Stop immediato alla raccolta e conservazione di informazioni su patologie, adesione agli scioperi e aspetti della vita personale dei dipendenti. Il Garante per la protezione dei dati personali è intervenuto con un provvedimento urgente nei confronti di Amazon Italia Logistica srl, vietando il trattamento illecito di dati personali di oltre 1.800 lavoratori impiegati nello stabilimento di Passo Corese (Rieti).
L’Autorità ha disposto la limitazione definitiva del trattamento con effetto immediato, ritenendo particolarmente grave la raccolta sistematica di informazioni non pertinenti rispetto alla valutazione dell’attitudine professionale dei dipendenti.
Cosa è emerso dalle ispezioni
L’intervento trae origine da accertamenti ispettivi svolti nel mese di febbraio 2026 presso il centro logistico di Passo Corese, anche in collaborazione con l’Ispettorato Nazionale del Lavoro e con il supporto del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza.
Al centro della vicenda c’è una piattaforma interna collegata al sistema di rilevazione delle presenze. Il sistema segnalava ai manager la necessità di effettuare colloqui con i dipendenti al rientro da assenze non programmate o al verificarsi di determinati eventi.
Gli esiti di questi colloqui venivano annotati in un campo libero, accessibile a diversi livelli manageriali. Ed è proprio il contenuto di tali annotazioni ad aver determinato l’intervento del Garante.
Patologie, scioperi e vita privata: quali dati venivano annotati
Dalle verifiche è emerso che nei campi liberi della piattaforma venivano inserite informazioni dettagliate su:
- specifiche patologie e condizioni di salute (ernie, lombosciatalgie, pacemaker, sindrome di Crohn, allergie, problemi alla schiena, ecc.);
- adesione a scioperi e utilizzo delle ore di sciopero;
- partecipazione ad attività sindacali;
- situazioni familiari delicate (malattie di parenti, lutti, separazioni);
- aspetti personali e hobby (attività sportive, passioni, interessi extra lavorativi);
- rapporti personali tra colleghi.
Le informazioni risultavano conservate per tutta la durata del rapporto di lavoro e fino a dieci anni dopo la sua cessazione.
Secondo l’Autorità, si tratta di dati non rilevanti ai fini della valutazione professionale e quindi non legittimamente trattabili dal datore di lavoro.
I principi violati secondo il Garante
Il Garante ha richiamato i principi fondamentali del GDPR, in particolare:
- il principio di liceità, correttezza e trasparenza;
- il principio di minimizzazione dei dati (devono essere adeguati, pertinenti e limitati a quanto necessario);
- il principio di limitazione della conservazione.
In ambito lavorativo, il trattamento dei dati personali è ammesso solo nei limiti strettamente necessari alla gestione del rapporto di lavoro. La normativa nazionale vieta espressamente al datore di effettuare indagini su fatti non rilevanti ai fini dell’attitudine professionale del lavoratore.
Annotare in modo sistematico informazioni su malattie, scioperi o vita privata – secondo l’Autorità – incide sulla dignità e sulle libertà fondamentali dei dipendenti.
Stop anche alle telecamere vicino a bagni e aree ristoro
Il provvedimento riguarda anche quattro telecamere installate in prossimità di bagni e aree ristoro riservate ai lavoratori.
Nonostante fosse attiva una funzione di oscuramento parziale dell’immagine (privacy mask), le verifiche hanno evidenziato la possibilità di identificare le persone che accedevano alle aree riservate.
Anche sotto questo profilo il Garante ha ritenuto necessario intervenire con una misura urgente, disponendo la limitazione del trattamento.
Verifiche estese a tutti i centri logistici
Oltre allo stabilimento di Passo Corese, l’azienda dovrà verificare con effetto immediato la liceità dei trattamenti effettuati tramite la medesima piattaforma anche negli altri centri logistici italiani, qualora utilizzata con modalità analoghe.
Le limitazioni disposte hanno effetto immediato dalla notifica del provvedimento.
Cosa può succedere ora
L’istruttoria non è conclusa. Il procedimento prosegue per l’accertamento degli ulteriori profili al vaglio dell’Autorità.
In caso di inosservanza delle misure imposte, sono previste sanzioni amministrative pecuniarie particolarmente rilevanti, come stabilito dal GDPR.
Un caso che riapre il tema del controllo digitale sul lavoro
La vicenda riporta al centro dell’attenzione il delicato equilibrio tra organizzazione aziendale, strumenti tecnologici e diritti fondamentali dei lavoratori.
Nei contesti ad alta intensità tecnologica, l’utilizzo di piattaforme digitali e sistemi di monitoraggio non può trasformarsi in una raccolta estesa e sistematica di informazioni sulla salute, sulle scelte sindacali o sulla vita privata dei dipendenti.
Il principio ribadito dall’Autorità è chiaro: la gestione del personale deve rispettare limiti precisi. Anche quando supportata da algoritmi e strumenti digitali, la dignità del lavoratore resta un confine invalicabile.
Garante Privacy: comunicato stampa del 24/02/26 (36,1 KiB, 0 hits)
Garante Privacy: Provvedimento del 24 febbraio 2026 (48,0 KiB, 0 hits)
Garante Privacy: Comunicato stampa del 09/02/26 (35,0 KiB, 0 hits)
