Oltre la normativa: come la protezione dei dati crea fiducia nei tuoi clienti
30 Giugno 2025
Quando si parla di privacy, molte aziende pensano subito a clienti, newsletter, siti web. Eppure il vero fronte caldo, spesso trascurato, è quello delle risorse umane.
Ogni fase della vita lavorativa di un dipendente ‑ dalla candidatura all’uscita dall’azienda ‑ comporta trattamenti di dati personali e, quindi, obblighi precisi imposti dal Regolamento (UE) 2016/679 (GDPR).
Il rischio di violazioni, anche involontarie, è elevato: informative assenti, consensi mal gestiti, eccessi di raccolta dati, documenti lasciati in chiaro, accessi non autorizzati. Ecco perché abbiamo creato una checklist privacy pratica e aggiornata per chi si occupa di assunzioni e gestione del personale. Un supporto concreto per chi lavora in azienda, in amministrazione o in studi professionali.
📣 Perché coinvolgere da subito un DPO?
Un Data Protection Officer esterno garantisce controllo costante, formazione dedicata e una drastica riduzione delle non-conformità. Secondo i dati del Garante 2024, le aziende dotate di DPO hanno ricevuto il 72% in meno di sanzioni rispetto a chi si affida solo a consulenze spot.
Parla ora con un DPO certificato: prima call gratuita di 30’.
Checklist privacy: cosa fare quando assumi un dipendente
Prima di iniziare o aggiornare un processo di assunzione, è fondamentale verificare di avere tutte le carte in regola dal punto di vista privacy.
Abbiamo stilato per te una checklist operativa che ti aiuta e ti guida a non dimenticare nulla, passo dopo passo, dalla ricezione del CV alla firma del contratto.
Ecco i punti salienti che troverai:
- Informativa per i candidati
- CV e dati non pertinenti
- Informativa per i dipendenti
- Controlli a distanza e strumenti di lavoro
- Formazione privacy e gestione interna
- Cessazione del rapporto di lavoro
3. 1. Informativa per i candidati
La selezione del personale è una delle prime fasi in cui l’organizzazione entra in contatto con dati personali (e talvolta anche dati particolari) di potenziali dipendenti.
Proprio per questo motivo, già durante la fase di candidatura scattano gli obblighi previsti dal Regolamento UE 2016/679 (GDPR), in particolare l’art. 13.
Quando inizia il trattamento?
Dal momento in cui ricevi (o raccogli) il CV o qualsiasi altra informazione riconducibile a una persona identificata o identificabile. Quindi anche:
- Se il CV arriva via email.
- Se raccogli dati da LinkedIn o da un portale di recruiting.
- Se prendi appunti durante un colloquio.
- Se ricevi una candidatura spontanea via social o form web.
Cosa deve fare concretamente l’azienda (o il selezionatore)
Prima di analizzare un CV o iniziare un colloquio, è fondamentale fornire al candidato un’informativa privacy chiara e completa.
Puoi farlo in diversi modi:
- allegandola all’annuncio di lavoro
- includendola nel form online per inviare la candidatura
- inviandola via email al momento della conferma del colloquio
- consegnandola a mano prima dell’inizio del colloquio in sede.
L’informativa deve essere accessibile, facilmente comprensibile e, se possibile, firmata per presa visione. Questo semplice gesto non solo ti mette al riparo da contestazioni, ma dimostra attenzione e rispetto per il trattamento dei dati personali fin dalla prima interazione.
Cosa deve contenere l’informativa
L’informativa privacy per i candidati deve essere chiara, completa e facilmente accessibile. Non basta un riferimento generico sul sito web o un modulo firmato al volo. Deve coprire tutti i requisiti previsti dall’art. 13 del GDPR, adattati al contesto della selezione. Ecco i contenuti obbligatori:
- Chi tratta i dati: dati di contatto del titolare del trattamento e, se nominato, del DPO.
- Finalità del trattamento: selezione del personale, valutazione dei requisiti, organizzazione dei colloqui.
- Base giuridica: solitamente è l’interesse legittimo del titolare, oppure l’adozione di misure precontrattuali (art. 6 par. 1 lett. f o b).
- Categorie di dati trattati: in caso di CV contenenti dati particolari (es. invalidità, appartenenza sindacale), è importante specificarlo;
- Modalità di trattamento e conservazione: tempi (es. max 6 mesi o 12 mesi), sistemi utilizzati, criteri di cancellazione o archiviazione;
Destinatari o categorie di destinatari: es. software gestionali, agenzie interinali, consulenti del lavoro;
Diritti degli interessati: accesso, rettifica, opposizione, limitazione, reclamo al Garante, ecc.
Best practice: aggiungere nella comunicazione di selezione una frase come “I dati personali da te forniti saranno trattati ai sensi del GDPR. Puoi leggere l’informativa completa al seguente link…”
Attenzione a questi errori comuni
Ecco alcuni degli errori più frequenti nella gestione dei dati durante la selezione del personale. Evitarli è fondamentale per non incorrere in sanzioni o contestazioni:
- Informativa assente o generica: “Tratteremo i tuoi dati in base alla normativa vigente” non basta.
- Uso del consenso come base giuridica: per la selezione del personale non serve chiedere il consenso. Si tratta di una base sbagliata (e revocabile).
- Conservazione eccessiva: se non assumi il candidato, i dati vanno cancellati entro un termine congruo (di solito 6 mesi/12 mesi al massimo).
- Dati sensibili non necessari: chiedere (o conservare) CV con foto, informazioni sulla salute, religione o stato familiare espone a sanzioni per trattamenti eccedenti.
Se coinvolgi terzi: occhio ai ruoli
Quando nella selezione sono coinvolti soggetti esterni, è importante chiarire i rispettivi ruoli privacy e gestire correttamente le responsabilità:
- Portali di recruiting (es. InfoJobs, LinkedIn, Jobrapido): sono soggetti autonomi nella raccolta, ma se tu accedi ai dati, diventi titolare per i tuoi trattamenti.
- Agenzie interinali, società di selezione, software ATS: se trattano i dati per tuo conto, vanno nominati Responsabili del trattamento (art. 28 GDPR), con contratto scritto, istruzioni precise e controlli periodici.
3. 2. CV e dati non pertinenti
Questo tema è collegato a doppio filo all’informativa per i candidati: una buona informativa dovrebbe chiarire fin da subito quali dati sono rilevanti e quali no, invitando esplicitamente a non inserire informazioni superflue o sensibili.
Uno degli errori più diffusi nella selezione del personale riguarda la raccolta eccessiva o non necessaria di dati tramite i curriculum vitae.
Molti candidati, spesso inconsapevolmente, includono nei propri CV categorie particolari di dati personali (art. 9 GDPR), come:
- Fotografie;
- Stato di salute (invalidità, allergie, disturbi);
- Orientamento politico o religioso;
- Stato civile e figli;
- Nazionalità o etnia;
- Appartenenze sindacali o volontariato attivo in organizzazioni ideologiche.
Trattare queste informazioni non necessarie e non richieste può esporre l’organizzazione a:
- violazioni del principio di minimizzazione (art. 5.1.c GDPR),
- trattamenti illeciti di dati sensibili,
- potenziali accuse di discriminazione (anche solo presunta).
Cosa fare in modo corretto
Ecco come prevenire e gestire in modo appropriato la presenza di dati non pertinenti nei CV.
1. Specifica chiaramente cosa NON deve essere incluso nel CV
Nell’annuncio di lavoro, aggiungi una dicitura come:
“Ti invitiamo a non inserire dati sensibili (es. salute, religione, appartenenze politiche o sindacali) nel CV, in quanto non rilevanti ai fini della selezione.”
Questa semplice accortezza ti aiuta a prevenire il problema a monte e dimostra attenzione alla privacy.
2. Se ricevi comunque dati sensibili: limita, anonimizza, documenta
Può capitare che, nonostante l’avviso, i candidati inseriscano comunque dati particolari. In quel caso:
- Evita di usarli nelle valutazioni;
- Non diffonderli internamente (es. evitare di inviare il CV in chiaro a più responsabili);
- Considera l’anonimizzazione parziale se i dati devono essere condivisi;
- Documenta le misure di minimizzazione nel registro dei trattamenti.
Ricorda: il trattamento di dati sensibili richiede una base giuridica rafforzata (es. consenso esplicito o obbligo specifico di legge). Nel caso di una selezione standard, non è giustificato.
Nel dubbio, è responsabilità del titolare del trattamento adottare criteri chiari per decidere cosa sia rilevante e cosa debba essere escluso o anonimizzato.
3. Evita valutazioni discriminatorie o automatizzate
Non è solo un problema di raccolta: anche l’uso improprio di dati non pertinenti può configurare un comportamento discriminatorio, vietato dal GDPR e dalle norme sul lavoro (es. D.Lgs. 198/2006, D.Lgs. 216/2003).
- Evita di scartare CV in base a foto, età, sesso o religione;
- Se usi strumenti di selezione automatica, assicurati che siano trasparenti, equi e non basati su criteri discriminatori.
Best practice: valutare le competenze prima di analizzare l’identità, anche attraverso CV anonimi o procedure blind screening (cioè procedure di selezione anonima in cui i dati identificativi del candidato, come nome, età, genere, foto, vengono oscurati per evitare bias o discriminazioni) nei primi step.
📌 Bonus: cosa dice il Garante?
Il Garante italiano per la protezione dei dati ha più volte sottolineato come la raccolta eccessiva o generica di dati nei CV rappresenti una delle principali fonti di rischio per le aziende.
In particolare, in questa FAQ ufficiale viene chiarito che:
“Nel curriculum vitae devono essere forniti solo i dati strettamente necessari in relazione all’offerta di lavoro, evitando l’inserimento di dati particolari salvo che ciò non sia strettamente richiesto dalla natura della mansione da svolgere.”
3. 4. Informativa per i dipendenti
Una volta completata la selezione e avviato il rapporto di lavoro, si apre una nuova fase del trattamento dei dati personali: quella quotidiana, strutturata e continuativa.
Dopo l’assunzione, infatti, l’organizzazione è tenuta a fornire al dipendente una nuova informativa privacy, distinta e più articolata rispetto a quella ricevuta in fase di selezione.
Il motivo è semplice: durante il rapporto di lavoro vengono avviati nuovi trattamenti di dati personali, spesso continui, sistematici e con impatti significativi sulla sfera privata della persona.
Secondo l’art. 13 del GDPR, ogni interessato ha diritto a essere informato in modo trasparente, completo e tempestivo su quali dati vengono trattati, perché, da chi, come, per quanto tempo, e quali diritti può esercitare.
La tua informativa dovrebbe, quindi, coprire, in modo chiaro e con linguaggio comprensibile, i seguenti elementi:
- Finalità del trattamento
Es. gestione amministrativa del rapporto di lavoro, adempimenti fiscali e contributivi, sicurezza informatica, controllo accessi, formazione, welfare aziendale. - Base giuridica
Principalmente obblighi contrattuali e legali (art. 6.1.b e c GDPR). In alcuni casi può intervenire anche l’interesse legittimo del datore (es. per finalità organizzative), purché bilanciato. - Categorie di dati trattati
Anagrafici, fiscali, sanitari (assenze per malattia), dati di utilizzo strumenti digitali, immagini da videosorveglianza, dati biometrici se presenti. - Destinatari o categorie di destinatari
Es. consulente del lavoro, software paghe, enti previdenziali, provider cloud, fornitori IT. - Periodi di conservazione
Diversificati per tipologia di dato: es. documentazione fiscale fino a 10 anni, dati accesso badge 6 mesi, email post-uscita max 30 giorni. - Diritti dell’interessato
Accesso, rettifica, opposizione, limitazione, reclamo all’Autorità, ecc. - Contatti del titolare e del DPO
Con indirizzo e-mail o modalità chiare per esercitare i diritti.
Trattamenti specifici da non dimenticare
Oltre alle informazioni generali, è importante esplicitare i trattamenti particolari connessi alla gestione operativa:
- Gestione presenze e orari
Utilizzo di badge elettronici, software presenze, app mobile o timbrature biometriche. È importante specificare il tipo di tecnologia usata e la conservazione dei log. - Accesso agli strumenti aziendali
Trattamento di dati generati da:
- Email aziendale;
- Software in cloud (CRM, gestionali, piattaforme HR);
- Sistemi di backup o tracciamento attività.
L’informativa deve indicare le policy in merito all’uso degli strumenti, e l’eventuale monitoraggio.
- Videosorveglianza e controllo accessi
Se l’azienda utilizza telecamere, tornelli, geolocalizzazione dei mezzi o app GPS, questi trattamenti devono essere descritti con dettaglio e motivazione, e sempre in linea con lo Statuto dei Lavoratori (art. 4, L. 300/1970). - Welfare e benefit aziendali
Servizi offerti ai dipendenti tramite piattaforme esterne (buoni pasto elettronici, assicurazioni sanitarie, convenzioni…) comportano trattamenti di dati da parte di terzi. Vanno indicati come destinatari esterni o responsabili del trattamento. - Formazione, survey, piattaforme interne
Se l’organizzazione usa portali per la formazione, valutazioni o strumenti di comunicazione interna (es. Microsoft Teams, Slack, Moodle, ecc.), è utile menzionarli per trasparenza e tracciabilità.
H4. Errori comuni da evitare
In questa fase, è facile cadere in leggerezze che possono avere conseguenze importanti. Ecco i più frequenti:
- Informativa assente o sommaria: spesso si include nei documenti HR un paragrafo generico che non copre i reali trattamenti.
- Informativa non aggiornata: introdurre nuovi strumenti digitali (es. app per le ferie) o badge biometrici senza aggiornare l’informativa è un errore diffuso e rischioso.
- Mancata distribuzione: non basta “averla”. Serve prova che sia stata fornita e compresa (es. firma, invio via mail, caricamento su portale dipendenti).
✅ Best practice operative
Alcuni accorgimenti aiutano a rafforzare la compliance anche a livello documentale:
- Includi l’informativa nel fascicolo di assunzione e conservala firmata.
- Invia anche in formato digitale, con link sempre accessibile.
- Prevedi un aggiornamento almeno annuale o ogni volta che cambia un trattamento rilevante.
3. 5. Controlli a distanza e strumenti di lavoro
Uno degli ambiti più delicati della gestione privacy in azienda riguarda l’uso di strumenti tecnologici aziendali da parte dei dipendenti e i possibili controlli da parte del datore di lavoro.
L’evoluzione degli strumenti digitali (email, CRM, telefoni, GPS, software in cloud, chat interne, badge elettronici) ha reso sempre più facile monitorare le attività del personale — spesso senza che vi sia piena consapevolezza delle implicazioni legali.
Tuttavia, monitorare in modo indiscriminato e non autorizzato può violare:
- Il GDPR (principio di liceità, trasparenza e proporzionalità);
- Lo Statuto dei Lavoratori (art. 4);
- Il diritto alla privacy e alla dignità del lavoratore (art. 8 della CEDU, art. 2 Cost.).
Cosa dice la legge: art. 4, Statuto dei Lavoratori
La normativa italiana è chiara: se uno strumento consente (anche indirettamente) di controllare l’attività dei lavoratori, servono specifici adempimenti.
Secondo l’articolo 4 della Legge 300/1970 (aggiornato dal Jobs Act):
“Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere installati esclusivamente per esigenze organizzative, produttive, di sicurezza del lavoro e tutela del patrimonio aziendale, e previo accordo con le rappresentanze sindacali o, in mancanza, previa autorizzazione dell’Ispettorato del Lavoro.”
Esempi pratici di strumenti soggetti a regole
È importante ricordare che il controllo non è vietato in assoluto: può essere ammesso solo se motivato da finalità legittime e documentate, e sempre nel rispetto del principio di proporzionalità.
Alcuni strumenti di uso comune in azienda possono implicare — anche indirettamente — un controllo sull’attività del dipendente. In questi casi è fondamentale agire con trasparenza e rispetto della normativa. Ecco una panoramica dei casi più ricorrenti:
- Email aziendale: il controllo è possibile, ma richiede policy interne ben definite, motivazioni documentate e informativa chiara. La lettura sistematica delle email o l’accesso non autorizzato possono violare la privacy se non giustificati e regolamentati.
- Software di produttività (come CRM, ERP, Trello, Teams): molti programmi tracciano accessi, modifiche e attività degli utenti. Anche se non pensati per il controllo, generano dati che vanno trattati con cautela, previa informazione e policy.
- GPS su veicoli aziendali o smartphone: può rappresentare un controllo a distanza vero e proprio. È ammesso solo se c’è una reale esigenza (es. sicurezza, logistica) e previa autorizzazione sindacale o dell’Ispettorato, oltre che con informativa dettagliata.
- Videosorveglianza: se le telecamere inquadrano aree di lavoro e possono monitorare le persone, sono sempre soggette alle regole dell’art. 4 dello Statuto dei Lavoratori. Serve accordo sindacale o autorizzazione dell’Ispettorato, oltre all’affissione della segnaletica.
- Badge di ingresso e controllo accessi: sono ammessi, ma i dati raccolti devono essere trattati in modo proporzionato (es. non per ricostruire l’intera giornata lavorativa a fini disciplinari). È necessario stabilire limiti temporali di conservazione e scopi precisi.
- Keylogger, software di screenshot, webcam attive: sono altamente invasivi e, salvo casi eccezionali e giustificati, non ammessi nella normale gestione del personale.
Come agire correttamente
Gestire i controlli nel rispetto della privacy significa pianificare, documentare e condividere. Come si fa? Con:
1. Policy chiare sull’uso degli strumenti
Redigi e distribuisci una policy interna che specifichi:
- Quali strumenti digitali sono messi a disposizione (email, laptop, software…);
- Le modalità e i limiti d’uso (es. vietato uso personale, regole per password e archiviazione);
- L’eventuale possibilità di controllo (es. tracciamento accessi, report di utilizzo, backup email);
I tempi di conservazione dei dati generati.
2. Informativa dettagliata e preventiva
L’informativa GDPR per i dipendenti deve includere:
- L’esistenza di controlli anche se non costanti;
- I motivi (es. sicurezza informatica, tutela patrimonio aziendale);
- La base giuridica (interesse legittimo, obbligo legale, ecc.);
- Le modalità tecniche (es. accesso log, analisi traffico, geolocalizzazione attiva solo in orario di lavoro).
3. Coinvolgimento sindacale o autorizzazione
Se gli strumenti comportano controllo diretto o sistematico (es. GPS continuo, registrazione postazioni), serve:
- Accordo con le rappresentanze sindacali aziendali;
- In alternativa, autorizzazione dell’Ispettorato del Lavoro.
La sola informativa non basta se il trattamento ha natura invasiva o sistematica. Il principio è quello di proporzionalità e trasparenza.
Errori comuni da evitare
Molti datori di lavoro ignorano — o sottovalutano — i limiti imposti dalla legge. Ecco alcuni errori frequenti:
- Monitorare email o file senza informativa o policy;
- Attivare GPS senza necessità e senza base giuridica chiara;
- Installare software di controllo senza confronto con le parti sociali;
- Conservare log di accesso, cronologia internet o messaggi oltre i tempi necessari;
- Raccogliere dati per sicurezza ma poi usarli per scopi disciplinari non dichiarati.
✅ Best practice operative
Per trasformare un potenziale rischio in un’opportunità di trasparenza e fiducia:
- Definisci un registro dei trattamenti specifico per i controlli a distanza;
- Forma il personale HR e IT su cosa è lecito e cosa no;
- Prevedi un processo documentato per l’autorizzazione e verifica degli strumenti usati;
- Se l’azienda cresce o introduce nuove tecnologie, aggiorna policy e informative.
In definitiva, un corretto bilanciamento tra esigenze aziendali e rispetto della privacy dei dipendenti non solo evita sanzioni, ma costruisce un clima aziendale più trasparente e collaborativo.
3. 6. Formazione privacy e gestione interna
Anche la policy più completa o la documentazione più accurata rischiano di rimanere inefficaci se le persone che ogni giorno trattano i dati non sono consapevoli dei rischi e delle buone prassi.
La formazione non è un optional, ma un vero obbligo previsto dal GDPR, che stabilisce (art. 39) che il DPO — ove presente — debba formare e sensibilizzare il personale coinvolto nelle attività di trattamento.
La maggior parte dei data breach o delle violazioni non nasce da attacchi hacker sofisticati, ma da errori umani: email inviate ai destinatari sbagliati, documenti stampati e dimenticati in ufficio, password condivise, PC sbloccati, cloud usati in modo improprio.
Chi deve essere formato?
Non solo il DPO o il personale HR: chiunque entri in contatto con dati personali deve ricevere una formazione adeguata. Questo include tutte le figure che gestiscono, anche indirettamente, informazioni su candidati e dipendenti e quindi:
- tutto il personale che ha accesso, diretto o indiretto, a dati personali: dal reparto HR a quello commerciale, dalla reception all’IT, fino alla direzione.
- in particolare, chi gestisce:
- Buste paga e documentazione amministrativa
- Curriculum e pratiche di selezione
- Dati sanitari o assenze per malattia
- Accessi a strumenti digitali aziendali (es. CRM, portali cloud, email condivise).
Non basta “formare” solo i referenti privacy. Ogni dipendente è potenzialmente un punto di esposizione al rischio.
Che tipo di formazione serve?
La formazione deve essere continua, concreta e proporzionata al ruolo. Serve a rendere consapevoli i dipendenti delle azioni quotidiane che possono generare un rischio per la privacy. Deve essere:
- Documentata: con calendario, contenuti, presenze e materiali archiviati
- Adattata al ruolo: chi tratta solo dati generici ha bisogno di nozioni base; chi gestisce dati sensibili deve conoscere regole più avanzate
- Ripetuta nel tempo: non è sufficiente un incontro iniziale. Serve aggiornamento periodico, anche breve (es. ogni anno o dopo cambi organizzativi)
- Chiara e concreta: meglio 30 minuti pratici che 3 ore di teoria. L’obiettivo è rendere consapevoli, non esperti giuridici.
Cosa includere nella formazione privacy?
Per essere utile davvero, la formazione dovrebbe affrontare scenari pratici, aiutando le persone a rispondere correttamente a situazioni comuni. I temi fondamentali includono
- Cos’è un dato personale e un dato sensibile
- Come si accede e si conserva la documentazione in sicurezza
- Cosa fare in caso di errore o data breach (es. mail sbagliata)
- Come proteggere password, device e account aziendali
- Le conseguenze di un trattamento scorretto (per l’azienda e per la persona)
- Le policy aziendali (es. uso email, cloud, badge, stampanti condivise).
Un approccio efficace e’ la formazione pratica e situazionale.
Simula scenari realistici: “Cosa fai se ricevi per errore un certificato medico non tuo?” Oppure: “Se perdi la chiavetta USB con i CV, chi avvisi? Quando? Cosa devi dire?”
Policy interne: il pilastro quotidiano
Oltre alla formazione, ogni organizzazione dovrebbe dotarsi di policy chiare e accessibili a tutti e costantemente aggiornate su:
- Uso dei dispositivi aziendali
- Gestione delle password (no post-it, no condivisione tra colleghi)
- Conservazione e smaltimento dei documenti cartacei
- Accessi a sistemi condivisi o aree riservate
- Backup, accesso remoto e uso di cloud pubblici.
Queste policy vanno:
- Condivise con tutto il personale
- Firmate per presa visione
- Aggiornate in caso di nuove tecnologie o cambi organizzativi.
Una violazione causata da un errore umano non solleva l’organizzazione dalle responsabilità, ma può essere valutata diversamente se è dimostrabile che:
- Il dipendente è stato formato,
- Ha ricevuto una policy chiara,
- Ha avuto accesso agli strumenti giusti.
Questo si chiama accountability: non basta essere in regola, bisogna poterlo dimostrare.
Una cultura della privacy parte dalla consapevolezza quotidiana: ogni dipendente formato è una barriera in più contro i rischi.
3. 7. Cessazione del rapporto di lavoro
Il trattamento dei dati personali non termina con la fine del rapporto contrattuale. Anche dopo l’uscita del dipendente dall’organizzazione, l’azienda ha precisi obblighi previsti dal GDPR e da altre normative di settore.
Il rischio è quello di conservare dati troppo a lungo, lasciarli accessibili senza motivo, oppure non gestirli correttamente nei sistemi digitali, esponendosi a data breach o contestazioni.
Quali dati è lecito conservare?
Alcuni dati devono essere conservati per obbligo di legge, altri possono essere mantenuti solo se giustificati da un interesse legittimo, sempre rispettando i principi di limitazione della finalità e conservazione proporzionata.
Esempi di dati da conservare obbligatoriamente:
- Documentazione contabile e fiscale: 10 anni (art. 2220 c.c.);
- Cedolini paga e contributi: 5–10 anni in base a finalità previdenziali e assicurative;
- Contratto di lavoro e CUD: almeno 5 anni per fini probatori o legali;
- Informazioni su infortuni, sicurezza, formazione obbligatoria: secondo obblighi del D.Lgs. 81/2008.
Dati da eliminare (o anonimizzare) dopo l’uscita:
Una volta cessata la necessità, devono essere rimossi i dati personali non più utili o giustificabili.
Da eliminare:
- Accessi a strumenti digitali (CRM, email, badge);
- Report interni, chat, file personali;
- CV e note valutative (se non più utili);
- Account cloud o app aziendali;
- Post-it con password o file Excel condivisi.
Cosa fare operativamente alla cessazione
Ecco una checklist operativa per la gestione corretta della privacy alla fine del rapporto di lavoro:
1. Disattiva subito gli accessi digitali
- Chiudi l’account di posta elettronica;
- Rimuovi l’accesso a software interni, cloud, VPN;
- Disabilita badge, telefoni aziendali, Google Workspace o Microsoft 365;
- Revoca permessi condivisi su cartelle o documenti.
Attenzione: lasciare attivi gli accessi di un ex dipendente è uno degli errori più gravi e frequenti, che può comportare violazioni e responsabilità anche in caso di uso improprio successivo.
2. Email dell’ex dipendente: cosa fare (e cosa evitare)
Secondo le linee guida del Garante Privacy, non è lecito mantenere attiva la casella email di un ex dipendente né monitorarne il contenuto oltre un tempo strettamente necessario.
Cosa fare:
- Attiva un messaggio automatico con il contatto del nuovo referente;
- Disattiva la casella entro 30 giorni dalla cessazione;
- Evita di accedere al contenuto della posta senza autorizzazione o base legale.
> Linee guida del Garante su Email e lavoro
3. Conserva i documenti con criterio
- Archivia in sicurezza la documentazione da conservare (es. in server sicuro, cartella dedicata protetta);
- Prevedi tempi di conservazione differenziati per tipo di dato;
- Anonimizza o elimina i dati non più necessari;
- Indica tutto nel registro dei trattamenti.
4. Informa e forma chi gestisce la cessazione
Il personale HR, IT e amministrativo deve conoscere le corrette procedure di offboarding anche dal punto di vista privacy.
Prevedi uno script operativo o un checklist per ogni uscita di personale.
Perché è importante?
Una cattiva gestione del fine rapporto può causare:
- Accessi abusivi non revocati (data breach);
- Conservazione illecita di dati personali;
- Reclami da parte dell’ex dipendente;
- Sanzioni da parte del Garante.
Ma soprattutto, genera un clima di sfiducia e trasmette l’idea che i dati — e le persone — non siano gestiti con attenzione.
Ricorda: un processo di offboarding gestito da DPO riduce del 40 % i ticket IT post‑uscita e previene data breach.
Best practice: crea una checklist interna standardizzata da usare a ogni uscita di personale, anche in caso di dimissioni improvvise.
FAQ Le domande più frequenti sulla privacy in ambito HR
Posso raccogliere CV senza fornire un’informativa??
No. Anche la semplice ricezione di un curriculum — tramite email, consegna a mano, form web o portali — comporta un trattamento di dati personali. Il GDPR (art. 13) impone l’obbligo di informare l’interessato prima o al momento della raccolta dei suoi dati. Se usi portali di selezione che forniscono direttamente l’informativa (es. LinkedIn, InfoJobs), verifica che sia effettivamente completa e aggiornata. In ogni altro caso, sei tu — come titolare del trattamento — a dover fornire l’informativa.
Devo far firmare il consenso al trattamento dei dati ai dipendenti?
Nella maggior parte dei casi, no. Il trattamento dei dati legato al rapporto di lavoro si basa su obblighi contrattuali e di legge (art. 6.1.b e c GDPR). Chiedere il consenso può essere fuorviante o invalido, perché nel contesto lavorativo il dipendente si trova in posizione di “debolezza” e potrebbe sentirsi obbligato ad accettare. Il consenso è valido solo se è libero, specifico, informato e revocabile senza conseguenze. Meglio usare informative chiare e basarsi sulle basi giuridiche corrette.
Posso controllare l’email aziendale di un dipendente?
Sì, ma solo a determinate condizioni. È necessario che il controllo:
- Sia giustificato da esigenze reali (es. sicurezza, tutela patrimonio).
- Sia proporzionato e non sistematico.
- Sia regolato da una policy trasparente, comunicata in anticipo.
- Rispetti lo Statuto dei Lavoratori (art. 4) e, in certi casi, sia stato. concordato con i sindacati o autorizzato dall’Ispettorato del Lavoro.
Non è lecito monitorare le email aziendali per controllare la produttività o a fini disciplinari senza un quadro normativo solido.
In ogni caso, il controllo non può mai trasformarsi in sorveglianza occulta o in un monitoraggio continuo e non dichiarato.
Quanto tempo posso conservare i dati di un ex dipendente?
Dipende dal tipo di dati. Alcuni documenti (come quelli fiscali o previdenziali) devono essere conservati per obbligo di legge fino a 10 anni. Altri, come accessi a sistemi, report interni o CV, vanno cancellati o anonimizzati non appena non più necessari. Una buona prassi è definire tempi precisi per ogni categoria nella policy interna e nel registro dei trattamenti, così da garantire trasparenza e rispetto del principio di conservazione limitata.
Devo nominare un responsabile del trattamento per il consulente del lavoro?
Sì. Il consulente del lavoro tratta dati personali per conto dell’azienda (es. paghe, contributi, contratti). È quindi un responsabile del trattamento ai sensi dell’art. 28 del GDPR. Va formalizzata la nomina con un contratto scritto che specifichi: durata, natura, finalità, categorie di dati trattati, misure di sicurezza e istruzioni dettagliate.
La formazione privacy è obbligatoria per i dipendenti?
Sì. Il GDPR impone che le persone autorizzate al trattamento siano formate e sensibilizzate. Non è previsto un corso standard, ma è importante che la formazione sia:
- Documentata (con presenze, materiali, date)
- Proporzionata al ruolo del dipendente
- Ripetuta nel tempo
- Personalizzata rispetto ai rischi specifici.
L’assenza di percorsi formativi adeguati è una delle principali criticità riscontrate durante i controlli. Per il GDPR, la consapevolezza del personale non è un dettaglio, ma una condizione essenziale per dimostrare la conformità.
Gestire i dati dei dipendenti in modo consapevole è già protezione
La privacy nel mondo HR non si esaurisce con un modulo firmato o una policy nel cassetto. È un processo continuo, che coinvolge persone, strumenti, tecnologia e cultura aziendale.
Ogni fase — dalla selezione del personale alla cessazione del rapporto di lavoro — può trasformarsi in un rischio oppure in un’opportunità: per rafforzare la fiducia, migliorare l’organizzazione interna e dimostrare reale compliance al GDPR.
Questa checklist è solo il punto di partenza. Per fare davvero la differenza servono consapevolezza, aggiornamento costante e un approccio umano alla gestione dei dati. Hai dubbi sulla tua documentazione, sulla formazione interna o sull’uso degli strumenti digitali?
Contattaci per una verifica gratuita: analizziamo insieme se sei in regola e ti aiutiamo a creare una gestione dei dati davvero sicura, efficiente e conforme.
Se ti occupi di privacy in azienda o nella pubblica amministrazione, potrebbero esserti utili anche questi approfondimenti:
