Skip to content

Onboarding e GDPR: i dati personali che rischi di raccogliere troppo presto

Nel ciclo di onboarding si concentrano alcuni dei rischi GDPR più sottovalutati in ambito HR: quali dati puoi raccogliere dal primo giorno, quali richiedono una base giuridica specifica e quali categorie particolari espongono l'azienda a sanzioni concrete.

Aggiornato il 8 giugno 2026 · Team Laborio
Onboarding e GDPR: i dati personali che rischi di raccogliere troppo presto

L'onboarding è il momento in cui l'azienda raccoglie più dati personali in meno tempo: in pochi giorni transitano contratti, documenti anagrafici, coordinate bancarie, informazioni sanitarie, accessi informatici e molto altro. È anche il momento in cui le procedure sono spesso meno presidiate, perché l'attenzione si concentra sull'integrazione del nuovo assunto e la conformità passa in secondo piano. Il risultato è un territorio in cui le violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) proliferano quasi in silenzio, fino a quando non emerge un'ispezione o una denuncia.

Questo articolo mappa i rischi reali del ciclo di inserimento, distingue tra ciò che è lecito raccogliere subito e ciò che invece richiede basi giuridiche specifiche o non andrebbe chiesto affatto, e offre un metodo operativo per strutturare un onboarding che sia allo stesso tempo efficace e conforme.

Perché l'onboarding è un punto critico per la privacy

Il GDPR non distingue esplicitamente la fase di onboarding da quella di gestione ordinaria del rapporto di lavoro. Ma la concentrazione di attività tipica dell'inserimento — firma del contratto, raccolta dei dati per la busta paga, attivazione degli strumenti informatici, formazione obbligatoria, consegna dei dispositivi, eventuale visita medica — crea una densità di trattamento dei dati che non ha eguali in nessun'altra fase del ciclo lavorativo.

Il rischio principale non è la raccolta di dati falsa o fraudolenta: è la raccolta eccessiva o prematura, ossia l'acquisizione di informazioni che o non sono necessarie in quel momento, o non hanno una base giuridica adeguata, o vengono conservate senza una policy chiara. L'articolo 5 del GDPR sancisce il principio di minimizzazione dei dati: si raccoglie solo ciò che è adeguato, pertinente e limitato a quanto necessario rispetto alle finalità. Nella frenesia delle prime settimane, questo principio viene spesso ignorato per abitudine o per eccesso di cautela ("meglio avere tutto subito").

A questo si aggiunge il problema della tempistica: alcune informazioni diventano necessarie solo in fasi successive del rapporto (per esempio, i dati relativi a una disabilità ai fini del collocamento protetto, o quelli relativi alle preferenze previdenziali integrative). Raccoglierle prima che esista una finalità concreta e immediata è, di per sé, una violazione dei principi di limitazione della finalità e minimizzazione.

Dati che puoi raccogliere dal giorno 1: la base giuridica è il contratto

La base giuridica principale per il trattamento dei dati nella fase di inserimento è l'esecuzione del contratto (art. 6, par. 1, lett. b del GDPR). Questo significa che puoi raccogliere, sin dall'inizio, tutti i dati strettamente necessari a:

  • Costituire il rapporto di lavoro sul piano formale: dati anagrafici, codice fiscale, residenza, estremi del documento di identità;
  • Adempiere agli obblighi previdenziali e fiscali: coordinate IBAN per il pagamento dello stipendio, dati per la compilazione del modello 730, informazioni per l'INPS e l'INAIL;
  • Garantire la sicurezza sul lavoro: i dati necessari per la sorveglianza sanitaria obbligatoria ai sensi del D.Lgs. 81/2008, gestiti però attraverso il medico competente con specifiche garanzie di riservatezza;
  • Attivare gli strumenti di lavoro: indirizzi email aziendali, credenziali, dati per la configurazione dei dispositivi.

Fin qui, tutto legittimo. Il problema nasce quando all'interno dei moduli di onboarding si inseriscono richieste che vanno oltre questo perimetro, spesso per abitudine o copiando pratiche di altri settori.

Le categorie particolari: il terreno più scivoloso

Il GDPR riserva una disciplina ben più stringente alle categorie particolari di dati (art. 9): stato di salute, origine etnica o razziale, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, orientamento sessuale. Per questi dati il divieto di trattamento è la regola, e le eccezioni sono tassative.

In ambito lavorativo, le eccezioni più rilevanti sono:

  • L'adempimento degli obblighi di diritto del lavoro (per esempio, i dati sanitari necessari al medico competente per la sorveglianza obbligatoria);
  • La tutela degli interessi vitali del lavoratore;
  • Il consenso esplicito del lavoratore — ma attenzione: in un contesto lavorativo il consenso raramente è considerato libero dal Garante per la protezione dei dati personali, a causa dello squilibrio di potere tra datore e lavoratore.

Un errore frequente è chiedere al nuovo assunto, durante le prime settimane, informazioni sulla pratica religiosa (per pianificare i turni in anticipo), sull'eventuale disabilità (fuori dal contesto del collocamento protetto), o sulla situazione familiare dettagliata oltre a quanto strettamente necessario per le detrazioni IRPEF. Questi dati, anche se raccolti con buone intenzioni, senza una base giuridica esplicita e una corretta informativa diventano una violazione immediata.

Un caso particolarmente insidioso riguarda i dati sanitari raccolti informalmente: chiedere verbalmente al nuovo dipendente se ha allergie, intolleranze o condizioni mediche rilevanti — per esempio in vista di trasferte o eventi aziendali — sembra un atto di attenzione, ma se quell'informazione viene poi trascritta o conservata in una scheda personale senza procedura formale, diventa un trattamento di dati sanitari non conforme.

Cosa non chiedere mai (o non ancora): i rischi delle richieste premature

Oltre alle categorie particolari, esistono altre tipologie di dati che è buona norma non raccogliere durante l'onboarding, o quantomeno non senza aver prima valutato attentamente la base giuridica e la proporzionalità:

  • Referenze dettagliate da ex datori di lavoro: se la raccolta avviene tramite moduli strutturati che includono informazioni sulle performance passate o su procedimenti disciplinari, si entra in un'area grigia che può coinvolgere terzi (i vecchi datori) come ulteriori titolari del trattamento.
  • Fotografie e immagini del dipendente per usi interni non strettamente necessari (badge escluso): molte aziende chiedono una foto per la directory interna o il profilo sulla intranet. Questo richiede consenso specifico e revocabile, non può essere "incorporato" nel contratto.
  • Dati sui contatti di emergenza: raccogliere nome, cognome e numero di telefono di un familiare significa trattare dati di un terzo che non è parte del contratto. Serve un'informativa separata e, in molti casi, il consenso di quella persona.
  • Dati di geolocalizzazione e accessi fisici in anticipo rispetto all'attivazione: attivare badge e sistemi di accesso giorni prima dell'inizio formale del lavoro crea log di dati che potrebbero non avere una base giuridica solida prima della decorrenza del contratto.

Il tema delle referenze e dei dati dei candidati è strettamente connesso a quello del recruiting: l'uso degli ATS e i rischi GDPR legati ai dati dei candidati rappresentano un capitolo precedente della stessa storia, che continua nell'onboarding.

L'informativa: quando darla, come strutturarla, cosa deve contenere

Il GDPR impone che l'informativa (art. 13) sia fornita al momento della raccolta dei dati, non dopo. Questo significa che l'informativa deve precedere o accompagnare la firma del contratto, non essere allegata settimane dopo o rinviata alla fine del periodo di prova.

Un'informativa di onboarding efficace e conforme deve:

  1. Indicare tutte le finalità per cui i dati vengono raccolti, incluse quelle meno ovvie (per esempio, la trasmissione dei dati agli enti previdenziali, la comunicazione a istituti bancari per il pagamento dello stipendio, l'eventuale utilizzo di sistemi di monitoraggio informatico);
  2. Specificare la base giuridica per ciascuna finalità, distinguendo tra obbligo contrattuale, obbligo di legge e, dove applicabile, consenso;
  3. Indicare i tempi di conservazione per ciascuna categoria di dati: i dati fiscali hanno tempi diversi da quelli sanitari, che a loro volta differiscono dai log degli accessi informatici;
  4. Menzionare i responsabili del trattamento esterni (es. il provider per la busta paga digitale, il medico competente, eventuali piattaforme HR usate dall'azienda);
  5. Descrivere i diritti dell'interessato e le modalità concrete per esercitarli.

Un'informativa generica, uguale per tutti i dipendenti e non aggiornata da anni, è praticamente inutile sia sul piano della conformità sia su quello della tutela reale del lavoratore. Il Garante ha più volte sottolineato che l'informativa deve essere comprensibile e specifica, non un documento burocratico da firmare in bianco.

La corretta conservazione dei documenti HR firmati durante l'onboarding — compresa l'informativa stessa — è un tema che ha implicazioni dirette: le sanzioni per le violazioni nella conservazione dei documenti HR mostrano quanto il costo dell'inadempimento possa essere concreto e misurabile.

Come strutturare un onboarding conforme: metodo operativo

Costruire un processo di inserimento che rispetti il GDPR non richiede di rallentare l'esperienza del nuovo assunto: richiede di progettarlo con criterio. Ecco un approccio in fasi:

Prima della firma del contratto

  • Trasmettere l'informativa sul trattamento dei dati in anticipo, allegandola alla lettera di offerta o alla documentazione pre-contrattuale;
  • Raccogliere solo i dati strettamente necessari per la predisposizione del contratto (dati anagrafici, codice fiscale);
  • Verificare che eventuali controlli pre-assuntivi (referenze, verifica delle credenziali) siano effettuati in conformità con le normative vigenti e documentati.

Nel giorno 1 (o nella prima settimana)

  • Raccogliere tutti i dati necessari all'adempimento degli obblighi previdenziali, fiscali e di sicurezza;
  • Attivare gli strumenti di lavoro, comunicando le policy aziendali sull'uso degli stessi (art. 4 dello Statuto dei Lavoratori richiede un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro per i sistemi di controllo a distanza);
  • Acquisire i consensi espliciti per i trattamenti che non trovano altra base giuridica (es. foto per badge o directory).

Nei primi 30-90 giorni

  • Raccogliere progressivamente i dati necessari per finalità che maturano successivamente (es. iscrizione al fondo pensione complementare, preferenze per il welfare aziendale);
  • Condurre la visita medica pre-assuntiva o all'inizio del rapporto, tramite il medico competente, con la garanzia che il datore riceva solo il giudizio di idoneità e non i dettagli clinici.

Manutenzione continua

  • Aggiornare l'informativa ogni volta che cambiano le finalità di trattamento o i responsabili esterni;
  • Prevedere una procedura per la gestione delle richieste di accesso, rettifica o cancellazione da parte dei dipendenti;
  • Formare i responsabili HR e i manager di linea sui limiti di ciò che possono chiedere o conservare.

Conclusione: la conformità nell'onboarding è una questione di metodo, non di burocrazia

Il rispetto del GDPR durante l'inserimento non è un esercizio formale: è una scelta di metodo che protegge sia l'azienda sia il lavoratore. Le violazioni più comuni in questa fase — raccolta prematura di dati sensibili, informative generiche, consensi incorporati nel contratto senza possibilità di scelta reale, conservazione indiscriminata — non sono quasi mai il frutto di cattive intenzioni, ma di processi non progettati con attenzione alla privacy.

Il punto di partenza è una mappatura realistica: per ogni dato raccolto durante l'onboarding, vale la pena chiedersi tre cose. Qual è la finalità? Qual è la base giuridica? È il momento giusto per raccoglierlo? Se una sola di queste domande non trova risposta immediata, è il segnale che quel dato non dovrebbe essere ancora nel processo.

Per chi gestisce HR in aziende di medie dimensioni o in contesti con alto turnover, questo tipo di analisi è particolarmente urgente: ogni ciclo di inserimento è un'occasione per consolidare buone pratiche o per replicare errori strutturali. Investire nella progettazione di un onboarding conforme non è un costo aggiuntivo: è la forma più efficace di prevenzione del rischio legale e reputazionale. Per i casi specifici e le situazioni più complesse — soprattutto in presenza di categorie particolari di dati — il confronto con un consulente della privacy o un Data Protection Officer rimane sempre la strada più sicura.

Domande frequenti

Posso chiedere al nuovo assunto informazioni sulla salute già nel primo giorno di lavoro?

Dipende dalla finalità. I dati sanitari necessari alla sorveglianza obbligatoria ai sensi del D.Lgs. 81/2008 devono essere raccolti dal medico competente, non direttamente dall'HR. Il datore di lavoro riceve solo il giudizio di idoneità. Raccogliere dati sanitari in forma diretta e informale — anche con buone intenzioni — è un trattamento di categorie particolari di dati privo di base giuridica adeguata.

Il consenso firmato in calce al contratto di lavoro è sufficiente come base giuridica per il trattamento dei dati durante l'onboarding?

In generale no, non per tutti i trattamenti. Il Garante italiano e le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) sottolineano che il consenso in un contesto lavorativo è raramente considerato 'libero' a causa dello squilibrio di potere tra datore e dipendente. Per i dati necessari all'esecuzione del contratto, la base giuridica corretta è l'art. 6(1)(b) del GDPR. Il consenso come base autonoma è valido solo per trattamenti facoltativi e non collegati al rapporto di lavoro.

Quali sono i rischi concreti se l'azienda non è conforme durante l'onboarding?

Le sanzioni amministrative previste dal GDPR arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale. Più frequentemente, in ambito HR, le violazioni comportano sanzioni del Garante (tipicamente tra 10.000 e 150.000 euro per le PMI), oltre a potenziale contenzioso lavoristico se il dipendente leso agisce in giudizio. Il danno reputazionale può essere altrettanto significativo, soprattutto nelle fasi di employer branding.

Quando è obbligatorio nominare un Data Protection Officer (DPO) per gestire l'onboarding?

La nomina del DPO è obbligatoria per le autorità pubbliche, per chi tratta dati su larga scala come attività principale, e per chi effettua monitoraggio sistematico di individui su larga scala. Molte aziende private di medie dimensioni non sono formalmente obbligate, ma è comunque opportuno designare un referente interno per la privacy HR o avvalersi di un consulente esterno, soprattutto in presenza di trattamenti complessi o di categorie particolari di dati.

Come devono essere gestiti i dati dei contatti di emergenza (familiari del dipendente)?

I contatti di emergenza sono dati personali di terzi non coinvolti nel contratto di lavoro. Raccoglierli richiede che il dipendente fornisca quelle informazioni consapevolmente, ma è buona pratica informare anche il terzo (es. il familiare indicato) del trattamento dei suoi dati. Va indicato nell'informativa la finalità (emergenze sul luogo di lavoro), i dati raccolti (nome e recapito) e i tempi di conservazione. Non è necessario un consenso esplicito del terzo se la raccolta è limitata e la finalità è chiara.

Per quanto tempo possono essere conservati i documenti raccolti durante l'onboarding?

I tempi variano in base alla tipologia di dato. I documenti contrattuali e fiscali devono essere conservati generalmente per 10 anni dopo la cessazione del rapporto, in linea con i termini di prescrizione civilistica. I dati sanitari raccolti dal medico competente hanno un regime specifico (art. 25 D.Lgs. 81/2008: almeno 10 anni, o più a seconda dell'esposizione a rischi specifici). I log informatici e le registrazioni di accesso seguono invece tempistiche più brevi. È fondamentale definire una retention policy documentata per ciascuna categoria.

Articoli correlati

ATS e candidati: i dati che rischiano di trasformare il reclutamento in un minefield legale

Ogni candidatura archiviata in un ATS genera obblighi di conservazione, diritti d'accesso e rischi GDPR reali. Questo articolo analizza i compliance blind spot del recruiting digitale: cosa si può e non si può fare con i dati dei candidati, quando eliminare i CV e come valutare un sistema in ottica privacy.

Leggi l’articolo

Documenti HR: quanto costa una violazione di conservazione

Sanzioni GDPR, multe del Ministero del Lavoro, contenzioso giuslavoristico: le violazioni nella conservazione dei documenti HR hanno un costo reale e spesso sottovalutato. Una guida ai rischi normativi e agli audit interni per prevenirli.

Leggi l’articolo

Inizia la prova gratuita

30 giorni gratis · Attivazione immediata

Prova gratis 30 giorni Vedi i prezzi
Torna al blog