Dalla Candidatura al Licenziamento

di

La Check-list GDPR per la Gestione del Personale

La gestione dei dati personali in ambito HR è uno dei contesti a più alto rischio di non conformità al Regolamento UE 2016/679 (GDPR). Questo perché implica il trattamento sistematico di informazioni — talvolta di natura particolare — all’interno di un rapporto strutturalmente asimmetrico tra datore di lavoro e dipendente.

Dal primo CV ricevuto fino alla conservazione dei dati successiva alla cessazione del rapporto, ogni fase deve rispettare i principi fondamentali del GDPR:

  • liceità, correttezza e trasparenza
  • limitazione delle finalità
  • minimizzazione dei dati
  • limitazione della conservazione
  • integrità e riservatezza

Predisporre un’informativa privacy non è sufficiente. È necessario implementare un modello organizzativo e tecnico strutturato, che comprenda:

  • controllo degli accessi (principio del need-to-know)
  • misure di sicurezza adeguate (art. 32 GDPR)
  • tracciamento delle attività (accountability)
  • policy interne formalizzate

Una gestione non conforme espone a sanzioni significative da parte del Garante per la protezione dei dati personali, come dimostrano i recenti provvedimenti in materia di monitoraggio della posta elettronica e degli strumenti di lavoro.

Di seguito una check-list operativa completa, strutturata per fasi del ciclo di vita del dipendente.

1. Fase di Selezione (Recruitment)

Informativa ai candidati (art. 13 GDPR)

  • Deve essere fornita prima della raccolta dei dati (es. form web, email, portali di recruiting).
  • Deve includere finalità, base giuridica, tempi di conservazione e diritti dell’interessato.

Base giuridica del trattamento

  • Prevalentemente: misure precontrattuali (art. 6, par. 1, lett. b GDPR).
  • Il consenso non è generalmente necessario, salvo casi specifici (es. costituzione di una talent pool).

Minimizzazione dei dati

  • Raccogliere solo le informazioni pertinenti alla posizione ricercata.
  • Evitare categorie particolari di dati (art. 9 GDPR), salvo obbligo di legge.

Conservazione dei CV

  • Definire tempi chiari (best practice: 6–12 mesi).
  • Applicare cancellazione automatica o anonimizzazione a scadenza.

Talent pool e selezioni future

  • Richiede consenso esplicito, libero e separato.
  • Deve essere revocabile in modo agevole.

Canali di raccolta (LinkedIn, portali di terzi)

  • Verificare la liceità del trattamento anche per i dati raccolti da fonti pubbliche.
  • Evitare profilazioni non trasparenti.

2. Assunzione e Onboarding

Informativa ai dipendenti

  • Specifica e distinta rispetto a quella fornita ai candidati.
  • Deve coprire tutte le finalità del trattamento:
    • gestione amministrativa e retributiva
    • sicurezza sul lavoro
    • utilizzo di strumenti IT aziendali
    • eventuale videosorveglianza

Base giuridica

  • Esecuzione del contratto di lavoro.
  • Adempimento di obblighi legali (es. previdenziali, fiscali).
  • Interesse legittimo del titolare (da applicare in modo limitato e bilanciato).

Dati particolari (art. 9 GDPR)

  • Trattabili solo se necessari per l’adempimento di obblighi lavoristici o previsti da norme di legge o contratti collettivi.
  • Esempi tipici: dati sanitari (malattia, infortunio), appartenenza sindacale.

Nomine e autorizzazioni

  • Designare formalmente i soggetti autorizzati al trattamento (HR, amministrazione del personale).
  • Nominare eventuali responsabili esterni (es. consulente del lavoro) ai sensi dell’art. 28 GDPR.

Misure di sicurezza

  • Cifratura o pseudonimizzazione dei dati sensibili.
  • Controllo degli accessi basato sui ruoli (RBAC).
  • Logging delle operazioni sui dati.

Formazione interna

  • Obbligatoria per tutto il personale che tratta dati personali.
  • Deve essere documentata e periodicamente aggiornata.

3. Gestione del Rapporto di Lavoro

Policy IT e utilizzo degli strumenti aziendali

  • Definire regole chiare sull’uso di email, internet e dispositivi aziendali.
  • È vietato il controllo sistematico, massivo e prolungato dell’attività dei lavoratori.

Controlli a distanza (art. 4 Statuto dei Lavoratori)

  • Devono rispettare la disciplina dell’art. 4 della L. 300/1970.
  • È necessario un accordo sindacale o un’autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL).
  • Il lavoratore deve ricevere un’informativa preventiva adeguata.

Videosorveglianza

  • Ammessa solo per finalità lecite (sicurezza dei luoghi di lavoro, tutela del patrimonio aziendale).
  • Obbligo di cartellonistica informativa.
  • Conservazione delle immagini limitata nel tempo (tipicamente 24–72 ore).

Gestione della casella email aziendale

  • Prevedere l’utilizzo di caselle condivise o funzionali per la continuità operativa.
  • Definire procedure chiare per l’accesso in caso di assenza del dipendente.
  • Evitare accessi indiscriminati alle comunicazioni personali.

Trasferimenti a soggetti terzi (es. gestione paghe)

  • Il fornitore esterno deve essere nominato Responsabile del Trattamento (art. 28 GDPR).
  • Verificare le misure di sicurezza adottate e predisporre istruzioni documentate.

Trasferimenti di dati extra-UE

  • Ammessi solo in presenza di decisioni di adeguatezza, Clausole Contrattuali Standard (SCC) o altre garanzie appropriate.

4. Fine del Rapporto (Dimissioni / Licenziamento)

Revoca degli accessi (offboarding IT)

  • Disabilitazione immediata di: account email, VPN, accessi ai sistemi aziendali.
  • Le operazioni devono essere tracciate e documentate.

Gestione della casella email del dipendente uscente

  • Soluzioni corrette: risposta automatica con l’indicazione di un contatto alternativo, seguita da disattivazione progressiva.
  • Evitare accessi prolungati o non giustificati da parte di terzi.

Restituzione dei dispositivi aziendali

  • PC, smartphone, badge, token e altri strumenti devono essere restituiti.
  • Verificare ed eliminare eventuali dati personali non pertinenti prima del riutilizzo.

Conservazione dei dati dopo la cessazione

  • Obblighi legali: documentazione fiscale e previdenziale deve essere conservata fino a 10 anni.
  • Per gli altri dati: procedere con cancellazione o anonimizzazione secondo quanto definito nel registro dei trattamenti.

Diritto alla cancellazione (art. 17 GDPR)

  • Non si applica quando sussistono obblighi legali di conservazione che prevalgono sull’interesse dell’interessato.

5. Governance e Accountability

Spesso trascurata nella pratica, la dimensione di governance è invece essenziale per una conformità reale e sostenibile nel tempo.

Registro dei trattamenti (art. 30 GDPR)

  • Obbligatorio per le organizzazioni strutturate.
  • Deve includere tutti i trattamenti relativi alla gestione del personale.

Valutazione d’impatto sulla protezione dei dati (DPIA)

  • Necessaria in caso di monitoraggio sistematico dei lavoratori o utilizzo di tecnologie invasive (es. intelligenza artificiale, dati biometrici).

Gestione dei data breach

  • Predisporre una procedura interna per: rilevazione dell’incidente, notifica al Garante entro 72 ore, eventuale comunicazione agli interessati, gestione e documentazione dell’evento.

Audit periodici

  • Verificare con regolarità la conformità delle misure adottate.
  • Aggiornare policy e procedure in risposta a cambiamenti normativi o organizzativi.

⚠️ Disclaimer

Il presente articolo ha scopo puramente informativo e non costituisce parere legale né consulenza professionale. Le informazioni fornite si basano sul Regolamento UE 2016/679 e sul D.Lgs. 196/2003.

Data la complessità della materia e i continui aggiornamenti normativi — inclusi i provvedimenti del Garante per la protezione dei dati personali — si raccomanda di rivolgersi a un professionista qualificato per valutare la conformità specifica della propria organizzazione.

NormaLexy.com non è responsabile per azioni intraprese sulla base delle informazioni contenute in questo articolo.

Lascia un commento

Consenso ai cookie GDPR con Real Cookie Banner