Guida GDPR 2026 🇮🇹

GDPR e Timbratura Dipendenti: Guida Completa

Raccogliere i dati di timbratura dei dipendenti è lecito — ma solo se fatto nel rispetto del GDPR. Scopri le basi giuridiche corrette, gli obblighi del datore di lavoro e come scegliere un software presenze conforme alla normativa italiana.

In sintesi: Il trattamento dei dati di timbratura rientra nell'art. 6(1)(b) e (c) del GDPR — esecuzione del contratto di lavoro e obbligo legale. Il consenso del dipendente non è la base giuridica corretta. I dati devono essere conservati per almeno 5 anni e protetti con misure adeguate.

Prova NoBadge gratis 15 giorni Leggi la normativa presenze

Nessuna carta di credito richiesta · Server UE · Conforme GDPR

Contenuto della guida

  1. 1. Cosa sono i dati di timbratura e perché sono dati personali
  2. 2. La base giuridica corretta: contratto, obbligo legale o consenso?
  3. 3. L'informativa privacy per i dipendenti
  4. 4. Conservazione dei dati: per quanto tempo?
  5. 5. Timbratura GPS e GDPR: cosa è permesso
  6. 6. Gli obblighi del datore di lavoro
  7. 7. Come scegliere un software presenze conforme GDPR
  8. 8. FAQ: domande frequenti su GDPR e timbratura
Fondamenti GDPR

I dati di timbratura sono dati personali: cosa dice il GDPR

Quando un dipendente timbra l'entrata o l'uscita — che sia tramite badge fisico, app GPS o QR code — vengono generati dati che identificano una persona fisica in un preciso momento e luogo. Secondo il Regolamento UE 2016/679 (GDPR), questi dati rientrano a pieno titolo nella categoria dei dati personali e il loro trattamento deve rispettare i principi di liceità, correttezza e trasparenza.

Orari di ingresso/uscita

Identificano la persona e rivelano abitudini, orari di vita e comportamenti lavorativi.

Dati di geolocalizzazione

Le coordinate GPS al momento della timbratura sono dati personali sensibili al contesto.

Ferie, permessi, assenze

Possono rivelare indirettamente informazioni sullo stato di salute o sulla vita privata.

"Qualsiasi informazione riguardante una persona fisica identificata o identificabile costituisce un dato personale." — Art. 4, GDPR UE 2016/679

Il titolare del trattamento — cioè il datore di lavoro — è responsabile di garantire che la raccolta, l'archiviazione e l'utilizzo di questi dati avvenga in modo lecito e proporzionato allo scopo. La violazione del GDPR in materia di privacy rilevazione presenze può comportare sanzioni fino al 4% del fatturato globale annuo o 20 milioni di euro.

Base giuridica

Quale base giuridica usare per la timbratura dipendenti?

Questo è il punto più frainteso dalla maggior parte dei datori di lavoro italiani. Molte aziende chiedono ai dipendenti di "firmare un consenso" per la rilevazione presenze — ma questo approccio è sbagliato e potenzialmente invalido secondo il GDPR.

❌ Perché il consenso non funziona nel rapporto di lavoro

Il GDPR richiede che il consenso sia libero, specifico, informato e inequivocabile. Nel contesto lavorativo, il rapporto di dipendenza tra datore e lavoratore rende il consenso strutturalmente non libero. Il Garante Privacy italiano ha confermato questa posizione: il consenso non è una base giuridica valida per trattare dati nell'ambito del rapporto di lavoro subordinato.

Le basi giuridiche corrette per la conformità GDPR presenze

Art. 6(1)(b) — Esecuzione del contratto

Il trattamento è necessario per l'esecuzione del contratto di lavoro. La rilevazione delle presenze è funzionale al calcolo della retribuzione, alla verifica dell'orario di lavoro e alla gestione del rapporto contrattuale. Questa è la base principale.

Art. 6(1)(c) — Obbligo legale

Il D.Lgs. 66/2003 e il D.Lgs. 81/2015 impongono al datore di lavoro di registrare l'orario di lavoro e di conservarne la documentazione. La rilevazione presenze è quindi un obbligo di legge, non una scelta discrezionale.

Art. 6(1)(f) — Legittimo interesse (uso limitato)

Può essere invocato per scopi accessori come la prevenzione delle frodi nelle timbrature, purché sia effettuato un bilanciamento degli interessi e non prevalga l'interesse del dipendente alla privacy. Richiede una valutazione caso per caso.

Trasparenza

L'informativa privacy per la rilevazione presenze dipendenti

Indipendentemente dalla base giuridica utilizzata, il principio di trasparenza del GDPR impone al datore di lavoro di informare i dipendenti del trattamento dei loro dati. L'informativa privacy deve essere fornita prima dell'inizio del trattamento — idealmente al momento dell'assunzione o prima dell'attivazione del sistema di timbratura.

Cosa deve contenere l'informativa per la timbratura

Identità del titolare

Chi è il datore di lavoro responsabile del trattamento e come contattarlo

Finalità e base giuridica

Perché vengono raccolti i dati (calcolo stipendi, sicurezza, obblighi legali) e su quale base

Categorie di dati trattati

Orari, geolocalizzazione, ferie, permessi, assenze per malattia

Periodo di conservazione

Per quanto tempo vengono conservati i dati (minimo 5 anni per obblighi fiscali/contributivi)

Destinatari dei dati

Chi può accedere ai dati: consulente del lavoro, INPS, Ispettorato del Lavoro, provider software

Diritti dell'interessato

Accesso, rettifica, cancellazione, limitazione, portabilità e opposizione al trattamento

Consiglio pratico per le PMI

Se utilizzi un software di rilevazione presenze come NoBadge, il provider è un responsabile del trattamento ai sensi dell'art. 28 GDPR. Devi stipulare con lui un Data Processing Agreement (DPA) — un contratto che regola come il software gestisce i dati dei tuoi dipendenti. NoBadge fornisce questo documento già pronto.

Conservazione dati

Per quanto tempo conservare i dati di timbratura?

Il GDPR impone il principio di limitazione della conservazione: i dati non devono essere tenuti più a lungo di quanto necessario per lo scopo per cui sono stati raccolti. Tuttavia, nel caso dei dati di timbratura dipendenti, diverse normative italiane impongono periodi minimi di conservazione che il datore di lavoro deve rispettare.

5

anni — Obblighi fiscali e contributivi

I registri delle presenze sono necessari per la verifica dei contributi previdenziali (INPS) e delle imposte. Il D.P.R. 600/1973 e il Codice Civile impongono la conservazione per almeno 5 anni.

10

anni — Contabilità generale

I libri contabili e i documenti correlati, inclusi quelli che attestano il costo del lavoro, devono essere conservati per 10 anni ai sensi dell'art. 2220 c.c.

Controversie legali

In caso di contenzioso lavorativo, i dati di timbratura possono costituire prova. È consigliabile conservarli per tutta la durata del rapporto di lavoro più 5 anni dalla cessazione.

"NoBadge archivia automaticamente i dati di timbratura per 5 anni su server italiani conformi GDPR, con crittografia end-to-end. I report sono sempre disponibili per l'Ispettorato del Lavoro."

Timbratura GPS

Timbratura GPS e GDPR: cosa è permesso e cosa no

La timbratura GPS è uno degli strumenti più efficaci per le aziende con dipendenti fuori sede — ma è anche quella che solleva più dubbi in materia di dati timbratura GDPR. La buona notizia: è perfettamente legale se implementata correttamente.

Rilevazione puntuale: registrare la posizione GPS solo al momento della timbratura (ingresso/uscita) è lecito. Non costituisce controllo a distanza continuativo.

Geofencing: definire un'area geografica entro cui la timbratura è valida è lecito, purché sia proporzionato e comunicato ai dipendenti.

Tracciamento continuo: monitorare la posizione del dipendente durante tutto il turno di lavoro è vietato dall'art. 4 dello Statuto dei Lavoratori (L. 300/1970), salvo accordo sindacale.

Tracciamento fuori orario: assolutamente vietato monitorare la posizione del lavoratore al di fuori dell'orario di lavoro.

Addetta pulizie che timbra presenza fuori sede tramite GPS su smartphone NoBadge

Come funziona la timbratura GPS di NoBadge nel rispetto del GDPR

Solo al momento della timbratura

La posizione viene acquisita solo quando il dipendente timbra, non in modo continuo

Anti-spoofing senza sorveglianza

Verifica che la posizione sia reale senza tracciare i movimenti del lavoratore

Privacy by design

I dati GPS non vengono condivisi con terze parti né usati per finalità diverse dalla presenza

Checklist obblighi

Gli obblighi del datore di lavoro per la conformità GDPR presenze

Ecco la checklist completa per essere in regola con il GDPR nella gestione delle presenze dei dipendenti in Italia.

Redigere l'informativa privacy

Documento specifico per il trattamento dei dati di rilevazione presenze, da consegnare prima dell'attivazione del sistema

Stipulare il DPA con il provider

Data Processing Agreement con il fornitore del software presenze, obbligatorio ex art. 28 GDPR

Aggiornare il Registro dei Trattamenti

Includere il trattamento "rilevazione presenze" nel Registro delle Attività di Trattamento (obbligatorio per aziende con >250 dipendenti, consigliato per tutte)

Verificare la sicurezza del sistema

Il software deve usare crittografia, autenticazione sicura e accesso limitato ai soli soggetti autorizzati

Gestire i diritti degli interessati

Predisporre procedure per rispondere alle richieste di accesso, rettifica, cancellazione entro 30 giorni

Valutare se serve una DPIA

La Data Protection Impact Assessment è obbligatoria se si usa la geolocalizzazione su larga scala o sistemi biometrici

Nominare gli autorizzati al trattamento

HR, responsabili e consulenti del lavoro che accedono ai dati devono essere formalmente autorizzati per iscritto

Conservare i dati nei termini di legge

Minimo 5 anni per obblighi fiscali/contributivi, con procedure di cancellazione sicura alla scadenza

Titolare PMI italiana che gestisce presenze dipendenti dal pannello admin NoBadge
Software presenze GDPR Italia

Come scegliere un software presenze conforme al GDPR

Non tutti i software di rilevazione presenze sono uguali dal punto di vista della conformità. Quando valuti un software presenze GDPR Italia, verifica sempre questi requisiti essenziali.

  • Server in Italia o UE: i dati non devono essere trasferiti fuori dall'Unione Europea senza garanzie adeguate

  • DPA disponibile: il provider deve fornire un contratto di responsabile del trattamento già pronto

  • Crittografia end-to-end: i dati devono essere protetti sia in transito che a riposo

  • Gestione accessi granulare: solo i soggetti autorizzati devono poter vedere i dati dei dipendenti

  • Log di audit: tracciabilità di chi ha acceduto ai dati e quando

NoBadge logo Made in Italy 🇮🇹

NoBadge: software presenze italiano, conforme GDPR by design

NoBadge è stato progettato fin dall'inizio per rispettare il GDPR e le normative italiane (D.Lgs 81/2015, CCNL). Non è un software estero adattato al mercato italiano — è un prodotto Made in Italy costruito conoscendo le specificità del diritto del lavoro italiano.

Server UE

Dati in Italia

Crittografia

End-to-end

DPA incluso

Art. 28 GDPR

5 anni

Archiviazione

Prova NoBadge gratis 15 giorni

Nessuna carta di credito · A partire da €5,04/utente/mese

NoBadge in numeri

Dati concreti per prendere la decisione giusta

500+

PMI italiane

già lo usano ogni giorno

10

settori diversi

edilizia, ristorazione, retail e altri

5 anni

archiviazione dati

su server italiani conformi GDPR

2 min

attivazione

nessuna installazione tecnica

Approfondisci questi argomenti correlati

Obbligo rilevazione presenze: cosa dice la legge

D.Lgs 81/2015 e normativa italiana →

Migliori app rilevazione presenze 2026

Confronto completo per PMI →

Timbratura GPS geolocalizzata

Come funziona l'anti-spoofing →
Domande frequenti

FAQ: GDPR e timbratura dipendenti

Le risposte alle domande più comuni su privacy e rilevazione presenze

Q Il datore di lavoro deve chiedere il consenso per la timbratura?

No. Il consenso non è la base giuridica corretta per la rilevazione presenze nel contesto lavorativo. Il Garante Privacy italiano ha chiarito che nel rapporto di lavoro subordinato il consenso non può essere considerato libero. La base giuridica corretta è l'art. 6(1)(b) GDPR (esecuzione del contratto) e l'art. 6(1)(c) (obbligo legale derivante dal D.Lgs 66/2003). Il datore di lavoro deve però fornire un'informativa privacy completa ai dipendenti.

Q La timbratura GPS viola la privacy dei dipendenti?

No, se implementata correttamente. La timbratura GPS che registra la posizione solo al momento della timbratura (ingresso/uscita) è lecita e non costituisce controllo a distanza ai sensi dell'art. 4 dello Statuto dei Lavoratori. È vietato invece il tracciamento continuo della posizione durante il turno. NoBadge registra la geolocalizzazione esclusivamente al momento della timbratura, rispettando pienamente il GDPR e il diritto del lavoro italiano.

Q Per quanto tempo si devono conservare i dati di timbratura?

I dati di rilevazione presenze devono essere conservati per almeno 5 anni per adempiere agli obblighi fiscali e contributivi (INPS, Agenzia delle Entrate). In caso di potenziali contenziosi lavorativi, è consigliabile conservarli per tutta la durata del rapporto di lavoro più 5 anni dalla cessazione. NoBadge archivia automaticamente i dati per 5 anni su server italiani conformi GDPR, con crittografia end-to-end.

Q NoBadge è conforme al GDPR?

Sì. NoBadge è un software italiano progettato con un approccio "privacy by design". I dati sono archiviati su server in Italia (Unione Europea), con crittografia end-to-end e accesso limitato ai soggetti autorizzati. NoBadge fornisce un Data Processing Agreement (DPA) ex art. 28 GDPR già pronto, report compatibili con l'Ispettorato del Lavoro e conservazione automatica per 5 anni. Il sistema è conforme anche al D.Lgs 81/2015 e ai principali CCNL di categoria.

Q Un dipendente può chiedere di vedere i propri dati di timbratura?

Sì, assolutamente. L'art. 15 del GDPR garantisce il diritto di accesso: ogni dipendente può richiedere una copia dei propri dati personali trattati dall'azienda, inclusi i dati di timbratura. Il datore di lavoro deve rispondere entro 30 giorni. Il dipendente ha anche il diritto di rettifica (art. 16) se i dati sono inesatti. Con NoBadge, i dipendenti possono visualizzare direttamente le proprie timbrature dall'app, riducendo il numero di richieste formali.

Q Serve un DPO (Data Protection Officer) per gestire le presenze?

Per la maggior parte delle PMI italiane, la nomina di un DPO non è obbligatoria per il solo trattamento dei dati di rilevazione presenze. Il DPO diventa obbligatorio quando il trattamento richiede un monitoraggio regolare e sistematico degli interessati su larga scala, o quando si trattano categorie particolari di dati (es. dati biometrici) su larga scala. Tuttavia, per aziende con numerosi dipendenti o che usano sistemi di geolocalizzazione avanzati, è consigliabile valutare con un legale la necessità di nominare un DPO.

Software italiano conforme GDPR 🇮🇹

Gestisci le presenze in modo
sicuro e conforme

NoBadge ti permette di rilevare le presenze dei dipendenti nel pieno rispetto del GDPR e delle normative italiane. Server UE, crittografia, DPA incluso e archiviazione automatica per 5 anni.

A partire da €5,04/utente/mese · Prezzo standard €6,04 · Paghi solo per chi timbra

Inizia la prova gratuita 15 giorni Prenota una demo gratuita

Nessuna carta di credito richiesta · Attivazione in 2 minuti · Conformità GDPR garantita