RGPD in HR: Trattamento dei Dati dei Dipendenti

La gestione delle risorse umane genera, ogni giorno, un volume considerevole di dati personali: contratti di lavoro, buste paga, dati sanitari, valutazioni di prestazioni, coordinate bancarie... Dall'entrata in vigore del Regolamento Generale sulla Protezione dei Dati (RGPD) nel maggio 2018, i dipartimenti HR sono diventati attori centrali della conformità all'interno delle organizzazioni. Tuttavia, secondo il rapporto di attività 2024 della CNIL, il settore delle risorse umane rimane uno dei tre ambiti più frequentemente coinvolti nei controlli. Questo articolo ti guida attraverso gli obblighi chiave, le migliori pratiche e gli strumenti disponibili per trattare i dati dei tuoi dipendenti in piena conformità.

Quali dati personali trattano gli HR?

Le categorie di dati comuni

I servizi HR manipolano uno spettro molto ampio di dati personali. Si distinguono due grandi famiglie:

I dati ordinari, raccolti nel contesto del contratto di lavoro: nome, cognome, indirizzo, numero di previdenza sociale, IBAN, CV, diplomi, storico professionale, valutazioni annuali, orari di lavoro, dati di presenza e assenza.

I dati sensibili, soggetti a restrizioni rafforzate ai sensi dell'articolo 9 del RGPD: dati sanitari (malattie, dichiarazioni di infortunio sul lavoro, restrizioni mediche), dati sindacali (iscrizione a un sindacato, mandati rappresentativi), dati relativi a condanne penali in determinati contesti di reclutamento.

Questi ultimi possono essere trattati solo a condizione che esista un'eccezione esplicita prevista dal regolamento, come l'esecuzione degli obblighi legali in materia di diritto del lavoro o il consenso esplicito della persona interessata.

Il caso particolare del reclutamento

La fase di reclutamento genera trattamenti specifici, spesso mal disciplinati. La raccolta di CV, lettere di motivazione e risultati dei test implica durate di conservazione precise: secondo le raccomandazioni della CNIL, i dati dei candidati non selezionati devono essere cancellati o anonimizzati entro un periodo massimo di due anni dall'ultimo contatto. Conservare i CV indefinitamente in una directory condivisa non sicura costituisce una violazione caratterizzata.

Il ricorso a strumenti di tracciamento negli ATS (Applicant Tracking Systems) o ad algoritmi di analisi comportamentale deve essere menzionato esplicitamente nella politica sulla privacy trasmessa ai candidati, in conformità agli articoli 13 e 14 del RGPD.

Le basi legali del trattamento in contesto HR

Identificare la base legale corretta

Il RGPD impone che ogni trattamento di dati personali si basi su una delle sei basi legali definite nell'articolo 6. Nel contesto HR, tre basi sono principalmente utilizzate:

• L'esecuzione del contratto di lavoro (art. 6.1.b): giustifica il trattamento dei dati necessari per la gestione degli stipendi, dei congedi o della formazione.

• L'obbligo legale (art. 6.1.c): si applica alle dichiarazioni sociali obbligatorie (DSN), ai registri del personale o al monitoraggio degli infortuni sul lavoro.

• L'interesse legittimo (art. 6.1.f): può essere invocato per trattamenti come la gestione dei badge di accesso o la videosorveglianza, a condizione di un rigoroso test di bilanciamento.

Il consenso (art. 6.1.a) è invece una base legale fragile nel contesto di lavoro: la CNIL e il Comitato europeo per la protezione dei dati (CEPD) ricordano che lo squilibrio strutturale tra datore di lavoro e dipendente rende difficile provare un consenso libero. Deve essere utilizzato solo come ultimo ricorso.

Il registro dei trattamenti, obbligo imprescindibile

Qualsiasi organizzazione che impiega almeno 250 persone o che tratta dati sensibili su scala più piccola deve tenere un registro delle attività di trattamento (art. 30 del RGPD). In HR, questo registro deve documentare, per ogni trattamento: la finalità, le categorie di dati, i destinatari, le durate di conservazione e le misure di sicurezza implementate.

Questo documento, messo a disposizione della CNIL in caso di controllo, è anche uno strumento di gestione prezioso. Combinato con una soluzione di firma elettronica dedicata agli HR, consente di tracciare e marcare temporalmente ogni fase del ciclo di vita di un documento HR, rafforzando così l'audibilità dei processi.

Diritti dei dipendenti e obblighi del datore di lavoro

Informare i dipendenti: un obbligo immediato

L'articolo 13 del RGPD impone di informare le persone interessate al momento della raccolta dei loro dati. In pratica, gli HR devono fornire ai dipendenti — idealmente al momento della firma del contratto di lavoro — un avviso informativo RGPD che dettagli: l'identità del responsabile del trattamento, le finalità e le basi legali, la durata di conservazione, i diritti disponibili e i contatti del DPO (Responsabile della Protezione dei Dati) se l'azienda ne dispone.

Digitalizzare e proteggere questo scambio è essenziale. Il ricorso alla firma elettronica in azienda per la consegna di questo avviso garantisce una prova di consegna marcata temporalmente e incontestabile, allineata alle esigenze del regolamento eIDAS.

I diritti dei dipendenti da rispettare imperativamente

I collaboratori dispongono di diritti estesi sui loro dati:

• Diritto di accesso (art. 15): ogni dipendente può richiedere una copia di tutti i dati che lo riguardano trattati dal datore di lavoro.

• Diritto di rettifica (art. 16): correzione di un dato inesatto (es. indirizzo postale, IBAN).

• Diritto all'oblio (art. 17): applicabile in determinati casi, in particolare dopo la fine del contratto e il decorso dei termini legali di conservazione.

• Diritto di opposizione (art. 21): il dipendente può opporsi a un trattamento fondato sull'interesse legittimo.

• Diritto alla limitazione (art. 18): congelamento temporaneo di un trattamento contestato.

Il datore di lavoro dispone di un termine di un mese per rispondere a qualsiasi richiesta di esercizio dei diritti, estendibile a tre mesi in caso di complessità (art. 12 del RGPD).

Sicurezza dei dati HR e gestione dei sub-fornitori

Misure tecniche e organizzative

L'articolo 32 del RGPD impone l'implementazione di misure di sicurezza "appropriate al rischio". Per i dati HR, le migliori pratiche includono:

• Crittografia dei file contenenti dati sensibili (buste paga, fascicoli medici).

• Controllo degli accessi: principio del minimo privilegio — un gestore della paie non ha accesso ai dati disciplinari.

• Registrazione degli accessi ai sistemi HR (SIRH, strumenti di paie).

• Piano di risposta alle violazioni: in caso di violazione dei dati, il datore di lavoro ha 72 ore per notificare la CNIL (art. 33) e potenzialmente le persone interessate se il rischio è elevato (art. 34).

Un audit completo tramite la guida della firma elettronica può aiutare i team HR a identificare i trattamenti non sicuri persistenti su supporto cartaceo e a digitalizzarli in modo conforme.

Incadrare i fornitori HR con DPA

I servizi HR si avvalgono di numerosi sub-fornitori: software di paie, piattaforme di formazione, strumenti di gestione dei tempi. Ogni fornitore che accede a dati personali deve essere soggetto a un accordo di trattamento dei dati (Data Processing Agreement — DPA), in conformità all'articolo 28 del RGPD. Questo contratto deve precisare le istruzioni di trattamento, le garanzie di sicurezza, le modalità di restituzione o distruzione dei dati e gli obblighi in caso di violazione.

La selezione di fornitori che ospitano le loro infrastrutture nell'Unione Europea, o disciplinati da clausole contrattuali standard (CCS) approvate dalla Commissione, rimane un requisito fondamentale per evitare trasferimenti illeciti al di fuori dell'UE.

Durate di conservazione: una questione strutturale

Le durate legali applicabili al fascicolo del dipendente

La durata di conservazione dei dati HR è disciplinata da un insieme di testi: il RGPD (principio di limitazione della conservazione, art. 5.1.e), il Codice del lavoro e varie disposizioni fiscali e sociali. In pratica, i principali termini da rispettare sono:

| Tipo di documento | Durata minima di conservazione | |---|---| | Busta paga | 5 anni (prescrizione sociale) | | Contratto di lavoro | 5 anni dopo la fine del contratto | | Dati di paie (DSN) | 3 anni (controllo URSSAF) | | Registro del personale | 5 anni dopo la partenza del dipendente | | Dati disciplinari | Durata proporzionale alla misura | | Fascicolo medico (medicina del lavoro) | 50 anni (regolamentazione specifica) |

L'implementazione di una politica di archiviazione e cancellazione automatizzata nel SIRH, abbinata a flussi di lavoro di firma elettronica che marcano temporalmente la creazione dei documenti, costituisce oggi la migliore pratica per dimostrare la conformità alla CNIL.

Le trappole da evitare

Gli errori più frequenti osservati durante i controlli CNIL in materia di dati HR sono: la conservazione indefinita di CV di candidati non selezionati, il mantenimento degli accessi informatici di ex dipendenti, l'assenza di crittografia dei file di paie esportati e la non cancellazione dei dati di badgeaggio oltre i termini normativi. Per proteggere questi punti, consultare il comparativo delle soluzioni di firma elettronica consente di identificare gli strumenti che integrano nativamente funzioni di archiviazione probante e gestione del ciclo di vita dei documenti.

Quadro legale applicabile al trattamento dei dati HR

Il trattamento dei dati personali dei collaboratori si inscrive in un quadro normativo denso, che articola diversi livelli di regolamentazione.

Il Regolamento (UE) 2016/679 — RGPD costituisce la pietra angolare. I suoi articoli 5 a 11 definiscono i principi fondamentali (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza). L'articolo 9 stabilisce le condizioni rigorose applicabili alle categorie particolari di dati, inclusi i dati sanitari e sindacali, particolarmente frequenti in HR. L'articolo 83 prevede ammende che possono raggiungere 20 milioni di euro o il 4% del fatturato mondiale in caso di violazione grave.

La legge Informatica e Libertà modificata (legge n. 78-17 del 6 gennaio 1978), nella sua versione consolidata, adatta il RGPD al diritto francese. Conferisce alla CNIL i suoi poteri di controllo e sanzione, e prevede in particolare deroghe settoriali per i dati sanitari in medicina del lavoro.

Il Codice del lavoro disciplina i trattamenti relativi alla sorveglianza dei dipendenti (art. L. 1121-1 sul rispetto della vita privata), alla consultazione dei rappresentanti dei lavoratori su strumenti digitali (art. L. 2312-38) e ai registri obbligatori.

Il Regolamento eIDAS (n. 910/2014), completato da eIDAS 2.0 (Regolamento UE 2024/1183), disciplina il valore giuridico delle firme elettroniche apposte sui documenti HR. Una firma elettronica qualificata (SEQ), conforme all'allegato I di eIDAS e alle norme ETSI EN 319 132 e ETSI EN 319 122, offre la presunzione di equivalenza alla firma autografa ai sensi dell'articolo 1367 del Codice civile francese.

L'articolo 1366 del Codice civile stabilisce che "lo scritto elettronico ha lo stesso valore probatorio dello scritto su supporto cartaceo, a condizione che possa essere debitamente identificata la persona da cui emana e che sia redatto e conservato in condizioni tali da garantirne l'integrità". Questa disposizione è direttamente applicabile ai contratti di lavoro, alle modifiche, agli accordi di riservatezza e ad altri documenti HR dematerializzati.

La direttiva NIS2 (UE 2022/2555), trasposta nel diritto francese dalla legge del 26 febbraio 2025, impone alle entità essenziali e importanti (in particolare le grandi imprese industriali e i fornitori di servizi digitali) requisiti rafforzati in materia di gestione dei rischi legati alla sicurezza delle informazioni, inclusa la protezione dei dati HR sensibili.

Le sanzioni pronunciate dalla CNIL sono in forte aumento: nel 2024, l'importo totale delle ammende supera 100 milioni di euro, con diverse decisioni che coinvolgono direttamente lacune nella gestione dei dati dei dipendenti. Il mancato rispetto delle durate di conservazione, l'assenza di DPA con i sub-fornitori HR e l'insufficienza delle misure di sicurezza figurano tra i reclami più frequentemente ritenuti.

Scenari di utilizzo: la conformità RGPD in HR in pratica

Scenario 1 — Una PMI industriale di 450 dipendenti digitalizza i suoi processi di onboarding

Un'azienda di medie dimensioni nel settore industriale, distribuita su tre siti in Francia, gestiva i suoi contratti di lavoro e modifiche su supporto cartaceo. I fascicoli dei nuovi assunti non venivano trasmessi al servizio paie che dopo un ritardo medio di 12 giorni lavorativi, generando errori di paie in circa l'8% dei casi. Inoltre, nessun avviso RGPD veniva consegnato formalmente ai nuovi assunti: le informazioni figuravano solo in calce al regolamento interno, non firmato separatamente.

Dopo l'implementazione di una soluzione di firma elettronica integrata nel SIRH, con consegna simultanea di un avviso RGPD co-firmato dal dipendente e dal DRH, l'azienda ha ridotto il ritardo di onboarding documentario a 2 giorni lavorativi (riduzione dell'83%). Gli errori di paie dovuti a dati mancanti sono scesi a meno dell'1%. Ogni documento firmato viene archiviato con marca temporale qualificata, fornendo una prova opponibile in caso di controllo della CNIL o di contenzioso.

Scenario 2 — Un gruppo di distribuzione di 1.200 dipendenti mette in conformità la sua politica di conservazione

Un gruppo che opera nel settore della distribuzione specializzata ha subito un controllo della CNIL a seguito di un reclamo di un ex dipendente. L'ispezione ha rivelato che file Excel contenenti dati di paie di dipendenti partiti da più di 8 anni erano ancora accessibili su un server condiviso non sicuro, senza crittografia. Un avvertimento formale è stato pronunciato, accompagnato da un'ingiunzione di conformità entro 3 mesi.

Il gruppo ha quindi intrapreso un audit completo dei suoi trattamenti HR, cartografato le sue 23 attività di trattamento e implementato un piano di cancellazione automatizzata attivato dal SIRH. I documenti firmati elettronicamente sono stati migrati a un caveau digitale con durate di conservazione configurate secondo gli obblighi legali. Il DPO ha prodotto un registro completo dei trattamenti HR, presentato durante un secondo controllo della CNIL 18 mesi dopo, che si è concluso senza conseguenze. Il costo della conformità è stato stimato a meno del 60% dell'importo di una potenziale multa.

Scenario 3 — Uno studio di consulenza HR di 35 persone protegge i dati dei propri consulenti e di quelli dei clienti

Uno studio specializzato in risorse umane gestisce sia i dati dei propri consulenti che quelli dei candidati e dei dipendenti delle proprie aziende clienti (nel contesto di missioni di assessment o outplacement). Si ritrova così in una doppia veste: responsabile del trattamento per il proprio HR e sub-fornitore (o co-responsabile) per i dati di terzi.

Lo studio ha implementato un'architettura documentaria differenziata: firme elettroniche semplici per gli scambi interni ordinari, firme avanzate per i contratti di missione con i clienti e accordi di trattamento dei dati (DPA) sistematicamente integrati nelle lettere di missione. Tutti i consulenti hanno ricevuto una carta RGPD aggiornata, firmata elettronicamente e conservata in un registro dedicato. Questa organizzazione ha permesso allo studio di affermare la propria conformità come argomento commerciale presso i grandi clienti soggetti a audit dei fornitori rigorosi, riducendo il tempo medio di contrattualizzazione da 7 a 2 settimane.

Conclusione

Il RGPD impone alle direzioni delle risorse umane una trasformazione profonda delle loro pratiche: identificazione rigorosa delle basi legali, informazione effettiva dei dipendenti, gestione dei diritti, incadramento contrattuale dei sub-fornitori, protezione dei dati e rispetto delle durate di conservazione. Questi obblighi non sono semplici formalità amministrative, ma condizionano la capacità dell'azienda di evitare sanzioni che possono raggiungere diversi milioni di euro e di mantenere la fiducia dei suoi team.

La digitalizzazione dei processi HR, tramite soluzioni di firma elettronica conformi a eIDAS, costituisce uno dei leve più efficaci per conciliare efficienza operativa e conformità normativa. Certyneo accompagna i team HR in questa transizione, dalla firma del contratto di assunzione all'archiviazione sicura dei fascicoli dei dipendenti.

Scopri come Certyneo può proteggere i tuoi processi HR consultando la nostra offerta dedicata ai team HR o iniziando gratuitamente per testare la soluzione senza impegno.