Negli ultimi anni la rilevazione delle presenze è diventata un tema molto più complesso di quanto appaia. Non si tratta più solo di “timbrare” entrate e uscite: oggi parliamo di dati, privacy, sicurezza, responsabilità del datore di lavoro e integrazione con sistemi sempre più sofisticati.
Smart working, turni flessibili, sedi distribuite e controllo accessi avanzato hanno fatto esplodere il volume di informazioni generate ogni giorno. E tutto questo rientra nel perimetro del GDPR.
In questo articolo mettiamo ordine, chiarendo cosa devono sapere aziende, enti pubblici e responsabili HR per scegliere soluzioni moderne, trasparenti e conformi.
Perché la rilevazione presenze è diventata un tema critico per il GDPR
Ogni volta che un dipendente timbra, genera un dato personale.
La vera complessità non è la timbratura in sé, ma la quantità di informazioni aggregate, la loro conservazione, la loro sensibilità e i potenziali rischi se non vengono gestite correttamente.
Oggi molte aziende stanno rivedendo policy e sistemi, spesso senza avere un quadro chiaro delle implicazioni normative. Il risultato?
- sistemi obsoleti,
- dati non protetti,
- responsabilità non definite,
- informative incomplete o inesistenti.
E spesso non se ne rendono conto finché non emerge un problema.
Quali dati personali vengono trattati davvero da un sistema presenze
Un sistema moderno di rilevazione presenze non registra solo “ingresso/uscita”. In genere gestisce:
- orari di entrata e uscita,
- timbrature intermedie (pausa, trasferte, spostamenti),
- causali (ferie, permessi, missioni),
- badge ID e profili utente,
- log dei terminali e del software,
- eventuali informazioni relative al controllo accessi.
Si tratta di dati che possono ricostruire abitudini, movimenti e produttività.
Per questo il GDPR richiede particolare attenzione.
Gli errori più comuni che mettono a rischio la conformità
Durante analisi presso clienti, osserviamo spesso errori ricorrenti che espongono l’azienda a rischi (anche involontari). Ecco i principali:
1. Conservare i dati troppo a lungo
Le timbrature non possono essere conservate “per sempre”: servono criteri chiari e proporzionati.
2. Utilizzare sistemi non aggiornati
Terminali fuori supporto, software on-premise non manutenuti, server senza patch possono creare vulnerabilità significative.
3. Informative ai dipendenti incomplete o superate
Molti documenti non riportano finalità, tempi di conservazione, base giuridica o diritti degli interessati.
4. Password deboli o assenza di tracciamento degli accessi
Chi vede cosa? Chi modifica cosa? Senza audit log, non c’è controllo.
5. Condivisione impropria dei dati tra reparti
Il principio di “need to know” spesso viene ignorato.
6. Biometria attivata senza adeguate garanzie
Riconoscimento impronte o volto richiedono DPIA e basi giuridiche molto specifiche.
Questi errori non derivano da malafede, ma da mancanza di consapevolezza. È qui che un partner competente fa la differenza.
Biometria: quando è legale e quando no
È il punto più delicato in assoluto.
Soluzioni basate su impronta digitale o riconoscimento facciale richiedono:
- una base giuridica specifica (non basta il consenso),
- una valutazione d’impatto (DPIA),
- misure tecniche avanzate (crittografia, template non reversibili),
- un rischio residuo accettabile.
La biometria è ammessa solo in contesti in cui sia strettamente necessaria per garantire sicurezza, integrità o identità.
Per molte aziende, un sistema badge + controllo accessi è più che sufficiente e molto più semplice da gestire lato GDPR.
sistemi integrati di controllo accessi
Come scegliere un sistema presenze davvero conforme: la checklist OE
Questa è la parte più utile per chi deve acquistare o aggiornare un sistema.
Un sistema compliant deve garantire:
✔ Audit log non modificabili
Per tracciare accessi, modifiche e operazioni.
✔ Crittografia dei dati in transito e a riposo
Niente dati in chiaro, mai.
✔ Gestione ruoli e permessi granulare
Non tutti devono vedere tutto.
✔ Badge anonimi lato GDPR
Il codice del badge non deve riprodurre il nome del dipendente.
✔ Parametri di conservazione configurabili
Dati conservati solo per il tempo strettamente necessario.
✔ Server/NTP/Master clock sincronizzati
Un dato errato di orario = un problema retributivo.
✔ Hosting conforme se la soluzione è cloud
Serve chiarezza su: localizzazione dati, backup, DRP.
✔ Sistemi aggiornati
Terminali e software costantemente mantenuti.
Soluzioni come Juppiter Enterprise rispondono già a questi requisiti, facilitando la compliance senza appesantire la gestione interna. https://www.ora-elettrica.com/rilevazione-presenze/gestionali-software/
Informativa ai dipendenti: cosa deve prevedere (e spesso manca)
L’informativa privacy è un documento obbligatorio.
Per essere valida deve includere almeno:
- finalità del trattamento (es. gestione presenze e buste paga),
- base giuridica,
- tempi di conservazione dei dati,
- modalità di accesso e modifica,
- chi può vedere e trattare i dati,
- diritti del dipendente,
- contatti del DPO o responsabile interno.
Spesso le informative sono generiche, datate o incomplete — e questo espone l’azienda.
Per approfondire gli obblighi del datore di lavoro in materia di trattamento dei dati dei dipendenti, è possibile consultare anche le linee guida ufficiali del Garante Privacy:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4535524
La sincronizzazione oraria: l’anello debole (ma cruciale) della catena
Un sistema presenze è tanto affidabile quanto lo è la fonte oraria dei suoi terminali.
Se i dispositivi non sono sincronizzati:
- le timbrature risultano errate,
- i calcoli delle ore diventano imprecisi,
- si generano contestazioni in busta paga,
- l’intero processo HR perde affidabilità.
Una centrale oraria o un NTP server interno risolve questi problemi e garantisce coerenza tra tutti i sistemi aziendali (presenze, accessi, videosorveglianza, sistemi informatici).
Conclusioni: tecnologia, trasparenza e responsabilità
La rilevazione presenze non è più solo un fatto tecnico:
è un nodo fondamentale in cui si intrecciano produttività, sicurezza, privacy, trasparenza interna e responsabilità del datore di lavoro.
Scegliere soluzioni conformi significa:
- evitare rischi,
- migliorare i processi,
- aumentare fiducia e chiarezza con i dipendenti,
- garantire dati affidabili e verificabili.
Ora Elettrica affianca aziende e PA in questo percorso, unendo competenza tecnica, attenzione normativa e oltre 100 anni di esperienza nel trattamento del tempo.