Nota spese e privacy: come trattare i dati personali nei giustificativi di spesa nel 2026

I giustificativi di spesa contengono dati personali dei dipendenti. Ecco base giuridica, minimizzazione e conservazione a norma GDPR nel 2026.
a cura di:
Dariush Haghighi Tajvar
ULTIMO AGGIORNAMENTO:
16.07.2026
In poche parole...

Ogni giustificativo allegato a una nota spese contiene dati personali del dipendente, e a volte dati particolari come quelli sulla salute. L'azienda che li gestisce è titolare del trattamento. La base giuridica non è il consenso, ma il contratto di lavoro e gli obblighi di legge. Servono minimizzazione, accessi limitati, conservazione a norma e la nomina del fornitore software a responsabile del trattamento.

Una nota spese sembra solo un tema fiscale e contabile. In realtà è anche un tema di privacy. Ogni scontrino, ricevuta o fattura allegata racconta qualcosa del dipendente: dove è stato, quando, con chi, per comprare cosa. Gestire queste informazioni significa trattare dati personali, con tutti gli obblighi che il GDPR impone. In questo articolo vediamo quali dati entrano in gioco, su quale base giuridica si fondano e come tenerli in regola senza complicare il lavoro dell'amministrazione.

Perché una nota spese è un tema privacy

Il GDPR (Regolamento UE 2016/679) definisce dato personale qualsiasi informazione riferita a una persona fisica identificata o identificabile. Un giustificativo di spesa lo è in pieno: contiene nome, importi, luoghi, orari e la natura dell'acquisto. Messi in fila, i giustificativi di un mese ricostruiscono gli spostamenti e le abitudini di una persona.

L'azienda che raccoglie e conserva questi documenti è il titolare del trattamento. Questo comporta obblighi precisi: informare il dipendente, individuare una base giuridica, trattare solo i dati necessari e proteggerli. Un punto va chiarito subito: la verifica delle note spese serve al rimborso e alla deducibilità, non a controllare a distanza il lavoratore. Trasformarla in uno strumento di controllo violerebbe sia la normativa privacy sia le norme sul controllo dei lavoratori.

La base giuridica: perché non serve il consenso del dipendente

È un equivoco diffuso: per trattare i dati dei dipendenti l'azienda chiede la firma su un modulo di consenso. Nella gestione delle note spese il consenso è quasi sempre la base giuridica sbagliata.

L'art. 6 del GDPR indica le basi corrette per il contesto lavorativo: l'esecuzione del contratto di lavoro (lett. b) e l'adempimento di un obbligo legale a cui è soggetto il datore (lett. c), ad esempio gli obblighi fiscali e contabili. Rimborsare una trasferta e dedurne il costo rientra in pieno in queste due basi.

Il consenso, invece, per essere valido deve essere libero. Nel rapporto di lavoro c'è uno squilibrio di potere strutturale tra azienda e dipendente, per cui il consenso raramente può dirsi davvero libero. Lo ha ribadito il Gruppo di lavoro europeo nella Opinion 2/2017 e lo ha sanzionato in concreto un'autorità garante europea, che ha multato per 150.000 euro un'azienda proprio per aver chiesto ai dipendenti un consenso che non poteva chiedere. Chiedere un consenso non dovuto non è una cautela in più: è di per sé un errore.

I dati nascosti nei giustificativi: attenzione alle categorie particolari

Alcuni giustificativi rivelano molto più di una spesa. Il caso limite è lo scontrino parlante della farmacia. Per anni ha riportato in chiaro il nome del farmaco acquistato: un'informazione che rivela lo stato di salute della persona, quindi un dato particolare ai sensi dell'art. 9 del GDPR. Proprio per questo il Garante è intervenuto, stabilendo che sullo scontrino non comparisse più il nome del medicinale ma solo il codice AIC, per tutelare la riservatezza dell'interessato.

La conseguenza per chi gestisce note spese è concreta: se un dipendente allega uno scontrino di farmacia o un giustificativo che lascia intuire una condizione di salute, l'azienda si trova a trattare un dato particolare, con tutele rafforzate. La regola d'oro è la minimizzazione: raccogliere e conservare solo ciò che serve davvero alla finalità, cioè al rimborso e alla deducibilità, e nulla di più.

Dato nel giustificativo Cosa può rivelare Cautela
Nome, importi, luoghi e orari Spostamenti e abitudini del dipendente Accesso limitato a chi gestisce il rimborso
Scontrino di farmacia con nome del farmaco Stato di salute (dato particolare, art. 9) Minimizzare, non conservare il dettaglio se non necessario
Ricevute con dati di terzi (ospiti, colleghi) Dati personali di altre persone Trattare solo il necessario alla finalità
Targa e chilometri per il rimborso auto Uso del mezzo, tragitti Raccogliere solo i dati richiesti dalla norma fiscale

I principi da applicare

L'art. 5 del GDPR fissa i principi che devono guidare tutto il processo: liceità e trasparenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, e infine l'accountability, cioè la capacità del titolare di dimostrare di aver rispettato le regole.

Nella pratica, questo significa impostare la gestione delle note spese in ottica di privacy by design e by default (art. 25), rivedendo la travel policy in modo che tratti per impostazione predefinita solo i dati necessari. E significa applicare il principio del bisogno di conoscere: ai dati delle note spese accede solo chi ne ha effettiva necessità in funzione del ruolo, non tutti gli uffici per comodità.

Quanto si conservano e come

Qui due obblighi si incontrano. Da un lato il principio di limitazione della conservazione, dall'altro l'obbligo fiscale: i giustificativi rilevanti ai fini tributari vanno conservati per dieci anni, come previsto dall'art. 2220 del Codice Civile. Il periodo di conservazione, quindi, non è arbitrario: è agganciato a un obbligo di legge, il che lo rende pienamente compatibile con il GDPR.

La conservazione, però, deve essere fatta a norma. Il Codice dell'Amministrazione Digitale e il D.M. 17 giugno 2014 richiedono immodificabilità, integrità, autenticità e leggibilità, con marca temporale e responsabile della conservazione. Scattare una foto dello scontrino e caricarla su un drive non è conservazione a norma. Farla bene protegge il dato e mette al riparo l'azienda in caso di controllo.

Approfondimento: Dematerializzazione delle note spese: cosa dice la legge e perché conviene nel 2026

Il fornitore software va nominato responsabile del trattamento

Quasi nessuna azienda gestisce le note spese solo su carta. Si usano app e piattaforme in cloud, che trattano dati personali dei dipendenti per conto dell'azienda. In questi casi il fornitore è responsabile del trattamento ai sensi dell'art. 28 del GDPR, e il rapporto va regolato da un contratto specifico, il Data Processing Agreement.

Prima di affidare i dati, il titolare deve verificare che il fornitore offra garanzie sufficienti: misure di sicurezza, gestione dei sub responsabili, ubicazione dei dati, procedure in caso di data breach e restituzione o cancellazione dei dati alla fine del rapporto. Non è una formalità: senza una nomina regolare, trasferire i dati a un fornitore esterno è una comunicazione illecita di dati.

Checklist per gestire le note spese in regola

  1. Fornire ai dipendenti un'informativa chiara (art. 13) che indichi finalità, base giuridica e tempi di conservazione.
  2. Annotare il trattamento nel registro delle attività di trattamento.
  3. Limitare gli accessi ai soli soggetti autorizzati che ne hanno bisogno.
  4. Applicare la minimizzazione: non richiedere dati non necessari al rimborso e alla deducibilità.
  5. Nominare il fornitore software responsabile del trattamento con un DPA.
  6. Conservare i giustificativi a norma per il periodo dovuto, senza trattenerli oltre.

Approfondimento: Frodi sulle note spese: come riconoscerle e prevenirle nel 2026

Guida operativa: Automatizzare le note spese: quanto tempo e quanta IVA sta perdendo la tua PMI

Guida professionale: Come i commercialisti possono aiutare i clienti a digitalizzare le note spese nel 2026

La soluzione Recivu

Meno documenti sparsi significa anche meno rischio privacy. Finché scontrini e ricevute girano in formato cartaceo, tra scrivanie, cassetti e foto sui telefoni, il controllo su chi vede cosa diventa difficile. Un processo strutturato e digitale riduce la superficie di rischio e rende dimostrabile il rispetto delle regole.

Recivu lavora come soggetto delegato: converte i documenti commerciali raccolti dai dipendenti in fatture elettroniche, recuperando l'IVA che altrimenti resterebbe persa in ogni nota spese. Il dato viene strutturato e tracciato invece di restare su una pila di scontrini, e l'azienda smette di lasciare soldi sul tavolo a ogni trasferta.

Perché continui a perdere migliaia di € a causa degli scontrini? Scopri Recivu
  • Recuperi il 100% dell’IVA su ogni scontrino.
  • Note spese sempre deducibili e inerenti.
  • Completamente automatico, pensiamo a tutto noi.