Quando si parla di GDPR, la mente va subito alle newsletter, ai cookie banner e alle email di marketing. Ma il Regolamento Generale sulla Protezione dei Dati (Reg. UE 2016/679) ha un impatto concreto anche su qualcosa di molto più quotidiano: il modo in cui la tua azienda traccia le presenze dei dipendenti.
Ogni volta che un dipendente timbra l'entrata, ogni volta che il sistema registra un'uscita anticipata, ogni volta che un'app GPS certifica la posizione di un lavoratore in cantiere — stai trattando dati personali. E se lo fai senza le tutele giuste, rischi sanzioni che partono da 10.000 euro e arrivano fino al 4% del fatturato globale annuo.
Questa guida ti spiega cosa devi fare, concretamente, per essere in regola. Non è consulenza legale — per quello rivolgiti a un professionista — ma è la mappa per capire dove sei e cosa manca.
Quali dati raccoglie un sistema di rilevazione presenze?
Prima di parlare di obblighi, è utile capire di quali dati stiamo parlando. Un sistema di rilevazione presenze tratta almeno tre categorie:
Dati di orario (entrata/uscita): sono i dati più elementari. Registrano quando il dipendente ha iniziato e terminato la sua giornata lavorativa, compresi straordinari, pause e uscite intermedie. Sono dati personali comuni, ma soggetti al GDPR.
Dati di geolocalizzazione: se usi un'app con GPS o geofencing, il sistema registra anche dove si trovava il dipendente al momento della timbratura. Questi dati sono considerati più sensibili perché possono rivelare abitudini, spostamenti e persino informazioni sulla vita privata del lavoratore.
Richieste di ferie, malattia e permessi: qui si entra nel territorio dei dati particolari (art. 9 GDPR). I dati sullo stato di salute — come una malattia o un ricovero — godono di protezione rafforzata e richiedono basi giuridiche specifiche per essere trattati.
Il GDPR e i dati dei dipendenti: le basi giuridiche applicabili
Il GDPR non vieta di trattare i dati dei tuoi dipendenti. Richiede che tu abbia una base giuridica per farlo (art. 6 GDPR). Per la rilevazione presenze, le basi più rilevanti sono due:
Esecuzione del contratto (art. 6, lett. b): il contratto di lavoro prevede obblighi di orario. Registrare entrate e uscite è necessario per eseguire quel contratto e verificarne il rispetto. Questa base copre la maggior parte dei dati orari standard.
Obbligo legale (art. 6, lett. c): alcune normative italiane impongono la conservazione dei dati presenze (es. obblighi contributivi, D.Lgs. 81/2008 per i cantieri). Questa base si affianca o sostituisce quella contrattuale quando esiste un obbligo normativo specifico.
Il consenso non è la base giusta per i lavoratori dipendenti. Il Garante Privacy italiano ha chiarito più volte che il consenso, nel rapporto di lavoro subordinato, non è libero per definizione: il dipendente è in una posizione di debolezza rispetto al datore. Usare il consenso come unica base per trattare dati di presenza è un errore che invalida l'intero trattamento.
Quando serve il consenso (e quando no)
Il consenso è necessario solo per trattamenti che esulano dalla normale gestione del rapporto di lavoro — ad esempio, per condividere dati di presenze con terze parti a fini statistici, o per utilizzi che il dipendente non potrebbe ragionevolmente attendersi.
Per la normale rilevazione presenze ai fini retributivi e di controllo degli orari, il consenso non serve.
Geolocalizzazione: le regole speciali
La geolocalizzazione merita un discorso a parte. Trattare dati di posizione GPS dei lavoratori richiede:
- Una base giuridica solida (legittimo interesse o obbligo contrattuale/legale, non il consenso)
- Il rispetto dell'art. 4 dello Statuto dei Lavoratori (vedi sezione dedicata)
- Un'informativa specifica che spieghi cosa viene tracciato, quando, per quanto tempo e chi può accedere ai dati
Gli obblighi concreti del datore di lavoro
Informativa privacy ai dipendenti (art. 13 GDPR)
Questo è il punto dove molte PMI sono scoperte. Prima che il sistema di rilevazione presenze entri in funzione, ogni dipendente deve ricevere un'informativa chiara e comprensibile che spieghi:
- Chi è il titolare del trattamento (la tua azienda)
- Quali dati vengono raccolti (orari, posizione GPS se applicabile)
- Per quali scopi (gestione presenze, calcolo retribuzioni, obblighi di legge)
- Per quanto tempo i dati vengono conservati
- Con chi vengono condivisi (consulente del lavoro, software house, eventuali sub-responsabili)
- Quali diritti ha il dipendente (accesso, rettifica, cancellazione, opposizione)
L'informativa va consegnata in forma scritta, firmata per ricevuta. Non basta dirla a voce.
Data retention: per quanto tempo conservare i dati?
Il GDPR non fissa un termine univoco per i dati di presenze. Si applicano i criteri di minimizzazione e limitazione della conservazione (art. 5 GDPR). In pratica:
- I dati necessari per la busta paga si conservano almeno 5 anni (termine di prescrizione dei crediti retributivi)
- I dati necessari per obblighi contributivi e fiscali seguono i termini tributari (10 anni per la documentazione contabile)
- I dati di geolocalizzazione usati solo per verificare la presenza in sede non devono essere conservati più a lungo del necessario — in molti casi bastano pochi mesi
Definisci una politica di data retention scritta e implementa meccanismi di cancellazione automatica. Se usi un software SaaS, verifica che il fornitore supporti queste funzionalità.
Chi è il DPO e quando è obbligatorio?
Il Data Protection Officer (DPO, o Responsabile della Protezione dei Dati) è obbligatorio solo in alcuni casi (art. 37 GDPR): autorità pubbliche, aziende che effettuano monitoraggio sistematico su larga scala, o che trattano dati particolari su larga scala. La maggior parte delle PMI con rilevazione presenze standard non è obbligata a nominare un DPO.
Tuttavia, nominarne uno volontariamente può essere utile se la tua struttura ha molti dipendenti o tratta dati di geolocalizzazione continuativa.
Registro dei trattamenti
Le aziende con più di 250 dipendenti sono obbligate a tenere un registro delle attività di trattamento (art. 30 GDPR). Per le aziende più piccole, l'obbligo scatta solo se il trattamento non è occasionale o presenta rischi per i diritti degli interessati.
La rilevazione presenze con geolocalizzazione rientra tipicamente in questa casistica. Tieni un registro anche se non sei obbligato: in caso di ispezione, dimostra un approccio responsabile.
Geolocalizzazione e Statuto dei Lavoratori (art. 4)
L'art. 4 dello Statuto dei Lavoratori (Legge 300/1970, modificato dal D.Lgs. 151/2015) regola i controlli a distanza sui lavoratori. È la norma italiana che si affianca al GDPR e che molte aziende ignorano.
Cosa si può tracciare e cosa no
Il tracciamento GPS dei dipendenti è consentito solo se lo strumento ha una finalità primaria diversa dal controllo (es. gestione ordini, sicurezza del mezzo) oppure se c'è un accordo sindacale o un'autorizzazione dell'Ispettorato Territoriale del Lavoro (ITL).
Un'app di rilevazione presenze con geofencing, usata esclusivamente per certificare l'entrata e l'uscita dal perimetro aziendale, rientra nell'uso di strumenti di lavoro (art. 4, comma 2), che non richiedono accordo sindacale. Ma deve essere configurata per raccogliere solo i dati strettamente necessari: la posizione al momento della timbratura, non il tracciamento continuo durante la giornata.
La differenza tra controllo difensivo e controllo a distanza
Il GPS che registra la posizione del corriere durante le consegne è un strumento di lavoro. Il GPS che monitora ogni spostamento di un dipendente d'ufficio durante la giornata è un controllo a distanza — e richiede accordo sindacale o autorizzazione ITL.
La distinzione non è sempre netta. In caso di dubbio, consulta un consulente del lavoro prima di attivare funzionalità di tracking avanzate.
Cosa rischiate se non siete in regola
Le sanzioni del GDPR sono note: fino a 20 milioni di euro o il 4% del fatturato globale annuo, a seconda di quale sia maggiore. Nella pratica, per le PMI italiane le sanzioni del Garante Privacy si attestano su cifre più contenute ma comunque significative.
Alcuni casi reali in Italia degli ultimi anni:
- Una società è stata sanzionata per aver installato un sistema di geolocalizzazione sui veicoli aziendali senza informare i dipendenti e senza accordo sindacale.
- Un'azienda ha ricevuto un provvedimento per conservare i dati di timbratura per periodi superiori a quelli necessari, senza base giuridica.
- Diversi datori di lavoro sono stati sanzionati per non aver fornito l'informativa privacy ai dipendenti prima di attivare nuovi sistemi di controllo.
Oltre alle sanzioni pecuniarie, un provvedimento del Garante può comportare la sospensione del trattamento — il che significa bloccare il sistema di presenze fino alla messa in regola.
Come scegliere uno strumento GDPR-compliant
Quando valuti un software per la rilevazione presenze, verifica sempre:
- Hosting europeo dei dati: i dati vengono conservati su server nell'UE? Il fornitore offre garanzie sui trasferimenti extra-UE?
- Ruolo del fornitore: il software house è un responsabile del trattamento (art. 28 GDPR)? Deve esserlo, e devi stipulare con lui un Data Processing Agreement (DPA) scritto.
- Funzionalità di data retention: puoi impostare cancellazioni automatiche dopo un certo periodo?
- Log di accesso: chi nella tua azienda può vedere i dati di presenze? Il sistema registra gli accessi?
- Supporto all'informativa: il fornitore ti aiuta a preparare l'informativa da consegnare ai dipendenti?
Pintime è progettato per rispettare questi requisiti: dati su infrastruttura europea, DPA disponibile, geofencing che registra solo il momento della timbratura — non il tracciamento continuo. Se vuoi verificare come funziona nel tuo caso specifico, puoi provarlo gratuitamente durante la fase Beta.
Questo articolo ha scopo informativo e non costituisce consulenza legale. Per una valutazione specifica della tua situazione, rivolgiti a un consulente del lavoro o a un avvocato specializzato in diritto del lavoro e privacy.