicurezza sul lavoro e sorveglianza sanitaria — art. 9, par. 2, lett. b/h.
  • Welfare aziendale, formazione, valutazione — art. 6, par. 1, lett. b/f.
  • Tutela del patrimonio e sicurezza informatica — art. 6, par. 1, lett. f, nei limiti dell’art. 4 L. 300/1970.
  • Gestione delle segnalazioni (whistleblowing) — obbligo di legge (D.lgs. 24/2023).

3. Categorie di dati: anagrafici, retributivi, presenze, dati sanitari (idoneità, infortuni), dati bancari, eventuali dati giudiziari nei casi previsti.

4. Destinatari: consulente del lavoro, INPS, INAIL, Agenzia delle Entrate, enti previdenziali, istituto bancario, fornitori nominati responsabili.

5. Conservazione: per la durata del rapporto e successivamente nei termini di legge (es. 5-10 anni per i profili contributivi e civilistici).

6. Diritti dell’interessato: accesso, rettifica, cancellazione, limitazione, opposizione, portabilità (artt. 15-22), reclamo al Garante.

7. Natura del conferimento: obbligatoria per i dati necessari al rapporto; il rifiuto rende impossibile la costituzione o la gestione del rapporto.

I limiti dell’art. 4 dello Statuto dei Lavoratori

Il vincolo che rende speciale la privacy sul lavoro è l’art. 4 della L. 300/1970. Gli strumenti dai quali derivi la possibilità di un controllo a distanza dell’attività dei lavoratori (impianti audiovisivi, sistemi di geolocalizzazione, software di monitoraggio) possono essere installati solo per esigenze organizzative, produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, e previo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro. Fanno eccezione gli strumenti «utilizzati per rendere la prestazione» (es. il PC di lavoro) e quelli di registrazione degli accessi/presenze, ma solo se il lavoratore è stato adeguatamente informato delle modalità d’uso e dei controlli.

Ne discende che l’informativa ai dipendenti deve dettagliare le regole di utilizzo di email, internet e dispositivi aziendali e i relativi controlli. Nel 2024 il Garante è intervenuto sulla conservazione dei metadati delle email dei dipendenti, indicando che il datore non può conservarli a lungo in modo generalizzato senza le garanzie procedurali dell’art. 4: un tema che va affrontato proprio nell’informativa e nelle policy interne. Per il quadro completo del ciclo dei dati HR, vedi la guida su GDPR e risorse umane.

Informativa, autorizzati e ruoli

L’informativa non vive da sola. I dipendenti che, nell’ambito del loro lavoro, trattano dati personali di altri (colleghi, clienti, utenti) vanno designati autorizzati al trattamento con apposite istruzioni. Chi gestisce il personale — l’ufficio HR, il consulente del lavoro esterno — assume ruoli precisi: il consulente del lavoro che elabora le paghe è di norma responsabile del trattamento e va nominato ai sensi dell’art. 28. La sorveglianza complessiva spetta, ove nominato, al Responsabile della protezione dei dati (RPD/DPO). La coerenza tra informativa, registro dei trattamenti e nomine è ciò che il Garante verifica per primo.

Costruire l’informativa dipendenti e tenerla allineata alle policy interne, alle nomine e ai termini di conservazione è più semplice se il tutto è collegato in un unico sistema. Piattaforme come Legiscope generano l’informativa a partire dai trattamenti mappati e la mantengono coerente con il registro e le designazioni degli autorizzati.

Per approfondire, il testo dell’art. 13 GDPR su EUR-Lex, lo Statuto dei Lavoratori su Normattiva e la sezione lavoro del Garante per la protezione dei dati personali.

Domande frequenti

Serve il consenso del dipendente per trattarne i dati?

Di regola no. Nel rapporto di lavoro il consenso è considerato non libero per lo squilibrio tra le parti, quindi le basi giuridiche corrette sono il contratto, l’obbligo di legge e il legittimo interesse. Il consenso resta valido solo per trattamenti realmente facoltativi e non collegati alla prestazione, come l’uso della foto del dipendente a fini promozionali.

Quando va consegnata l’informativa ai dipendenti?

Prima o al momento dell’inizio del rapporto, cioè all’assunzione, e comunque prima che i dati siano trattati per una determinata finalità (art. 13 GDPR). Va aggiornata quando cambiano i trattamenti (nuovi software, nuovi controlli, nuove finalità). È buona prassi farne sottoscrivere la presa visione e archiviarla.

Posso installare telecamere o software di monitoraggio dei dipendenti?

Solo entro i limiti dell’art. 4 dello Statuto dei Lavoratori: servono esigenze organizzative, produttive, di sicurezza o di tutela del patrimonio, e un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro. I lavoratori vanno informati delle modalità d’uso e di controllo. L’uso di questi strumenti senza le garanzie previste è sanzionabile sia sul piano giuslavoristico sia da parte del Garante.

Per quanto tempo posso conservare i dati dei dipendenti dopo la fine del rapporto?

Per il tempo necessario ad assolvere gli obblighi di legge residui: in genere 5 anni per i documenti di lavoro e fino a 10 anni per i profili contributivi e civilistici legati alla prescrizione. I dati non più necessari vanno cancellati. Sui metadati delle email il Garante ha indicato tempi contenuti, salvo le garanzie procedurali dell’art. 4 Statuto.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →