Blog

GDPR e Codice Fiscale: Obblighi per chi lo Raccoglie

Quasi ogni azienda italiana raccoglie codici fiscali. Compaiono sui contratti di lavoro, sulle fatture ai clienti privati, nei registri dei fornitori, nei sistemi gestionali e nelle banche dati HR. Ma poche organizzazioni si sono fermate a chiedersi se stanno rispettando il GDPR nel modo in cui trattano questo dato, e quali obblighi concreti si attivano dal momento della raccolta.

Il codice fiscale non è un dato anonimo. È un identificativo personale che, per definizione, consente di risalire a una persona fisica specifica. Questo lo rende un dato personale soggetto al Regolamento UE 2016/679, con tutto ciò che ne consegue: base giuridica, informativa, registro dei trattamenti, misure di sicurezza, tempi di conservazione e diritti dell'interessato.

Questa guida è rivolta a chi gestisce sistemi informativi aziendali, a professionisti con studio o partita IVA, e a chiunque si trovi a raccogliere e conservare codici fiscali di persone fisiche nell'ambito di un'attività organizzata.

Esempio di voce del registro dei trattamenti GDPR

Il codice fiscale è un dato personale: le implicazioni pratiche

Il primo punto da chiarire è quello classificatorio. Il codice fiscale è un dato personale ai sensi dell'art. 4 del GDPR, non un dato "sensibile" o "particolare" nel senso dell'art. 9, ma un dato identificativo che consente di individuare una persona fisica in modo univoco.

Perché l'obbligo fiscale non costituisce una giustificazione sufficiente

Molte aziende giustificano la raccolta del codice fiscale invocando semplicemente l'obbligo fiscale. In molti casi è corretto. Ma l'obbligo di legge copre la raccolta per quel fine specifico, emettere una fattura, registrare un rapporto di lavoro, versare contributi. Non copre automaticamente tutto ciò che l'azienda fa con quel dato in seguito: inserirlo in una piattaforma CRM, condividerlo con un partner commerciale, tenerlo in un archivio non strutturato per anni dopo la fine del rapporto.

Il GDPR richiede che ogni trattamento, non solo la raccolta iniziale, abbia una base giuridica. Se la raccolta è giustificata dall'obbligo legale, l'uso successivo deve essere coerente con quella finalità o avere una propria base giuridica autonoma.

Dato identificativo vs dato sensibile: la distinzione che conta

Un dato particolare ai sensi dell'art. 9 GDPR (salute, religione, biometria, orientamento sessuale) richiede condizioni speciali per il trattamento. Il codice fiscale non è in questa categoria. Ma questo non significa che possa essere trattato senza vincoli. Rimane soggetto ai principi generali del GDPR: liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione e integrità. Ignorare questi principi perché "non è un dato sensibile" è uno degli errori più comuni nelle PMI italiane.

Le basi giuridiche per raccogliere il codice fiscale

L'art. 6 del GDPR elenca le basi giuridiche che rendono lecito il trattamento di dati personali. Nel contesto della raccolta del codice fiscale, quattro di queste sono rilevanti in pratica.

Obbligo legale (art. 6, par. 1, lett. c)

È la base più comune e la più solida. Fatturazione elettronica, CU, 770, comunicazioni INPS, contratti di appalto soggetti a ritenuta d'acconto: in tutti questi casi esiste una norma specifica che impone la raccolta del codice fiscale. Il trattamento è lecito senza consenso e senza necessità di bilanciamento.

La base dell'obbligo legale, però, ha un limite preciso: copre il trattamento necessario per adempiere quell'obbligo specifico. Non autorizza a usare il dato per finalità diverse, ad esempio marketing o analisi comportamentale, anche se il dato era già in archivio per ragioni fiscali.

Esecuzione di un contratto (art. 6, par. 1, lett. b)

Quando l'azienda raccoglie il codice fiscale di un cliente o di un fornitore persona fisica nell'ambito di un contratto, la base giuridica è l'esecuzione del contratto stesso. Vale per affitti, consulenze, compravendite tra privati, contratti di servizio con liberi professionisti.

In questo caso il codice fiscale viene raccolto come parte dell'identità contrattuale della parte, non per un obbligo normativo specifico. La base contrattuale copre il trattamento per tutta la durata del rapporto e per il tempo necessario alla sua conclusione.

Legittimo interesse (art. 6, par. 1, lett. f)

Questa base è più delicata. Può essere invocata quando il trattamento è necessario per un interesse legittimo del titolare o di un terzo, purché non prevalgano i diritti fondamentali dell'interessato. Nel contesto del codice fiscale, il legittimo interesse può coprire, ad esempio, la verifica dell'identità di una controparte prima di un'operazione commerciale.

Chi usa questa base deve documentare il cosiddetto "balancing test", la valutazione di bilanciamento tra interesse del titolare e diritti dell'interessato. Non è una base che si invoca genericamente: richiede una valutazione scritta e specifica per ogni tipologia di trattamento.

Consenso (art. 6, par. 1, lett. a)

Il consenso è la base giuridica meno adatta alla raccolta del codice fiscale in contesti professionali, perché può essere revocato in qualsiasi momento. Se un dipendente revoca il consenso al trattamento del proprio codice fiscale, ma quel trattamento è obbligatorio per il versamento dei contributi, l'azienda non può smettere di trattare il dato, e quindi la base consensuale era inappropriata fin dall'inizio.

Il consenso può essere appropriato in contesti molto specifici e volontari, ad esempio, l'inserimento del codice fiscale in un programma fedeltà che offre vantaggi fiscali su base opzionale. Ma nella stragrande maggioranza dei trattamenti aziendali del CF, è la base giuridica sbagliata.

Il registro dei trattamenti e il codice fiscale

Le aziende con più di 250 dipendenti sono obbligate a tenere un registro dei trattamenti ai sensi dell'art. 30 GDPR. Ma anche le organizzazioni sotto quella soglia devono tenerlo se effettuano trattamenti che presentano un rischio per i diritti degli interessati, e il trattamento sistematico di dati identificativi come i codici fiscali rientra spesso in questa categoria.

Cosa documentare per ogni trattamento che coinvolge il CF

Per ogni attività che comporta la raccolta o l'elaborazione di codici fiscali, il registro deve indicare almeno:

la finalità del trattamento (fatturazione, gestione HR, adempimenti INPS), la base giuridica applicabile (obbligo legale, contratto, legittimo interesse), le categorie di interessati (dipendenti, clienti, fornitori persone fisiche), i destinatari del dato (soggetti interni, consulenti del lavoro, commercialista, piattaforme software SaaS), i tempi di conservazione previsti, e le misure di sicurezza adottate.

Molte PMI italiane hanno il registro dei trattamenti fermo alla prima compilazione, con voci generiche che non descrivono realmente come i dati vengono trattati. Il codice fiscale, presente in quasi tutti i trattamenti, è un buon punto di partenza per un audit di dettaglio.

Quanto a lungo si può conservare il codice fiscale

La limitazione della conservazione è uno dei principi più spesso violati. Il codice fiscale raccolto per una fattura non può essere tenuto indefinitamente solo perché "potrebbe servire". I tempi di conservazione devono essere proporzionati alla finalità.

Per le fatture, la normativa fiscale italiana impone la conservazione per dieci anni. Per i contratti di lavoro, i termini variano ma sono comunque definiti. Per altri contesti, un preventivo mai accettato, un contatto commerciale non andato a buon fine, la conservazione del codice fiscale oltre il tempo strettamente necessario alla finalità originaria non ha base giuridica.

Un modo concreto per inquadrare questi obblighi è consultare le linee guida sulla protezione dei dati personali pubblicate direttamente dall'Autorità Garante europea per la protezione dei dati, che coprono anche i principi di conservazione applicabili a dati identificativi come il codice fiscale.

Le quattro basi giuridiche dell'art. 6 GDPR applicabili

Trasferimento a terzi e sistemi cloud

Uno scenario che genera spesso problemi concreti è quello del trasferimento del codice fiscale a sistemi di terze parti, piattaforme SaaS, CRM in cloud, software di contabilità ospitati su server non italiani.

Il codice fiscale caricato su piattaforme americane

In molte aziende, il codice fiscale dei dipendenti o dei clienti viene caricato su piattaforme come Salesforce, HubSpot, Google Workspace o Microsoft 365 senza che nessuno si sia chiesto se questo trasferimento rispetti il GDPR. Inviare dati personali, incluso il codice fiscale, a un servizio basato negli Stati Uniti è considerato un trasferimento verso un paese terzo ai sensi del cap. V del GDPR.

Questo non significa che sia vietato. Ma richiede che esistano garanzie adeguate: Standard Contractual Clauses (SCC) aggiornate post-Schrems II, verifica dell'adeguatezza del paese di destinazione, o altre misure supplementari. Il problema pratico è che la maggior parte delle PMI non ha mai verificato se il proprio fornitore cloud ha firmato le SCC aggiornate o se i dati vengono processati in Europa.

La questione del trattamento di dati personali su sistemi esteri, inclusi i codici fiscali, è emersa anche in discussioni tra sviluppatori e tecnici che si occupano di documenti amministrativi: chi gestisce archivi con nomi, codici fiscali e indirizzi su modelli AI ospitati negli Stati Uniti ha riscontrato che il semplice invio a un'API americana viene considerato come trattamento autonomo ai sensi del GDPR, con tutte le implicazioni che ne conseguono. La soluzione più praticabile in quei contesti è affidarsi a server all'interno dell'Unione Europea, scegliendo provider con data center localizzati in Germania, Francia o Paesi Bassi.

Il responsabile del trattamento (art. 28 GDPR)

Ogni volta che un'azienda affida a un soggetto esterno il trattamento di dati personali, incluso il codice fiscale, deve stipulare un contratto di Data Processing Agreement (DPA) ai sensi dell'art. 28 GDPR. Questo vale per il consulente del lavoro che elabora le buste paga, per la software house che gestisce il gestionale, per il commercialista che accede ai dati fiscali.

Un DPA privo di clausole specifiche sul codice fiscale, o assente del tutto, è una delle non conformità più diffuse tra le aziende italiane e tra le prime che emergono in un audit sulla protezione dei dati.

Informativa e diritti degli interessati

L'informativa deve menzionare esplicitamente il codice fiscale?

Non necessariamente in modo nominale, ma deve coprire le categorie di dati raccolti, le finalità e le basi giuridiche. Se l'azienda raccoglie codici fiscali sistematicamente, come avviene per i dipendenti e per i clienti in regime di ritenuta, l'informativa deve descrivere queste attività in modo comprensibile.

Un'informativa generica che elenca "dati identificativi" senza spiegare perché vengono raccolti, per quanto tempo vengono conservati e a chi vengono comunicati non soddisfa i requisiti di trasparenza del GDPR.

Diritto di accesso, rettifica e cancellazione

Un dipendente o un cliente può chiedere all'azienda di sapere quali dati personali che lo riguardano sono trattati, incluso il codice fiscale, e in quale contesto. Può chiedere la rettifica se i dati sono inesatti e, in alcuni casi, la cancellazione.

Il diritto alla cancellazione ha però limiti importanti nel contesto del codice fiscale: se il dato è trattato in base a un obbligo legale, ad esempio nelle fatture già emesse, la cancellazione non è possibile per il periodo di conservazione obbligatoria. L'azienda deve saper rispondere a queste richieste in modo documentato entro un mese.

Per approfondire cosa rivela il codice fiscale e perché il principio di minimizzazione è rilevante, la guida sulla privacy e il codice fiscale fornisce il quadro giuridico completo, inclusi i casi più discussi.

Sanzioni e rischi pratici per le aziende

Le sanzioni GDPR per violazioni che coinvolgono dati identificativi come il codice fiscale possono arrivare fino al 4% del fatturato mondiale annuo (o 20 milioni di euro, se superiore), secondo l'art. 83 del Regolamento. Ma nella pratica, i casi che il Garante italiano istruisce con maggiore frequenza riguardano violazioni più comuni: mancanza di base giuridica, assenza di informativa adeguata, conservazione eccessiva dei dati, trasferimento a terzi senza DPA.

Un aspetto concreto che emerge spesso è la difficoltà di ricevere risposta entro il termine di trenta giorni previsto dal GDPR quando si esercitano i propri diritti. Le aziende che non hanno un processo strutturato per la gestione delle richieste degli interessati si trovano facilmente in violazione, e questo vale anche per richieste relative al codice fiscale conservato nei loro sistemi.

Per sapere come inviare una richiesta di accesso o cancellazione a un'azienda che conserva il tuo codice fiscale, il modulo standard del Garante è disponibile sul portale ufficiale dell'Autorità Garante per la protezione dei dati personali.

Conclusione

Il codice fiscale è uno dei dati personali più trattati nelle organizzazioni italiane, eppure è anche uno dei meno analizzati dal punto di vista della conformità GDPR. Chi lo raccoglie in modo sistematico, datori di lavoro, studi professionali, imprese con clienti persone fisiche, ha obblighi precisi: identificare la base giuridica corretta per ogni trattamento, documentarlo nel registro dei trattamenti, fornire un'informativa adeguata, definire i tempi di conservazione e gestire le richieste degli interessati.

La buona notizia è che per la maggior parte dei trattamenti ordinari, fatturazione, gestione HR, adempimenti previdenziali, le basi giuridiche esistono già nella normativa fiscale e giuslavoristica. Il lavoro da fare non è giustificare i trattamenti, ma documentarli correttamente e assicurarsi che ogni uso secondario del dato abbia la propria base giuridica.

Per chi vuole capire quali informazioni sono contenute nel codice fiscale che raccoglie nei propri sistemi, lo strumento di decodifica del codice fiscale per persone nate in Italia e all'estero permette di leggere il dato in modo immediato, senza trasmettere nulla a server esterni.

Domande frequenti

Devo chiedere il consenso per raccogliere il codice fiscale di un cliente?

No, nella maggior parte dei casi. Se la raccolta è necessaria per emettere una fattura o per adempiere a un obbligo fiscale, la base giuridica è l'obbligo legale o l'esecuzione del contratto, non il consenso. Il consenso è inappropriato quando il trattamento è già obbligatorio per legge.

Il codice fiscale va inserito nel registro dei trattamenti GDPR?

Sì, se viene trattato in modo sistematico. Ogni attività che coinvolge la raccolta, l'archiviazione o la comunicazione di codici fiscali deve essere documentata nel registro, con base giuridica, finalità, destinatari e tempi di conservazione.

Un dipendente può chiedere la cancellazione del suo codice fiscale dai sistemi aziendali?

Solo parzialmente. Il codice fiscale usato per buste paga, contributi e dichiarazioni fiscali deve essere conservato per i periodi previsti dalla normativa (generalmente dieci anni per i documenti fiscali). Il diritto alla cancellazione non si applica ai trattamenti fondati su obbligo legale.

Cosa succede se il mio gestionale cloud è basato negli USA?

Il trasferimento di dati personali, incluso il codice fiscale, verso un paese non UE richiede garanzie adeguate: Standard Contractual Clauses aggiornate o altre misure previste dal cap. V GDPR. Verifica che il tuo fornitore abbia firmato un DPA aggiornato e che i dati possano essere processati su server europei.

Quanto a lungo posso conservare il codice fiscale di un ex cliente?

Dipende dalla finalità originaria. Per le fatture, dieci anni dalla data di emissione (termine fiscale). Per contratti non andati in porto o contatti commerciali generici, la conservazione deve limitarsi al tempo strettamente necessario alla finalità, di norma pochi mesi dalla chiusura del contatto.

Prova lo strumento di decodifica

Inserisci un codice fiscale e scopri subito data di nascita, sesso e comune. Tutto nel browser.

Decodifica un codice fiscale