La gestione delle presenze dei dipendenti comporta il trattamento quotidiano di dati personali: orari di ingresso e uscita, assenze per malattia, permessi, ferie. Per il consulente del lavoro, che opera come responsabile del trattamento per conto delle aziende clienti, la conformita al GDPR non e un optional ma un obbligo giuridico con sanzioni che possono raggiungere il 4% del fatturato annuo globale.
Questo articolo analizza in modo pratico cosa prevede il Regolamento Europeo 2016/679 per chi gestisce dati di presenze, quali misure tecniche e organizzative adottare, e come un software progettato con i principi di privacy by design puo semplificare la compliance.
La base giuridica per il trattamento dei dati di presenze
Il primo passo per un trattamento conforme e identificare la corretta base giuridica ai sensi dell'Art. 6 del GDPR. Per i dati relativi alle presenze, si applicano tipicamente due basi giuridiche complementari.
Art. 6(1)(b) - Esecuzione del contratto di lavoro
Il trattamento dei dati di presenze e necessario per l'esecuzione del contratto di lavoro. Il datore di lavoro deve registrare le ore lavorate per calcolare la retribuzione, gestire ferie e permessi, rispettare i limiti di orario previsti dal D.Lgs. 66/2003. Senza questi dati, il rapporto di lavoro non potrebbe funzionare.
Art. 6(1)(c) - Obbligo legale
Numerose norme italiane impongono la registrazione delle presenze: il D.Lgs. 66/2003 sui limiti di orario, il D.Lgs. 81/2008 sulla sicurezza, le normative INPS e INAIL per le comunicazioni obbligatorie. Il trattamento non e quindi una scelta discrezionale ma un adempimento di legge.
Articoli GDPR chiave per la gestione presenze
- •Art. 5 - Principi fondamentali: liceita, minimizzazione, limitazione conservazione
- •Art. 6 - Basi giuridiche: contratto di lavoro + obbligo legale
- •Art. 9 - Dati particolari: le assenze per malattia sono dati sanitari (serve base giuridica rafforzata)
- •Art. 13-14 - Informativa: il dipendente deve sapere chi, come, perche, per quanto tempo
- •Art. 15-22 - Diritti dell'interessato: accesso, rettifica, cancellazione, portabilita
- •Art. 28 - Responsabile del trattamento: il consulente del lavoro deve avere un DPA firmato
- •Art. 32 - Sicurezza del trattamento: misure tecniche e organizzative adeguate
- •Art. 35 - DPIA: valutazione d'impatto se monitoraggio sistematico dei dipendenti
Attenzione ai dati particolari (Art. 9)
Le assenze per malattia, infortunio, permessi ex L. 104/1992 contengono implicitamente informazioni sulla salute del dipendente. Questi sono dati particolari ai sensi dell'Art. 9 del GDPR e richiedono una base giuridica rafforzata. In ambito lavorativo, la base e l'Art. 9(2)(b): il trattamento e necessario per assolvere obblighi in materia di diritto del lavoro e della sicurezza sociale.
In pratica, cio significa che il consulente del lavoro puo trattare questi dati, ma deve farlo con misure di sicurezza aggiuntive: separazione logica dai dati ordinari, accesso limitato al personale autorizzato, cifratura a riposo.
Principio di minimizzazione dei dati
L'Art. 5(1)(c) del GDPR stabilisce che i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalita per cui sono trattati. Per la gestione presenze, questo principio ha implicazioni concrete.
- Registrare solo cio che serve: ora di ingresso, ora di uscita, tipologia di assenza. Non servono dati sulla diagnosi medica (basta il codice evento), ne sulla destinazione delle ferie.
- Evitare la sorveglianza eccessiva: la geolocalizzazione continua del dipendente va oltre la rilevazione presenze. Se usata, richiede una DPIA e spesso un accordo sindacale.
- Segregare i dati per finalita: i dati di presenze per il calcolo del cedolino non dovrebbero essere mescolati con dati raccolti per la valutazione delle performance.
- Pseudonimizzare dove possibile: per analisi aggregate e reporting, utilizzare identificativi non direttamente riconducibili al dipendente.
Gestione presenze: conforme vs non conforme
| Non conforme | Conforme GDPR | |
|---|---|---|
| Raccolta dati | GPS continuo + screenshot schermo | Solo timbratura ingresso/uscita + tipo assenza |
| Accesso ai dati | Tutti i colleghi vedono tutto | Solo HR autorizzato + consulente con DPA |
| Conservazione | Dati conservati per sempre | 5 anni (obbligo fiscale) poi cancellazione automatica |
| Informativa | Nessuna comunicazione al dipendente | Informativa scritta prima dell'assunzione |
| Sicurezza | File Excel condiviso via email | Piattaforma cifrata con audit log e RLS |
| Dati sanitari | Diagnosi nel campo note assenza | Solo codice evento INPS, dati sanitari segregati |
Periodi di conservazione dei dati
Il principio di limitazione della conservazione (Art. 5(1)(e)) impone di non conservare i dati piu a lungo del necessario. Per i dati di presenze, i periodi sono determinati dalla normativa italiana.
- Dati retributivi e contributivi: 5 anni dalla cessazione del rapporto di lavoro (termine di prescrizione dei crediti di lavoro ex Art. 2948 c.c.).
- Libro Unico del Lavoro: 5 anni dalla data dell'ultima registrazione (Art. 39, D.L. 112/2008).
- Documentazione fiscale: 10 anni per i documenti rilevanti ai fini fiscali (Art. 2220 c.c.).
- Dati di malattia: devono essere cancellati o anonimizzati non appena esaurita la finalita per cui sono stati raccolti. In pratica, dopo l'elaborazione del cedolino e la chiusura del periodo di comporto.
Un sistema di gestione presenze conforme deve implementare politiche di retention automatizzate: alla scadenza del periodo di conservazione, i dati vengono cancellati o anonimizzati senza intervento manuale.
Ciclo di vita del dato di presenze
Diritti dei dipendenti: come gestirli in pratica
Il GDPR riconosce ai dipendenti una serie di diritti che il datore di lavoro (e il consulente del lavoro come responsabile del trattamento) deve essere in grado di soddisfare entro 30 giorni dalla richiesta.
Diritto di accesso (Art. 15)
Il dipendente ha diritto di ottenere conferma del trattamento e una copia dei propri dati di presenze. Questo include: ore lavorate, assenze registrate, straordinari, timbrature. Il sistema deve poter generare un export dei dati del singolo dipendente in formato leggibile.
Diritto di rettifica (Art. 16)
Se un dipendente segnala un errore nella registrazione (ad esempio, una timbratura mancante o un'assenza classificata erroneamente), il datore deve correggere il dato. Il sistema deve mantenere un audit trail delle modifiche per dimostrare la rettifica.
Diritto alla cancellazione (Art. 17)
Questo diritto e limitato in ambito lavorativo: il datore puo rifiutare la cancellazione se i dati sono necessari per adempiere un obbligo legale (cosa che accade quasi sempre per i dati di presenze durante il periodo di conservazione). Tuttavia, alla scadenza del periodo di retention, il diritto si applica pienamente.
Diritto alla portabilita (Art. 20)
Il dipendente puo richiedere i propri dati in formato strutturato e leggibile da dispositivo automatico (JSON, CSV). Questo e particolarmente rilevante in caso di cessazione del rapporto di lavoro e passaggio a un nuovo datore.
Gestione richieste di esercizio diritti
Ricezione richiesta
Il dipendente invia richiesta scritta. Verificare identita del richiedente tramite documento o email aziendale.
Valutazione
Entro 72 ore: classificare il tipo di diritto, verificare se esistono eccezioni legali, identificare i dati coinvolti.
Coinvolgimento consulente
Se i dati sono presso il consulente del lavoro, inoltro della richiesta al responsabile del trattamento con le istruzioni.
Esecuzione
Generare export dati, applicare rettifiche, pianificare cancellazione. Documentare ogni azione nel registro trattamenti.
Risposta al dipendente
Entro 30 giorni dalla richiesta: comunicazione scritta con esito. Se rifiuto, motivazione dettagliata con base giuridica.
Documentazione
Archiviare la richiesta, le azioni intraprese e la risposta. Aggiornare il registro dei trattamenti se necessario.
Misure tecniche e organizzative (Art. 32)
L'Art. 32 del GDPR richiede l'adozione di misure tecniche e organizzative adeguate al rischio. Per un sistema di gestione presenze che tratta dati di centinaia o migliaia di dipendenti, le misure devono essere robuste.
Cifratura dei dati
I dati di presenze devono essere cifrati sia in transito (TLS 1.3 per tutte le comunicazioni) sia a riposo (AES-256 per il database). La cifratura a riposo protegge i dati anche in caso di violazione fisica del server o di accesso non autorizzato al database.
Row Level Security (RLS)
La Row Level Security e una misura tecnica particolarmente efficace per la gestione multi-tenant. Ogni consulente del lavoro vede solo i dati delle proprie aziende clienti, e ogni azienda cliente vede solo i propri dipendenti. Questo avviene a livello di database, non di applicazione, eliminando il rischio di accesso accidentale ai dati altrui.
La Row Level Security implementa il principio del minimo privilegio direttamente nel database. Anche in caso di bug applicativo, i dati restano isolati perche la policy di accesso e applicata dal motore del database stesso.
Audit trail e logging
Ogni accesso ai dati di presenze, ogni modifica, ogni export deve essere registrato in un audit trail immutabile. Questo soddisfa due requisiti: il principio di accountability (Art. 5(2)), che impone al titolare di dimostrare la conformita, e la capacita di investigare eventuali violazioni.
Controllo degli accessi
- Autenticazione forte: password complesse + MFA per tutti gli utenti che accedono ai dati di presenze.
- Ruoli e permessi granulari: il clerk inserisce dati, il consulente supervisiona, l'azienda cliente visualizza. Ogni ruolo ha il set minimo di permessi necessari.
- Sessioni a scadenza: timeout automatico dopo periodo di inattivita per prevenire accessi da postazioni incustodite.
- Revoca immediata: quando un dipendente dello studio lascia, i suoi accessi vengono revocati immediatamente.
Il ruolo del consulente del lavoro: responsabile del trattamento
Il consulente del lavoro che elabora presenze e cedolini per conto delle aziende clienti agisce come responsabile del trattamento ai sensi dell'Art. 28 del GDPR. Questo comporta obblighi specifici.
- Contratto di nomina (DPA): un Data Processing Agreement scritto con ogni azienda cliente che specifichi finalita, durata, natura del trattamento, tipi di dati, categorie di interessati, obblighi del consulente.
- Istruzioni documentate: il consulente tratta i dati solo secondo le istruzioni del titolare (l'azienda cliente). Se riceve una richiesta anomala (ad esempio, fornire dati di un dipendente a terzi), deve rifiutare e segnalare.
- Sub-responsabili: se il consulente utilizza un software cloud per la gestione presenze, il fornitore del software e un sub-responsabile. Serve autorizzazione del titolare e un contratto a catena.
- Notifica data breach: in caso di violazione dei dati, il consulente deve notificare l'azienda cliente senza ingiustificato ritardo, affinche questa possa notificare il Garante entro 72 ore.
Privacy by design: cosa cercare in un software
L'Art. 25 del GDPR impone la privacy by design e by default. Un software di gestione presenze conforme non e semplicemente un software che funziona, ma un software progettato fin dall'inizio per proteggere i dati personali.
- Minimizzazione incorporata: il software raccoglie solo i dati strettamente necessari. I campi opzionali sono chiaramente identificati.
- Retention automatizzata: politiche di conservazione configurabili con cancellazione o anonimizzazione automatica alla scadenza.
- Export conformi: funzione di export per rispondere alle richieste di accesso e portabilita in formato strutturato.
- Separazione dati sanitari: i dati particolari (assenze per malattia) sono separati logicamente e accessibili solo al personale autorizzato.
- Multi-tenancy nativa: isolamento dei dati tra aziende clienti garantito a livello di database, non di applicazione.
HR Omni e stato progettato seguendo questi principi: la Row Level Security di Supabase garantisce l'isolamento dei dati, l'audit trail registra ogni operazione, e le politiche di retention sono configurabili per ogni azienda cliente. Scopri di piu nella nostra pagina dedicata alla sicurezza e conformita.
Checklist pratica per il consulente del lavoro
In conclusione, ecco una checklist operativa per verificare la conformita GDPR della gestione presenze nel proprio studio.
- Contratti DPA firmati con tutte le aziende clienti con clausole specifiche per dati di presenze.
- Registro dei trattamenti aggiornato con dettaglio delle attivita di elaborazione presenze.
- Informativa privacy consegnata a tutti i dipendenti delle aziende clienti, con menzione specifica del trattamento presenze.
- DPIA effettuata se si utilizzano sistemi di rilevazione biometrica o geolocalizzazione.
- Misure di sicurezza implementate: cifratura, RLS, audit trail, MFA, controllo accessi.
- Politiche di retention definite e automatizzate per ogni categoria di dati.
- Procedura di gestione data breach documentata e testata.
- Procedura di gestione richieste diritti degli interessati documentata con tempistiche.
La conformita al GDPR non e un traguardo statico ma un processo continuo. Le normative evolvono, le tecnologie cambiano, e le best practice si aggiornano. Un software che integra la compliance nella propria architettura rende questo processo gestibile, anche per studi che gestiscono centinaia di aziende clienti.