Documenti d'identità dei dipendenti: guida HR e GDPR

·8 min di lettura ·BadgeBox
Documenti d'identità dei dipendenti: guida HR e GDPR
Foto di Arlington Research su Unsplash

Perché la gestione dei documenti d'identità è diventata una priorità HR

Con il rinnovo massivo della carta d'identità elettronica (CIE) avviato in Italia negli ultimi anni, molte PMI si trovano ad affrontare una questione spesso sottovalutata: aggiornare e gestire correttamente i documenti d'identità dei dipendenti, sia in fase di onboarding che durante il rapporto di lavoro. I documenti d'identità dei dipendenti non sono solo una formalità burocratica — sono dati personali a tutti gli effetti, soggetti al GDPR, e la loro gestione scorretta può esporre l'azienda a sanzioni significative.

Questa guida risponde alle domande più frequenti di HR manager e titolari di PMI: quali documenti raccogliere, per quanto tempo conservarli, come trattarli in sicurezza e cosa cambia con la CIE.

Quali documenti d'identità deve raccogliere il datore di lavoro

Al momento dell'assunzione (onboarding)

In fase di onboarding, il datore di lavoro ha l'obbligo di verificare e raccogliere alcuni documenti fondamentali. Tra questi, il documento d'identità in corso di validità è il primo e più importante, necessario per:

  • Identificare il lavoratore ai fini della comunicazione obbligatoria al Centro per l'Impiego (modello Unilav)
  • Stipulare il contratto individuale di lavoro in modo valido
  • Aprire la posizione INPS e INAIL e gestire le buste paga
  • Adempiere agli obblighi antiriciclaggio (in alcuni settori specifici)
  • Verificare il diritto al lavoro per i cittadini extra-UE (permesso di soggiorno)

Oltre al documento d'identità, l'HR raccoglie tipicamente: codice fiscale, tessera sanitaria, eventuale permesso di soggiorno, titoli di studio e certificazioni professionali richieste dal ruolo.

Durante il rapporto di lavoro

Il documento d'identità deve rimanere valido per tutta la durata del rapporto di lavoro in alcuni contesti (es. lavoratori somministrati, appalti, cantieri). Se scade, il lavoratore è tenuto a comunicarlo e il datore ha interesse — e talvolta obbligo — ad aggiornare la copia in archivio.

Con la diffusione della CIE, molti dipendenti si trovano a rinnovare il documento: l'HR deve quindi prevedere una procedura semplice per raccogliere la nuova copia e aggiornare il fascicolo personale.

Carta d'identità elettronica: cosa cambia per le PMI

La carta d'identità elettronica (CIE) ha sostituito progressivamente il vecchio documento cartaceo. Per le PMI, questo comporta alcune considerazioni pratiche:

  • La CIE contiene un chip NFC con dati biometrici: non va fotocopiata indiscriminatamente, ma raccolta e conservata solo nei limiti strettamente necessari
  • La scansione del fronte e retro è ammessa per finalità documentali, ma deve essere giustificata da una base giuridica (obbligo legale o contratto)
  • Il numero della CIE è diverso dal codice fiscale: entrambi vanno registrati correttamente nel gestionale HR
  • Per i lavoratori stranieri, la CIE non sostituisce il permesso di soggiorno, che rimane documento separato
Box normativo: Il Garante per la protezione dei dati personali ha più volte ribadito che la raccolta di copie dei documenti d'identità deve avvenire solo quando strettamente necessaria e con adeguate misure di sicurezza. La "minimizzazione dei dati" è un principio cardine del GDPR (art. 5, par. 1, lett. c).

Obblighi di conservazione: per quanto tempo?

I termini di legge

Non esiste un'unica norma che stabilisce i tempi di conservazione dei documenti dei dipendenti: dipende dalla tipologia di documento e dalla finalità. Ecco uno schema orientativo:

| Documento | Termine di conservazione consigliato | |---|---| | Copia documento d'identità (onboarding) | Durata del rapporto + 5 anni | | Contratto di lavoro | 10 anni dalla cessazione | | Buste paga e LUL | 10 anni | | Permesso di soggiorno | Durata validità + aggiornamento | | Comunicazioni obbligatorie (Unilav) | 5 anni |

Il termine "durata del rapporto + 5 anni" per i documenti d'identità è quello più diffuso nella prassi, in quanto copre i principali termini di prescrizione civilistica e permette di rispondere a eventuali contestazioni post-cessazione.

Cosa dice il GDPR sulla conservazione

Il GDPR impone il principio di limitazione della conservazione (art. 5, par. 1, lett. e): i dati personali non devono essere conservati più a lungo di quanto necessario rispetto alle finalità per cui sono stati raccolti. Questo significa che:

  1. Bisogna definire policy interne con termini chiari per ogni tipologia di documento
  2. Allo scadere del termine, i dati vanno cancellati o anonimizzati
  3. I dipendenti hanno diritto di sapere per quanto tempo i loro dati vengono conservati (informativa privacy)

Come gestire i documenti in regola con il GDPR

L'informativa privacy ai dipendenti

Prima di raccogliere qualsiasi documento, il datore di lavoro deve fornire al dipendente un'informativa privacy completa (art. 13 GDPR), che indichi:

  • Quali dati vengono raccolti e perché
  • Chi li tratta e chi può accedervi
  • Per quanto tempo vengono conservati
  • Quali diritti ha il dipendente (accesso, rettifica, cancellazione)

Sicurezza e accesso ai documenti

I documenti d'identità dei dipendenti devono essere conservati in modo sicuro, con accesso limitato al solo personale autorizzato (HR, amministrazione, eventualmente il consulente del lavoro). Le misure minime includono:

  • Archivio fisico chiuso a chiave, con registro degli accessi
  • Archivio digitale protetto da password, con log degli accessi e crittografia
  • Nessuna condivisione via email non protetta o su piattaforme non sicure
  • Contratti di nomina come responsabili del trattamento per consulenti esterni

Il registro dei trattamenti

Le aziende con più di 250 dipendenti (e quelle più piccole che trattano dati sensibili su larga scala) devono tenere un registro delle attività di trattamento (art. 30 GDPR). Anche per le PMI più piccole è buona prassi documentare come vengono gestiti i dati dei dipendenti.

Digitalizzazione del fascicolo dipendente: vantaggi e limiti

Perché digitalizzare conviene

Conservare i documenti in formato digitale offre vantaggi concreti:

  • Ricerca rapida in caso di ispezioni o verifiche
  • Backup automatici che riducono il rischio di perdita
  • Accesso controllato con log verificabili
  • Riduzione degli spazi fisici dedicati all'archivio cartaceo
  • Notifiche automatiche per scadenze (es. permessi di soggiorno, documenti in scadenza)

Cosa non fare nella digitalizzazione

  • Non caricare documenti su cloud consumer (Google Drive personale, Dropbox gratuito) senza adeguate misure di sicurezza e DPA (Data Processing Agreement) con il fornitore
  • Non conservare copie non necessarie in più luoghi diversi
  • Non dimenticare di cancellare i dati al termine del periodo di conservazione

Una piattaforma HR strutturata come BadgeBox permette di gestire in modo centralizzato i dati dei dipendenti — presenze, turni, ferie, timesheet — con standard di sicurezza adeguati al GDPR, riducendo il rischio di dispersione delle informazioni su strumenti non adatti.

Checklist pratica per HR e PMI

Ecco un riepilogo operativo per gestire i documenti d'identità dei dipendenti in modo corretto:

Al momento dell'assunzione:

  • [ ] Raccogliere copia del documento d'identità valido (fronte/retro)
  • [ ] Verificare la validità del documento
  • [ ] Raccogliere codice fiscale e, se necessario, permesso di soggiorno
  • [ ] Consegnare l'informativa privacy al dipendente
  • [ ] Archiviare in modo sicuro (fisico o digitale)

Durante il rapporto di lavoro:

  • [ ] Monitorare le scadenze dei documenti (soprattutto permessi di soggiorno)
  • [ ] Aggiornare il fascicolo in caso di rinnovo (es. nuova CIE)
  • [ ] Verificare che solo il personale autorizzato acceda ai documenti

Alla cessazione del rapporto:

  • [ ] Conservare i documenti per il periodo previsto dalla policy interna
  • [ ] Pianificare la cancellazione/distruzione sicura allo scadere del termine

Sanzioni e rischi per chi non gestisce correttamente i documenti

Il Garante Privacy può irrogare sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale per le violazioni più gravi del GDPR. Per le PMI, le sanzioni più frequenti riguardano:

  • Conservazione di dati oltre il termine necessario
  • Mancanza di informativa privacy adeguata
  • Accesso non autorizzato ai dati personali dei dipendenti
  • Mancata nomina di responsabili del trattamento per consulenti esterni

Oltre alle sanzioni del Garante, una gestione scorretta dei documenti può esporre l'azienda a contestazioni da parte dei lavoratori o a difficoltà in sede di ispezione del lavoro.

Domande frequenti

Il datore di lavoro è obbligato a tenere copia del documento d'identità del dipendente?

Non esiste una norma che imponga esplicitamente la conservazione della copia del documento d'identità per tutti i lavoratori, ma è una prassi necessaria per adempiere agli obblighi di comunicazione obbligatoria, per la stipula del contratto e per le verifiche ispettive. La raccolta deve avvenire nel rispetto del GDPR, con informativa adeguata e conservazione sicura.

Per quanto tempo si deve conservare la copia del documento d'identità di un ex dipendente?

La prassi più diffusa prevede una conservazione di 5 anni dalla cessazione del rapporto di lavoro, in linea con i principali termini di prescrizione civilistica. È comunque consigliabile definire una policy interna scritta e allinearla con il consulente del lavoro o il DPO aziendale.

Cosa cambia con la carta d'identità elettronica rispetto al vecchio documento cartaceo?

Dal punto di vista della gestione HR, la CIE non cambia gli obblighi sostanziali. Occorre però prestare attenzione al fatto che contiene dati biometrici nel chip: la scansione deve avvenire solo nei limiti strettamente necessari. Il numero della CIE è diverso dal codice fiscale e va registrato correttamente nel gestionale.

Come gestire i documenti dei lavoratori stranieri con permesso di soggiorno?

Il permesso di soggiorno ha scadenze specifiche e deve essere monitorato attivamente dal datore di lavoro. Assumere o continuare a impiegare un lavoratore con permesso scaduto è un illecito amministrativo e penale. È fondamentale impostare promemoria di scadenza e richiedere tempestivamente la copia aggiornata al momento del rinnovo.

Un software HR può aiutare nella gestione dei documenti dei dipendenti?

Sì. Strumenti digitali come BadgeBox consentono di centralizzare la gestione delle informazioni sui dipendenti, impostare alert per le scadenze e garantire accessi controllati e tracciabili, riducendo il rischio di errori e non conformità. La digitalizzazione del fascicolo dipendente, se fatta con strumenti adeguati, è un passo concreto verso la compliance GDPR.

Conclusione

La gestione dei documenti d'identità dei dipendenti è un adempimento che tocca ogni PMI italiana, ma che spesso viene affrontato in modo improvvisato. Con il rinnovo massivo della CIE e una normativa privacy sempre più stringente, dotarsi di procedure chiare — su cosa raccogliere, come conservarlo e quando cancellarlo — non è solo una buona prassi: è un obbligo di legge.

Investire in strumenti digitali adeguati e in una policy HR strutturata significa ridurre i rischi, semplificare le ispezioni e tutelare sia l'azienda che i lavoratori. Se vuoi ottimizzare la gestione HR della tua PMI partendo dalle basi, scopri come BadgeBox può aiutarti a costruire processi più efficienti e conformi.

  • #Normativa
  • #Gestione del personale
  • #GDPR
  • #Onboarding

Continua a leggere