Informativa Privacy per i Dipendenti

L'Informativa Privacy per i Dipendenti in Italia è l'atto disciplinato da artt. 13-14 Reg. UE 2016/679 (GDPR); art. 88 GDPR; D.Lgs. 196/2003.

Nell'ambito del rapporto di lavoro, il Regolamento UE 2016/679 è integrato dall'art. 88 GDPR — norma specifica che consente agli Stati membri di prevedere norme più specifiche per garantire la protezione dei diritti e delle libertà dei lavoratori in relazione al trattamento dei loro dati personali nel contesto occupazionale. In Italia l'art. 88 GDPR è attuato principalmente attraverso il D.Lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali, come modificato dal D.Lgs. 10 agosto 2018 n. 101 di adeguamento al GDPR), in particolare agli artt. 113-114 che disciplinano il trattamento dei dati del lavoratore, e attraverso l'art. 4 della Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori), che regolamenta i controlli a distanza sui lavoratori e la liceità del relativo trattamento dei dati.

Il legislatore italiano ha identificato nel datore di lavoro un soggetto con poteri particolari che possono incidere sull'autonomia e sulla riservatezza del dipendente: registrazioni delle presenze, monitoraggio dell'uso degli strumenti aziendali (pc, telefono, posta elettronica), sistemi di videosorveglianza, controlli sanitari e accertamenti tossicologici, trattamento delle buste paga, gestione dei dati previdenziali e assicurativi. L'Informativa Privacy per i Dipendenti ha la funzione di rendere trasparenti tutte queste attività di trattamento, consentendo al lavoratore di esercitare consapevolmente i propri diritti ex artt. 15-22 GDPR (diritto di accesso, rettifica, cancellazione, opposizione, limitazione del trattamento, portabilità dei dati).

Le sanzioni per la mancata o inadeguata informativa sono severe: l'art. 83 par. 5 GDPR prevede ammende fino a 20.000.000 di euro o fino al 4% del fatturato mondiale annuo per le violazioni delle disposizioni sugli obblighi informativi. Il Garante per la Protezione dei Dati Personali (GPDP) italiano ha già irrogato sanzioni rilevanti a datori di lavoro che trattavano dati dei dipendenti senza fornire idonea informativa o senza rispettare le garanzie dello Statuto dei Lavoratori.

L'Informativa Privacy per i Dipendenti si distingue dal consenso al trattamento dei dati — documento separato (it-consenso-trattamento-dati-dipendente) richiesto solo per quei trattamenti che non trovano altra base giuridica — in quanto l'informativa non è una forma di assenso ma un adempimento unilaterale del datore di lavoro, che deve essere consegnata anche in assenza di qualsiasi forma di consenso del lavoratore.

L'Informativa Privacy per i Dipendenti in Italia è necessaria in ogni contesto in cui un'azienda, un ente pubblico o un professionista instaurano un rapporto di lavoro subordinato, para-subordinato o comunque continuativo con una persona fisica. Il GDPR e il D.Lgs. 196/2003 identificano i seguenti momenti e contesti in cui la consegna è obbligatoria:

— Al momento dell'assunzione, prima o contestualmente alla stipula del contratto di lavoro subordinato (art. 13 GDPR impone l'informativa «al momento della raccolta dei dati»). Non è ammesso il rinvio a dopo la firma del contratto.

— Per i lavoratori già in forza alla data del 25 maggio 2018 (entrata in vigore piena del GDPR), l'informativa avrebbe dovuto essere consegnata entro quella data se non già presente. In caso di mancata consegna, l'adempimento va effettuato immediatamente, anche retroattivamente.

— Ogni volta che cambiano le finalità o le modalità del trattamento dei dati del dipendente, ad esempio: introduzione di un nuovo sistema di videosorveglianza (art. 4 L. 300/1970), adozione di un software per il monitoraggio della produttività o degli accessi informatici, avvio di un programma di controllo sanitario periodico (art. 41 D.Lgs. 81/2008 — sorveglianza sanitaria).

— Per i lavoratori in smart working (lavoro agile, L. 22 maggio 2017 n. 81), in quanto il trattamento dei dati avviene in parte al di fuori dei locali aziendali e con strumenti informatici di proprietà del lavoratore o dell'azienda, richiedendo un'informativa specifica sui controlli effettuabili e sui limiti degli stessi.

— Per i lavoratori interinali o somministrati (D.Lgs. 15 giugno 2015 n. 81, artt. 30-40): sia l'agenzia di somministrazione sia l'impresa utilizzatrice sono titolari del trattamento per le rispettive finalità e devono entrambe fornire idonea informativa.

— Per i tirocinanti e gli stagisti, poiché anche la gestione di tirocini formativi comporta il trattamento di dati personali (anagrafica, presenze, valutazioni) e rientra nell'ambito applicativo del GDPR.

— In caso di rilevazione di impronte digitali o dati biometrici per il controllo degli accessi o delle presenze: trattasi di dati biometrici (categoria speciale ex art. 9 GDPR) e, ai sensi del Provvedimento del Garante del 12 novembre 2014, è necessaria una specifica informativa rinforzata e, in molti casi, una autorizzazione preventiva.

L'Informativa Privacy per i Dipendenti è correlata al modello it-contratto-di-lavoro-subordinato-tempo-indeterminato disponibile su forms-legal.com, che costituisce la sede naturale del primo rapporto giuridico tra datore di lavoro e dipendente; in molti casi i due documenti vengono consegnati contestualmente all'atto di assunzione.

L'Informativa Privacy per i Dipendenti in Italia deve contenere, ai sensi degli artt. 13-14 GDPR, un insieme di informazioni obbligatorie strutturate in modo chiaro, leggibile e facilmente accessibile. Un'informativa conforme al GDPR e al D.Lgs. 196/2003 comprende i seguenti elementi essenziali:

1. Identità e dati di contatto del Titolare del trattamento. Denominazione dell'azienda o del datore di lavoro persona fisica, sede legale, partita IVA o codice fiscale, indirizzo e-mail e recapito telefonico dell'ufficio competente per le questioni privacy. Se il trattamento viene effettuato da una filiale italiana di gruppo multinazionale, occorre indicare anche il titolare capogruppo e il rappresentante designato nell'UE (art. 27 GDPR).

2. Dati di contatto del Responsabile della Protezione dei Dati (DPO). L'art. 37 GDPR impone la nomina del DPO alle autorità pubbliche, alle imprese che trattano dati su larga scala o dati di categorie particolari. Le aziende con un numero significativo di dipendenti rientrano spesso in tale obbligo. Il DPO deve essere nominato con atto scritto, e i suoi dati di contatto devono figurare nell'informativa.

3. Finalità e base giuridica del trattamento. Per ciascuna finalità di trattamento il datore di lavoro deve indicare la base giuridica ex art. 6 GDPR: (a) esecuzione del contratto di lavoro (art. 6 par. 1 lett. b) — gestione delle buste paga, adempimenti contributivi e previdenziali, registrazione delle presenze; (b) obbligo legale (art. 6 par. 1 lett. c) — tenuta del libro unico del lavoro (D.L. 112/2008 art. 39), comunicazioni INPS/INAIL, adempimenti in materia di sicurezza sul lavoro (D.Lgs. 81/2008); (c) legittimo interesse del datore di lavoro (art. 6 par. 1 lett. f) — controllo degli accessi fisici agli edifici aziendali, sicurezza informatica perimetrale; (d) consenso del lavoratore (art. 6 par. 1 lett. a) — solo per finalità non coperte da altre basi giuridiche.

4. Categorie di dati trattati. Dati comuni (anagrafica, dati di contatto, dati bancari per l'accredito dello stipendio, dati lavorativi come presenze e qualifica), dati di categorie particolari ex art. 9 GDPR (dati sulla salute per la sorveglianza sanitaria ex art. 41 D.Lgs. 81/2008, dati sindacali per le trattenute delle quote associative, eventuali dati giudiziari ex art. 10 GDPR).

5. Destinatari o categorie di destinatari. Indicazione dei soggetti a cui i dati sono o potranno essere comunicati: consulente del lavoro, studio di elaborazione paghe, INPS, INAIL, Agenzia delle Entrate, istituto bancario, fornitori di servizi informatici (responsabili del trattamento ex art. 28 GDPR).

6. Trasferimenti di dati verso paesi terzi. Se l'azienda appartiene a un gruppo multinazionale o utilizza fornitori cloud con server extra-UE, deve indicare i meccanismi di garanzia (decisioni di adeguatezza ex art. 45 GDPR, clausole contrattuali standard ex art. 46 GDPR).

7. Periodo di conservazione. Per ogni categoria di dati deve essere indicato il termine di conservazione: buste paga e libri paga: 10 anni (D.L. 112/2008, art. 40); documenti contabili: 10 anni (art. 2220 c.c.); documenti relativi agli infortuni sul lavoro: 10 anni (D.Lgs. 81/2008); registrazioni di videosorveglianza: massimo 24-48 ore salvo autorizzazione del Garante o accordo sindacale.

8. Diritti dell'interessato ex artt. 15-22 GDPR. Diritto di accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione del trattamento (art. 18), portabilità (art. 20), opposizione (art. 21), nonché diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (art. 77 GDPR) o ricorso giurisdizionale (art. 79 GDPR).

9. Profiling e processi decisionali automatizzati. Se il datore di lavoro utilizza algoritmi per la valutazione della produttività, per la selezione dei candidati interni a promozioni o per la misurazione delle performance, deve indicarlo nell'informativa specificando la logica del sistema, l'importanza e le conseguenze previste per il lavoratore (art. 13 par. 2 lett. f GDPR). Il lavoratore ha il diritto di non essere sottoposto a decisioni basate esclusivamente su processi automatizzati che producano effetti significativi sulla sua sfera giuridica (art. 22 GDPR).

10. Misure di sicurezza adottate. Pur senza dover divulgare dettagli tecnici che potrebbero compromettere la sicurezza dei sistemi, l'informativa può indicare in modo generale le misure di protezione adottate (crittografia dei dati personali, controllo degli accessi logici, pseudonimizzazione, procedure di backup), a dimostrazione del rispetto del principio di integrità e riservatezza (art. 5 par. 1 lett. f GDPR) e del principio di privacy by design (art. 25 GDPR).

Su forms-legal.com è disponibile il modello di Informativa Privacy per i Dipendenti aggiornato al GDPR e al D.Lgs. 196/2003, con sezioni modulari per le diverse tipologie di trattamento tipiche del contesto lavorativo italiano, inclusi i trattamenti relativi alla videosorveglianza ex art. 4 L. 300/1970, alla sorveglianza sanitaria ex D.Lgs. 81/2008 e al lavoro agile ex L. 81/2017.

La redazione e la consegna dell'Informativa Privacy per i Dipendenti in Italia richiede una procedura strutturata che il datore di lavoro deve seguire con attenzione per garantire la conformità al GDPR e al D.Lgs. 196/2003. I passi principali sono:

1. Censire le attività di trattamento. Prima di redigere l'informativa, il datore di lavoro deve compilare il Registro delle Attività di Trattamento (art. 30 GDPR), che elenca tutte le operazioni di trattamento dei dati dei dipendenti, le relative finalità, le categorie di dati e i destinatari. Il registro è la base documentale da cui derivano le sezioni dell'informativa.

2. Identificare le basi giuridiche per ciascuna finalità. Per ogni trattamento indicato nel registro, determinare la base giuridica applicabile tra quelle previste dall'art. 6 GDPR (contratto, obbligo legale, legittimo interesse, consenso). Per i dati di categorie particolari (salute, dati sindacali), verificare anche le condizioni aggiuntive dell'art. 9 GDPR e le disposizioni del D.Lgs. 196/2003.

3. Compilare le sezioni obbligatorie dell'informativa. Inserire i dati del titolare del trattamento, i dati di contatto del DPO (se nominato), la lista completa delle finalità con relativa base giuridica, le categorie di dati trattati, i destinatari, i trasferimenti extra-UE (se applicabili) e i periodi di conservazione per ogni categoria di dato.

4. Adottare un linguaggio chiaro e comprensibile. L'art. 12 GDPR impone che le informazioni siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, adattato al livello medio di comprensione del lavoratore. Evitare rinvii generici a normative senza specificarne il contenuto concreto.

5. Consegnare l'informativa al momento dell'assunzione. La consegna deve avvenire prima della stipula del contratto di lavoro o, al più tardi, contestualmente alla firma. Documentare la consegna mediante sottoscrizione del dipendente per ricevuta, con data, o mediante registro elettronico di consegna.

6. Aggiornare l'informativa in caso di variazioni. Ogni modifica rilevante delle attività di trattamento — ad esempio l'introduzione di un nuovo sistema di controllo degli accessi biometrici, l'avvio di attività di smart working strutturato, l'adozione di un nuovo gestionale HR — richiede l'aggiornamento dell'informativa e la notifica ai dipendenti.

7. Coordinare l'informativa con l'accordo sindacale per i controlli a distanza. Ai sensi dell'art. 4 L. 300/1970 come modificato dal D.Lgs. 151/2015, l'installazione di impianti e strumenti di controllo a distanza (videosorveglianza, software di monitoraggio dell'attività informatica) richiede un accordo con le rappresentanze sindacali aziendali (RSA o RSU) o, in mancanza, l'autorizzazione dell'Ispettorato Territoriale del Lavoro (ITL). L'informativa privacy deve essere coerente con quanto previsto dall'accordo sindacale e richiamare i limiti di utilizzo dei dati raccolti.

8. Conservare la prova della consegna. Per ogni dipendente, conservare la ricevuta firmata o il log elettronico di consegna dell'informativa. In caso di ispezione del Garante o di contenzioso lavorativo, la prova documentale della consegna è elemento essenziale. Consultare anche il modello it-accordo-di-riservatezza-dipendente disponibile su forms-legal.com per la protezione delle informazioni riservate aziendali.

L'Informativa Privacy per i Dipendenti in Italia è disciplinata da un insieme coordinato di fonti normative europee e nazionali. I requisiti giuridici essenziali sono i seguenti:

— Reg. UE 2016/679 (GDPR), artt. 12-14: art. 12 impone trasparenza nella comunicazione; art. 13 elenca le informazioni obbligatorie quando i dati sono raccolti direttamente dall'interessato; art. 14 si applica quando i dati sono raccolti da terzi (es. informazioni fornite dall'azienda di somministrazione). L'informativa deve essere fornita prima o al momento della raccolta dei dati.

— GDPR, art. 88: norma specifica per il contesto lavorativo che autorizza gli Stati membri ad adottare disposizioni più specifiche; in Italia si traduce negli artt. 113-114 D.Lgs. 196/2003.

— D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy), artt. 113-114: art. 113 vieta l'acquisizione e l'utilizzo di informazioni relative ai lavoratori non pertinenti allo svolgimento del rapporto di lavoro; art. 114 rinvia all'art. 4 dello Statuto dei Lavoratori per i controlli a distanza.

— L. 20 maggio 1970 n. 300 (Statuto dei Lavoratori), art. 4: i controlli a distanza sono ammessi solo con accordo sindacale preventivo (RSA/RSU) o autorizzazione ITL, e i dati raccolti possono essere utilizzati a tutti i fini connessi al rapporto di lavoro solo se il lavoratore è stato adeguatamente informato delle modalità d'uso e del controllo.

— D.Lgs. 15 giugno 2015 n. 81, art. 19 (Jobs Act): disciplina il lavoro agile e la strumentazione informatica fornita al lavoratore; il controllo è ammesso nei limiti dell'art. 4 St. Lav.

— D.Lgs. 9 aprile 2008 n. 81, art. 41: la sorveglianza sanitaria obbligatoria implica il trattamento di dati sulla salute dei lavoratori (categoria speciale ex art. 9 GDPR); il medico competente è contitolare o responsabile del trattamento.

— GDPR, art. 83 par. 5: violazioni degli obblighi di informativa (artt. 12-14) sono soggette ad ammende fino a 20.000.000 euro o 4% del fatturato mondiale annuo.

— GDPR, art. 37: obbligo di nomina del DPO per enti pubblici e soggetti che svolgono trattamenti su larga scala; i dati di contatto del DPO devono essere indicati nell'informativa.

L'Informativa Privacy per i Dipendenti in Italia presenta numerose insidie pratiche che espongono il datore di lavoro a sanzioni del Garante e a contestazioni giudiziali. I principali errori da evitare sono:

1. Informativa generica e non personalizzata. Molti datori di lavoro adottano modelli standard scaricati da internet senza adattarli alla propria realtà aziendale. Il Garante per la Protezione dei Dati Personali ha ripetutamente sanzionato informative prive di indicazione specifica delle categorie di dati effettivamente trattate, dei destinatari concreti e dei periodi di conservazione reali.

2. Omissione dei trattamenti di controllo a distanza. L'art. 4 L. 300/1970 impone che i lavoratori siano informati dei sistemi di monitoraggio (videosorveglianza, log degli accessi informatici, registrazione delle telefonate). L'omissione di questi trattamenti nell'informativa — e la successiva utilizzazione dei dati raccolti per provvedimenti disciplinari — rende i dati inutilizzabili, come affermato dalla Corte di Cassazione, sez. lav., sentenza n. 25732/2021.

3. Mancata indicazione del DPO. Le aziende obbligate alla nomina del DPO (art. 37 GDPR) e che non ne indicano i dati di contatto nell'informativa violano un requisito formale specifico, sanzionato dal Garante.

4. Periodo di conservazione indefinito o eccessivamente lungo. Scrivere «i dati saranno conservati per il tempo necessario» non è conforme al principio di limitazione della conservazione (art. 5 par. 1 lett. e GDPR). Occorre indicare termini specifici per ogni categoria: buste paga 10 anni, registrazioni video 24-48 ore, log informatici proporzionati alla finalità.

5. Consegna dell'informativa dopo la firma del contratto. L'art. 13 GDPR impone la consegna al momento della raccolta dei dati, che nella pratica coincide con la fase di selezione del personale (curriculum inviato, colloquio) o al più tardi al momento della firma del contratto. La consegna successiva configura una violazione formale.

6. Trattare il modulo come un atto da firmare senza spiegazione. L'informativa non è un contratto: il lavoratore non deve «accettarla». Tuttavia, documentare la consegna mediante firma del dipendente è necessario per ragioni probatorie. Presentare il documento come se richiedesse un consenso obbligatorio (senza il quale il lavoratore non verrebbe assunto) configura una raccolta di consenso sotto coercizione, invalida ex art. 7 GDPR.

7. Non aggiornare l'informativa a fronte di nuovi trattamenti. L'introduzione di un sistema di monitoraggio della produttività tramite software, di una app aziendale o di un sistema di geolocalizzazione dei veicoli aziendali richiede l'aggiornamento dell'informativa e la notifica ai dipendenti prima dell'avvio del trattamento.

8. Confondere il consenso con l'informativa. Alcuni datori di lavoro richiedono ai dipendenti di firmare un'unica scheda che unisce informativa e consenso. Il consenso è una base giuridica residuale nel contesto lavorativo (il rapporto di potere rende difficile considerarlo libero ex art. 7 GDPR); per la maggior parte dei trattamenti le basi giuridiche sono il contratto, l'obbligo legale o il legittimo interesse. Usare il consenso come unica base rende tutto il trattamento reversibile nel momento in cui il lavoratore lo revoca.

9. Omissione dell'informativa per categorie particolari di dati. I dati sulla salute (sorveglianza sanitaria), i dati sindacali e i dati giudiziari richiedono un'informativa rinforzata che indichi le condizioni specifiche ex artt. 9-10 GDPR che ne legittimano il trattamento.

10. Mancata documentazione dell'avvenuta consegna. In caso di ispezione del Garante o di controversia giudiziale, il datore di lavoro deve dimostrare di aver fornito l'informativa. L'assenza di documentazione della consegna (firma del dipendente, log elettronico) equivale a presunzione di mancata consegna.