Testo dell'articoloVigente
Il datore di lavoro tratta dati personali dei dipendenti in qualità di titolare del trattamento e deve rispettare il GDPR: fornire un’informativa completa, trattare solo i dati necessari, garantire misure di sicurezza adeguate e consentire l’esercizio dei diritti (accesso, rettifica, cancellazione). I dati particolari — salute, dati sindacali — hanno tutele rafforzate.
Tabella riepilogativa
| Diritto | Contenuto | Termine di risposta del datore |
|---|---|---|
| Accesso (art. 15) | Sapere quali dati personali vengono trattati e ottenerne copia | 1 mese (prorogabile di altri 2) |
| Rettifica (art. 16) | Correggere dati inesatti o incompleti | 1 mese |
| Cancellazione (art. 17) | Ottenere la cancellazione in presenza dei presupposti di legge | 1 mese |
| Limitazione (art. 18) | Sospendere temporaneamente il trattamento in caso di contestazione | 1 mese |
| Opposizione (art. 21) | Opporsi al trattamento per motivi legati alla situazione particolare | Valutazione caso per caso |
| Portabilità (art. 20) | Ricevere i propri dati in formato strutturato e trasferirli ad altro titolare | 1 mese |
Il datore come titolare del trattamento
Nel rapporto di lavoro il datore è il titolare del trattamento dei dati personali dei dipendenti. Questo significa che deve determinare le finalità e i mezzi del trattamento nel rispetto del GDPR: raccogliere solo i dati necessari e pertinenti alla gestione del rapporto (principio di minimizzazione), conservarli per il tempo strettamente necessario, adottare misure di sicurezza adeguate e fornire al lavoratore un’informativa chiara e completa prima di iniziare il trattamento.
I dati particolari nel rapporto di lavoro
Alcune categorie di dati hanno tutele rafforzate ai sensi dell’art. 9 GDPR: dati sulla salute (cartella sanitaria, certificati di malattia, idoneità lavorativa), dati sull’appartenenza sindacale, dati su condanne penali. Il datore può trattarli solo in presenza di una specifica base giuridica (obbligo di legge, esecuzione del contratto di lavoro) e con garanzie aggiuntive. Non può, ad esempio, comunicare ai colleghi la diagnosi di un dipendente in malattia.
Come esercitare i diritti GDPR verso il datore
Il lavoratore può esercitare i propri diritti inviando al datore — nella qualità di titolare del trattamento — una richiesta scritta (anche via e-mail). Il datore deve rispondere entro un mese, prorogabile di ulteriori due mesi per richieste complesse. In caso di mancata risposta o risposta insoddisfacente, il lavoratore può rivolgersi al Garante per la protezione dei dati personali o adire l’autorità giudiziaria.
Casi pratici
Tizio sospetta che il datore registri i suoi accessi informatici in modo eccessivo. Esercita il diritto di accesso ex art. 15 GDPR: il datore deve fornire entro un mese copia di tutti i dati personali trattati e indicare le finalità. Se il trattamento non ha base giuridica, Tizio può chiedere la limitazione o la cancellazione.
Il responsabile di Caia informa i colleghi della diagnosi contenuta nel suo certificato di malattia. Si tratta di dato sulla salute (categoria particolare): la comunicazione a soggetti non autorizzati è una violazione del GDPR. Caia può presentare reclamo al Garante.
Sempronio ha lasciato l’azienda 15 anni fa e scopre che il vecchio datore conserva ancora tutte le sue buste paga. Il principio di limitazione della conservazione del GDPR impone di cancellare i dati non più necessari; Sempronio può chiedere la cancellazione dei dati eccedenti, fermo restando l’obbligo di conservazione previsto da specifiche norme fiscali e previdenziali.
Domande frequenti
Il datore può comunicare a terzi i miei dati sanitari?
No, salvo che vi sia una base giuridica specifica (obbligo di legge, es. comunicazione all’INAIL in caso di infortunio). I dati sulla salute sono dati particolari: il datore non può divulgarli a colleghi, clienti o altri soggetti non autorizzati.
Ho diritto a sapere cosa fa il datore con i miei dati?
Sì. Il datore deve fornire un’informativa completa ai sensi degli artt. 13-14 GDPR. Puoi anche esercitare il diritto di accesso (art. 15) per ottenere copia dei dati trattati e informazioni sulle finalità, i destinatari e i tempi di conservazione.
Il datore può conservare i dati dei dipendenti per sempre?
No. Il GDPR impone il principio di limitazione della conservazione: i dati devono essere conservati per il tempo necessario alle finalità per cui sono stati raccolti. Alcune norme fiscali e previdenziali stabiliscono termini minimi di conservazione (es. 10 anni per le scritture contabili), ma oltre tali obblighi i dati vanno cancellati.
Cosa posso fare se il datore non risponde alla mia richiesta GDPR?
Puoi presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o ricorrere all’autorità giudiziaria. Il Garante può avviare un’istruttoria e, se riscontra violazioni, applicare sanzioni al titolare del trattamento.
I sindacati possono ricevere i miei dati dal datore?
Solo in presenza di base giuridica: ad esempio, l’appartenenza sindacale può essere comunicata al sindacato se il lavoratore ha espressamente autorizzato la delega delle quote. Il datore non può comunicare autonomamente dati sull’iscrizione sindacale senza il consenso del lavoratore.
Questa guida ha finalità divulgativa ed è aggiornata alla normativa vigente nel 2026. Gli importi, le durate e le condizioni possono variare in base al CCNL applicato e alla situazione individuale: per il proprio caso è consigliabile rivolgersi a un consulente del lavoro, al sindacato di categoria, al patronato o all’Ispettorato Territoriale del Lavoro.
Domande frequenti
Il datore può comunicare a terzi i miei dati sanitari?
No, salvo che vi sia una base giuridica specifica (obbligo di legge, es. comunicazione all'INAIL in caso di infortunio). I dati sulla salute sono dati particolari: il datore non può divulgarli a colleghi, clienti o altri soggetti non autorizzati.
Ho diritto a sapere cosa fa il datore con i miei dati?
Sì. Il datore deve fornire un'informativa completa ai sensi degli artt. 13-14 GDPR. Puoi anche esercitare il diritto di accesso (art. 15) per ottenere copia dei dati trattati e informazioni sulle finalità, i destinatari e i tempi di conservazione.
Il datore può conservare i dati dei dipendenti per sempre?
No. Il GDPR impone il principio di limitazione della conservazione: i dati devono essere conservati per il tempo necessario alle finalità per cui sono stati raccolti. Alcune norme fiscali e previdenziali stabiliscono termini minimi di conservazione (es. 10 anni per le scritture contabili), ma oltre tali obblighi i dati vanno cancellati.
Cosa posso fare se il datore non risponde alla mia richiesta GDPR?
Puoi presentare reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it) o ricorrere all'autorità giudiziaria. Il Garante può avviare un'istruttoria e, se riscontra violazioni, applicare sanzioni al titolare del trattamento.
I sindacati possono ricevere i miei dati dal datore?
Solo in presenza di base giuridica: ad esempio, l'appartenenza sindacale può essere comunicata al sindacato se il lavoratore ha espressamente autorizzato la delega delle quote. Il datore non può comunicare autonomamente dati sull'iscrizione sindacale senza il consenso del lavoratore.
Vedi anche