Quando un dipendente chiede copia delle registrazioni presenze, l’azienda deve saper rispondere per iscritto, nei tempi e con prove.
Il 26 marzo 2026 il Garante per la protezione dei dati personali ha sanzionato Esselunga S.p.A. per la gestione non corretta di una richiesta di accesso relativa alle registrazioni di entrata e uscita di un lavoratore. Se la richiesta è chiara e riguarda dati personali, l’azienda deve prenderla sul serio, rispondere e saper dimostrare cosa ha fatto. (provvedimento del Garante del 26 marzo 2026, doc. web n. 10246008)
Il punto non è “dare o non dare il cartellino”. Il punto è avere un sistema che sappia ricostruire presenze, rettifiche, export e audit senza mandare HR a cercare file come archeologi depressi.
Questa news è aggiornata all’8 maggio 2026 e ha taglio operativo. Non sostituisce la valutazione del legale privacy, del DPO o del consulente sul caso concreto.
In 20 secondi
- Cosa è successo: un lavoratore ha chiesto accesso alle registrazioni presenze relative a un arco temporale molto ampio.
- Perché conta: le presenze non sono solo dati “da paghe”, ma dati personali su cui il lavoratore può esercitare i propri diritti.
- Cosa controllare subito: canale di presa in carico, risposta scritta, tempi, proroga, export, prova del riscontro.
- Cosa non fare: trattare una richiesta via PEC come pratica amministrativa generica, chiamare il dipendente e lasciare tutto senza evidenza scritta.
Cosa è successo davvero
Nel caso esaminato, il reclamante aveva presentato l’8 settembre 2024 una richiesta di accesso ai dati personali relativa alle registrazioni delle presenze come lavoratore, chiedendo copia delle registrazioni da 9 dicembre 1997 a 15 maggio 2024.
Secondo il provvedimento, la società aveva preso visione della richiesta e il giorno successivo HR aveva contattato telefonicamente l’interessato. Il problema è che quel passaggio non ha chiuso l’obbligo di risposta. Il Garante ricostruisce infatti che il riscontro scritto completo è arrivato solo il 10 dicembre 2024, dopo il reclamo dell’interessato e dopo l’invito dell’Autorità ad aderire.
La difesa aziendale ha richiamato aspetti pratici: richiesta arrivata via PEC, gestione HR, arco temporale ampio e recupero successivo dei dati. Il contesto però non elimina il punto centrale.
Per il Garante, la condotta ha violato gli artt. 12 e 15 GDPR perché, davanti a una richiesta scritta e chiara, la società non ha fornito un riscontro scritto idoneo nei termini. Alla fine, l’Autorità ha applicato una sanzione amministrativa di 5.000 euro.
| Punto del caso | Cosa emerge | Controllo operativo |
|---|---|---|
| Richiesta via PEC | Il canale non era quello privacy interno | Ogni canale ufficiale deve saper instradare i diritti GDPR |
| Contatto telefonico | Non c’era evidenza sufficiente del contenuto | Ogni passaggio va tracciato e confermato per iscritto |
| Arco temporale ampio | Il recupero dati richiedeva lavoro | La complessità va gestita con proroga scritta, non con silenzio |
| Riscontro tardivo | Arriva dopo reclamo e intervento dell’Autorità | La procedura deve far partire timer, owner e prova del riscontro |
Perché le presenze non sono solo dati paghe
In molte aziende le registrazioni presenze vivono nel cassetto “amministrazione”: servono a chiudere il mese, controllare straordinari, preparare export e rispondere al consulente del lavoro.
Questa lettura è troppo stretta. Ogni registrazione di entrata, uscita, rettifica, assenza o anomalia parla di una persona identificata. Anche quando il dato è “comune”, resta dato personale.
La conseguenza pratica è semplice: se il lavoratore esercita il diritto di accesso, l’azienda non può cercare una risposta solo nel payroll. Deve poter ricostruire il dato lungo tutta la catena operativa: evento iniziale, eventuale correzione, validazione, export e risposta fornita.
Risposta scritta: la telefonata non basta
Il provvedimento richiama un principio operativo molto concreto. Se l’interessato presenta una richiesta per iscritto e non chiede una risposta orale, il titolare deve rispondere per iscritto. Una telefonata può aiutare a chiarire il perimetro, ma non sostituisce il riscontro formale.
Questo vale anche quando HR vuole “capire meglio” cosa serve. Chiedere un chiarimento può essere legittimo, soprattutto se la quantità di dati è ampia. Ma va gestito bene:
| Azione | Va bene se | Rischio se manca la traccia |
|---|---|---|
| Chiamare il lavoratore | Serve a chiarire formato, periodo o dettaglio richiesto | Diventa una conversazione non dimostrabile |
| Chiedere conferma | Viene formalizzata per iscritto | Sembra un rinvio non gestito |
| Recuperare archivi storici | Si comunica il piano e il tempo necessario | Il silenzio diventa mancato riscontro |
| Inviare export | Si conserva prova di invio, contenuto e data | Non si dimostra cosa è stato fornito |
La regola non è burocratica. È audit. Se domani qualcuno chiede “cosa avete risposto?”, l’azienda deve poter mostrare non solo il file, ma anche il percorso.
Tempi, proroga e prova della risposta
L’art. 12 GDPR impone di fornire riscontro senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Il termine può essere prorogato di due mesi quando necessario, tenendo conto della complessità e del numero delle richieste. Ma la proroga non è automatica: l’interessato deve essere informato entro un mese, con i motivi del ritardo.
Questo è il pezzo che molte procedure HR sottovalutano. Se servono archivi storici o recuperi da più fonti, non basta “ci stiamo lavorando”. Serve una risposta scritta con richiesta ricevuta, ragione della complessità, tempi previsti e canale di aggiornamento.
In pratica, ogni richiesta dovrebbe aprire un piccolo fascicolo operativo:
| Entro | Cosa fare | Prova da conservare |
|---|---|---|
| Subito | Registrare richiesta, canale, data e oggetto | Ticket, protocollo o registro richieste |
| Pochi giorni | Assegnare owner tra privacy, HR e amministrazione | Log di assegnazione o presa in carico |
| Entro un mese | Rispondere o comunicare proroga motivata | PEC, email o lettera inviata |
| Alla consegna | Fornire copia dei dati in formato leggibile | Export, ricevuta, elenco allegati |
| Dopo la chiusura | Archiviare evidenza del riscontro | Storico risposta e data di chiusura |
Da cartellino a audit trail
Qui il caso diventa interessante per chi gestisce turni, timbrature ed export. Un sistema presenze non dovrebbe limitarsi a produrre un totale ore a fine mese. Dovrebbe aiutare l’azienda a ricostruire cosa è successo e perché.
Se punch grezzi, time entry consolidate, correzioni manuali, anomalie e export verso paghe vivono come pezzi separati, ogni richiesta di accesso diventa una caccia tra fogli, PDF, email e memoria di chi “se ne occupava”.
La domanda utile non è solo: quante ore ha lavorato questa persona? È anche: quale dato abbiamo registrato, quando è stato corretto, da chi è stato validato, cosa è entrato nell’export e quale copia possiamo produrre?
| Livello | Dato da governare | Perché serve |
|---|---|---|
| Evento | timbratura, entrata, uscita, geofence o badge | Ricostruisce il fatto iniziale |
| Lavorazione | anomalia, rettifica, nota tecnica ammessa | Spiega perché il dato è cambiato |
| Validazione | approvazione manager o HR | Distingue dato provvisorio e dato consolidato |
| Export | tracciato verso paghe o consulente | Mostra cosa è stato usato a fini amministrativi |
| Riscontro | copia fornita al lavoratore | Dimostra l’adempimento della richiesta |
Checklist HR per una richiesta sulle presenze
Quando arriva una richiesta di accesso alle registrazioni presenze, non partire dal file. Parti dal processo.
Identifica la richiesta come esercizio di diritto GDPR
Anche se arriva alla PEC generale, a HR o all’amministrazione, va instradata alla procedura corretta.Registra data, canale e oggetto
Il timer parte dal ricevimento. Se non sai quando è arrivata, hai già perso un pezzo della prova.Definisci il perimetro dei dati
Periodo, tipo di registrazioni, formato richiesto, eventuali archivi storici e sistemi coinvolti.Comunica per iscritto
Se serve chiarire, chiarisci. Se serve prorogare, proroga. Ma lascia traccia scritta.Produci un export leggibile
Il lavoratore non deve ricevere un tracciato incomprensibile se esiste un modo più chiaro per rappresentare il dato.Conserva la prova del riscontro
Non basta aver inviato “qualcosa”. Devi sapere cosa hai inviato, quando, a chi e con quali allegati.
Il collegamento con Turnavo
Per Turnavo questa notizia è centrata perché presenze, correzioni ed export non sono trattati come una massa indistinta da aggiustare a fine mese. Il valore operativo è separare gli eventi: timbrature, time entries, anomalie, rettifiche, validazioni ed export.
Quando il dato resta leggibile per evento, è più facile chiudere il mese, rispondere a una richiesta e dimostrare il percorso seguito. Il software non “fa GDPR” da solo, ma evita di ricostruire dopo mesi ciò che il processo non ha tracciato.
La lezione pratica è questa: se le presenze servono solo quando devi pagare, stai guardando il dato troppo tardi. Se invece le tratti come eventi personali, operativi e auditabili, il sistema lavora prima che arrivi il reclamo.
Se la richiesta nasce dopo la fine del rapporto o durante la chiusura degli accessi, collega anche il tema offboarding: mailbox, credenziali, export e retention vanno governati nello stesso perimetro.
Fonti ufficiali
Quando applichi il metodo
Ora che hai chiarito registrazioni presenze accesso dati garante 2026, cosa chiudi prima del mese?
Su registrazioni presenze accesso dati garante 2026, non serve leggere un concetto in più: va chiarito quali controlli chiudere prima di consegnare il dato alle paghe o al consulente.
Usala per fissare un punto preciso del processo: chi verifica le anomalie, quando il dato può considerarsi consolidato e quale eccezione non deve più arrivare a fine mese.
Il risultato atteso è arrivare al controllo finale con meno rettifiche, meno dubbi sulle timbrature e un passaggio più pulito verso amministrazione.
Quando hai chiaro il test da fare, passa a Scopri come Turnavo gestisce presenze, audit ed export oppure puoi prova guidata se vuoi provarlo sul tuo team.
Da verificare subito
Hai validato il processo? Porta il test su dati reali.
Mantieni la logica operativa costruita nelle guide e applicala in un ambiente con regole automatiche, visibilità condivisa e collaborazione centralizzata.