È possibile registrare i tempi di lavoro in conformità al GDPR?

Sì, la registrazione dei tempi di lavoro non solo è possibile in conformità al GDPR, ma è addirittura prescritta dalla legge. Il GDPR non vieta il trattamento dei dati personali – disciplina soltanto come tale trattamento debba avvenire in modo lecito, trasparente e sicuro. La registrazione dell'orario di lavoro ha una chiara base giuridica (obbligo di legge ai sensi della legge sull'orario di lavoro, adempimento contrattuale) ed è pertanto ammissibile.

È necessario il consenso dei dipendenti per la registrazione dei tempi di lavoro?

No, il consenso non è necessario. La registrazione dei tempi di lavoro si basa sull'obbligo legale previsto dalla legge sull'orario di lavoro (art. 6, par. 1, lett. c del GDPR) e sull'adempimento contrattuale (art. 6, par. 1, lett. b del GDPR). È tuttavia necessario informare i propri dipendenti in modo trasparente in merito al trattamento dei dati.

Cos'è un contratto di trattamento dei dati (DPA) e ne ho bisogno?

Un DPA disciplina la collaborazione tra Lei (titolare del trattamento) e un fornitore di servizi esterno (responsabile del trattamento) che tratta dati personali per Suo conto. Se utilizza un sistema di rilevazione presenze basato su cloud, il fornitore è il responsabile del trattamento e Lei è tenuto obbligatoriamente a stipulare un DPA (art. 28 del GDPR). I fornitori seri mettono a disposizione questo contratto come standard.

Il tracciamento GPS nella registrazione dei tempi di lavoro è conforme al GDPR?

Il tracciamento GPS è ammissibile a determinate condizioni: esclusivamente durante l'orario di lavoro, solo in presenza di un interesse legittimo (ad es. comprovare il luogo di lavoro), con informazione trasparente dei dipendenti e, nelle aziende soggette a cogestione, con accordo aziendale. È consigliabile effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR. Il monitoraggio continuo anche durante le pause o il tempo libero non è consentito.

Per quanto tempo possono essere conservati i dati di rilevazione presenze?

Almeno 2 anni (ai sensi della legge sull'orario di lavoro), per gli straordinari fino a 3 anni (termini di prescrizione), in parte fino a 7 anni per obblighi fiscali. Alla scadenza degli obblighi legali di conservazione, i dati devono essere cancellati (art. 5, par. 1, lett. e del GDPR). I buoni sistemi supportano la cancellazione automatica alla scadenza dei termini.

I dati di rilevazione delle presenze devono essere ospitati nell'UE?

Il GDPR non vieta in linea di principio l'hosting al di fuori dell'UE, ma richiede un livello di protezione adeguato (artt. 44-49 GDPR). In pratica, l'hosting nell'UE (ad es. Germania, Austria) è la soluzione più sicura, poiché non sono necessarie misure aggiuntive per i trasferimenti verso paesi terzi. Si assicuri che il Suo fornitore offra l'hosting nell'UE.

GDPR & rilevazione presenze: registrare in conformità alla normativa %%sep%% %%sitename%%

Perché GDPR e rilevazione presenze sono inscindibili

Nella rilevazione degli orari di lavoro vengono trattati dati personali sensibili: chi ha lavorato, quando, dove e per quanto tempo? Queste informazioni rientrano nell'ambito del Regolamento Generale sulla Protezione dei Dati (GDPR) e sono soggette a norme rigorose.

Molte aziende sottovalutano i requisiti in materia di protezione dei dati nella rilevazione presenze. Fogli presenze cartacei, liste Excel su drive condivisi o messaggi WhatsApp non sono solo inefficienti – spesso sono anche problematici dal punto di vista della protezione dei dati.

Il GDPR si applica a tutti i trattamenti di dati personali – inclusa la rilevazione degli orari di lavoro. Le violazioni possono essere sanzionate con multe fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.

Quali dati personali vengono generati dalla rilevazione presenze

Nella rilevazione degli orari di lavoro vengono raccolte diverse categorie di dati personali:

Dati di base

Nome e matricola del dipendente
Inizio e fine dell'orario di lavoro
Durata dell'orario di lavoro
Orari di pausa
Straordinari e credito orario

Dati estesi (a seconda del sistema)

Dati di localizzazione (in caso di GPS tracking)
Assegnazione a progetto o cliente
Motivi di assenza (ferie, malattia)
Indirizzi IP in caso di rilevazione digitale
Informazioni sul dispositivo (in caso di utilizzo di app)

Tutti questi dati sono personali e devono essere trattati secondo i principi del GDPR: lecitamente, in modo trasparente, per finalità determinate, con minimizzazione dei dati e in sicurezza.

I 6 principi del GDPR per la rilevazione presenze

1. Liceità (art. 6 GDPR)

La rilevazione presenze richiede una base giuridica. Nella maggior parte dei casi si tratta di:

� Obbligo legale – la legge sull'orario di lavoro prescrive la registrazione
� Esecuzione del contratto – per il calcolo della retribuzione e il rispetto del contratto di lavoro
� Legittimo interesse – per la gestione e l'organizzazione dell'azienda

Il consenso dei dipendenti non è necessario, poiché l'obbligo di legge costituisce già una base giuridica sufficiente.

2. Trasparenza (artt. 5, 13, 14 GDPR)

I dipendenti devono essere informati su:

Quali dati vengono raccolti
Per quale scopo i dati vengono utilizzati
Per quanto tempo i dati vengono conservati
Chi ha accesso ai dati
Quali diritti spettano loro (accesso, cancellazione, rettifica)

Questa informazione viene fornita tipicamente tramite un'informativa sulla protezione dei dati relativa alla rilevazione presenze o un foglio informativo.

3. Limitazione della finalità (art. 5, par. 1, lett. b) GDPR)

I dati di rilevazione presenze possono essere utilizzati solo per finalità definite:

� Elaborazione delle retribuzioni
� Rispetto della normativa sull'orario di lavoro
� Pianificazione del personale
� Consuntivazione dei progetti
❌ Non consentito: controllo delle prestazioni o monitoraggio del comportamento senza una base giuridica separata

4. Minimizzazione dei dati (art. 5, par. 1, lett. c) GDPR)

Possono essere raccolti solo i dati effettivamente necessari per lo scopo. Esempio:

� Inizio e fine dell'orario di lavoro – necessari
� Assegnazione al progetto – necessaria per la fatturazione del progetto
⚠️ Posizione GPS – solo in caso di legittimo interesse e in modo proporzionato
❌ Dati sanitari – solo con una base giuridica specifica

5. Limitazione della conservazione (art. 5, par. 1, lett. e) GDPR)

I dati di rilevazione presenze devono essere cancellati allo scadere dei termini legali di conservazione:

Almeno 2 anni (ai sensi della legge sull'orario di lavoro)
Per gli straordinari: fino a 3 anni (termini di prescrizione)
Dal punto di vista fiscale: in parte fino a 7 anni

I sistemi moderni dovrebbero supportare la cancellazione automatica alla scadenza.

6. Sicurezza (art. 32 GDPR)

I dati di rilevazione presenze devono essere protetti da accessi non autorizzati, perdite e manomissioni attraverso:

Trasmissione e archiviazione cifrate
Diritti di accesso basati sui ruoli
Backup regolari
Registrazione degli accessi e delle modifiche
Autenticazione sicura (password, 2FA)

Il problema con carta, Excel e appunti manuali

In pratica, in molte aziende la rilevazione presenze avviene ancora così:

📋 I fogli presenze cartacei vengono compilati e portati in ufficio a fine mese
📱 Gli orari di lavoro vengono comunicati via WhatsApp o SMS
📊 Le liste Excel vengono aggiornate e condivise manualmente
✍️ Gli appunti su foglietti finiscono da qualche parte in un cassetto

Questi metodi hanno un problema comune: non forniscono una prova legalmente sicura e sono discutibili dal punto di vista della protezione dei dati.

Perché i fogli presenze cartacei sono problematici

Le registrazioni manuali soddisfano solo in parte i requisiti di legge, poiché sono:

❌ Facilmente manipolabili – le modifiche successive non sono rilevabili
❌ Spesso illeggibili – soprattutto in caso di voci manoscritte
❌ Soggette a errori – errori di trascrizione, voci dimenticate, calcoli errati
❌ Difficili da archiviare – i foglietti si perdono, sbiadiscono o si danneggiano
❌ Non tempestive – spesso gli orari vengono inseriti a memoria giorni dopo
❌ Difficili da reperire – in caso di ispezione bisogna sfogliare raccoglitori
❌ Nessun controllo degli accessi – chiunque può vedere o fotocopiare il foglio

Excel è meglio della carta – ma non ancora sufficiente

Le liste Excel sono un passo nella giusta direzione, ma presentano anch'esse delle lacune:

⚠️ Le modifiche possono essere effettuate senza registro
⚠️ I timestamp spesso mancano o sono manipolabili
⚠️ Nessuna sincronizzazione automatica tra dipendenti e amministrazione
⚠️ I file possono andare persi o essere sovrascritti
⚠️ Nessun controllo su chi ha modificato cosa e quando
⚠️ Spesso diritti di accesso troppo ampi sulle unità di rete

WhatsApp & e-mail: non cifrati e non controllati

La trasmissione degli orari di lavoro tramite WhatsApp o e-mail non cifrata è discutibile dal punto di vista della protezione dei dati:

❌ WhatsApp: trasferimento di dati a Meta (trattamento al di fuori dell'Europa)
❌ E-mail non cifrata: i dati possono essere intercettati
❌ Nessuna archiviazione strutturata
❌ Possibili inoltri incontrollati

GPS tracking e GDPR: cosa è consentito?

Il GPS tracking nella rilevazione presenze è un'area particolarmente delicata. I dati di localizzazione sono dati personali e sono soggetti a norme rigorose.

Quando è consentito il GPS tracking?

La rilevazione GPS è conforme alla normativa sulla protezione dei dati solo alle seguenti condizioni:

� Solo durante l'orario di lavoro – nessun monitoraggio durante le pause o dopo l'orario di lavoro
� Legittimo interesse – ad es. prova del luogo di lavoro per i dipendenti in trasferta
� Proporzionalità – GPS solo se mezzi meno invasivi non sono sufficienti
� Informazione trasparente – i dipendenti devono sapere che viene rilevato il GPS
� Accordo aziendale – necessario nelle aziende soggette a codeterminazione ai sensi dell'ArbVG
� Limitazione della finalità – i dati di localizzazione solo per la rilevazione presenze, non per il controllo del comportamento

Valutazione d'impatto sulla protezione dei dati (art. 35 GDPR)

Se i dati GPS vengono raccolti sistematicamente, è consigliabile effettuare una Valutazione d'impatto sulla protezione dei dati (DPIA). Questa valuta:

Quali rischi si generano per i dipendenti
Quali misure di protezione vengono adottate
Se l'utilizzo è proporzionato

Come i sistemi digitali di rilevazione presenze garantiscono la conformità al GDPR

Le moderne soluzioni digitali di rilevazione presenze soddisfano tutti i requisiti legali sin dalla base:

� Trasmissione dati cifrata

Tutti i dati vengono trasmessi in forma cifrata (SSL/TLS) – nessuna intercettazione da parte di terzi è possibile.

� Hosting europeo

I fornitori seri ospitano i propri dati nell'UE (spesso in Germania o Austria) – nessun trasferimento verso paesi terzi.

� Diritti di accesso basati sui ruoli

Solo le persone autorizzate visualizzano i dati:

I dipendenti vedono solo i propri orari
I responsabili di team vedono solo il proprio team
Gli amministratori hanno accesso completo
I contabili ricevono solo dati aggregati

� Registri delle modifiche

Ogni modifica viene documentata: chi ha modificato cosa e quando? Questa tracciabilità è importante sia per il GDPR che per la normativa sull'orario di lavoro.

� Cancellazione automatica alla scadenza

Allo scadere dell'obbligo legale di conservazione, i dati vengono cancellati automaticamente – nessuna conservazione superflua per anni.

� Contratto di trattamento dei dati (DPA)

Quando si utilizza un sistema esterno, il fornitore è responsabile del trattamento. È necessario un DPA (art. 28 GDPR), che stabilisce:

Quali dati vengono trattati
Quali misure di sicurezza si applicano
Che il fornitore non utilizza i dati per scopi propri
Che i dati vengono cancellati su richiesta

I fornitori seri mettono a disposizione un DPA standardizzato.

� Diritto di accesso ed esportazione dei dati

I dipendenti hanno il diritto di accedere ai propri dati conservati (art. 15 GDPR). I buoni sistemi offrono:

Esportazione self-service dei propri dati
Visualizzazione chiara di tutte le informazioni conservate
Formati di esportazione come PDF o CSV

Checklist: rilevazione presenze conforme al GDPR

Verificate se la vostra rilevazione presenze soddisfa questi requisiti:

Organizzazione e documentazione

☐ Informativa sulla protezione dei dati relativa alla rilevazione presenze redatta
☐ Dipendenti informati sul trattamento dei dati
☐ Registro delle attività di trattamento (RAT) aggiornato
☐ In caso di GPS tracking: valutazione d'impatto sulla protezione dei dati effettuata
☐ Nelle aziende soggette a codeterminazione: accordo aziendale disponibile
☐ Contratto di trattamento dei dati concluso con il fornitore del software

Misure tecniche

☐ Trasmissione dati cifrata (HTTPS/SSL)
☐ Archiviazione dati cifrata
☐ Diritti di accesso basati sui ruoli implementati
☐ Autenticazione sicura (password robuste, 2FA opzionale)
☐ Backup regolari con cifratura
☐ Registri delle modifiche attivati
☐ Cancellazione automatica alla scadenza configurata

Hosting e fornitore

☐ I dati sono ospitati nell'UE
☐ Il fornitore è certificato ISO 27001 o equivalente
☐ Nessun trasferimento verso paesi terzi senza un adeguato livello di protezione
☐ Il fornitore ha nominato un responsabile della protezione dei dati

Diritti dei dipendenti

☐ I dipendenti possono consultare i propri dati (trasparenza)
☐ Le richieste di accesso possono essere elaborate
☐ Le rettifiche sono possibili e vengono documentate
☐ La cancellazione dei dati al termine del rapporto di lavoro è regolamentata

Errori tipici in materia di GDPR nella rilevazione presenze

Errore 1: Nessuna informazione ai dipendenti

Molte aziende introducono nuovi sistemi di rilevazione presenze senza informare i dipendenti sulla natura e sull'entità del trattamento dei dati. Questo viola l'obbligo di trasparenza.

Soluzione: Inviare un foglio informativo o un'e-mail con tutti i dettagli rilevanti.

Errore 2: Diritti di accesso troppo ampi

Spesso troppe persone hanno accesso a dati orari sensibili – ad esempio l'intero ufficio contabile invece della sola persona responsabile.

Soluzione: Assegnare i diritti di accesso secondo il principio del need-to-know.

Errore 3: DPA mancante con il fornitore del software

Nel caso di soluzioni cloud il fornitore è responsabile del trattamento – senza DPA si configura una violazione del GDPR.

Soluzione: Richiedere il DPA al fornitore e farlo firmare.

Errore 4: Conservazione eccessivamente prolungata

I dati di rilevazione presenze vengono spesso conservati per anni, sebbene il termine legale sia già scaduto da tempo.

Soluzione: Elaborare un piano di cancellazione e configurare la cancellazione automatica alla scadenza.

Errore 5: GPS tracking senza base giuridica

I dati di localizzazione vengono raccolti senza che sia stato dimostrato un legittimo interesse o che i dipendenti siano stati informati.

Soluzione: Effettuare una valutazione d'impatto sulla protezione dei dati, concludere un accordo aziendale, informare i dipendenti.

Cosa fare in caso di violazioni del GDPR?

Se si constata che la propria rilevazione presenze non è conforme al GDPR:

1. Valutare il rischio

Quali dati sono coinvolti?
Quanti dipendenti sono coinvolti?
Sussiste un rischio elevato per i diritti degli interessati?

2. Rimediare immediatamente alle carenze

Limitare i diritti di accesso
Integrare i contratti mancanti (DPA)
Informare i dipendenti
Migliorare le misure di sicurezza tecniche

3. Documentare le misure adottate

Registrare quali problemi sono stati individuati e quali misure sono state intraprese. Questa documentazione dimostra il vostro impegno per la conformità.

4. Consultare esperti

In casi complessi è opportuno consultare il proprio responsabile della protezione dei dati o un esperto in materia.

Esempio pratico: ispezione da parte di un'autorità

Immaginate: un'autorità annuncia un controllo e richiede le registrazioni degli orari di lavoro degli ultimi 12 mesi per tutti i dipendenti.

Scenario 1: Fogli presenze cartacei

Si cercano i raccoglitori (dov'era il raccoglitore di marzo?)
Alcuni foglietti sono illeggibili o mancanti
Le ore sono state in parte inserite successivamente
Un'analisi completa richiede giorni
L'ispezione evidenzia lacune e incongruenze

Risultato: Sanzioni amministrative e obbligo di adeguamento.

Scenario 2: Rilevazione presenze digitale

Si apre il sistema e si genera un report per il periodo richiesto
Tutti i dati sono completi, tracciabili e ordinati cronologicamente
L'esportazione in PDF è pronta in meno di 2 minuti
Le modifiche sono documentate in modo trasparente
L'ispezione si svolge senza intoppi

Risultato: Nessuna contestazione, chiusura positiva.

Conclusione: la conformità al GDPR è realizzabile – con la soluzione giusta

Il GDPR non è un ostacolo alla rilevazione digitale delle presenze – al contrario: i sistemi moderni soddisfano i requisiti meglio della carta o di Excel.

I principali fattori di successo:

� Scegliete un fornitore con hosting UE e DPA
� Implementate diritti di accesso basati sui ruoli
� Informate i vostri dipendenti in modo trasparente
� Utilizzate trasmissione e archiviazione cifrate
� Configurate la cancellazione automatica alla scadenza
� Documentate le vostre misure

Chi rispetta questi punti può implementare la rilevazione presenze in modo conforme alla legge e alla normativa sulla protezione dei dati – e beneficia allo stesso tempo dei vantaggi dei processi digitali: meno burocrazia, maggiore chiarezza, migliore tracciabilità.

La conformità al GDPR non è un lusso – è un obbligo. Ma è anche un'opportunità per impostare correttamente i processi sin dall'inizio.