Garante della privacy ferma Amazon: stop alla schedatura dei lavoratori

Il Garante per la protezione dei dati personali ha disposto, con provvedimento d’urgenza ed effetto immediato, il divieto per Amazon Italia Logistica srl di trattare i dati personali di oltre 1.800 lavoratori impiegati nello stabilimento di Passo Corese (RI).

Modalità di raccolta e conservazione dei dati

Secondo il provvedimento, il divieto riguarda informazioni raccolte in modo sistematico per tutta la durata del rapporto di lavoro e conservate fino a dieci anni dalla cessazione dello stesso, tramite una piattaforma connessa al sistema di rilevazione delle presenze accessibile a numerosi dirigenti.

Tipologie di informazioni contestate

I dati annotati sulla piattaforma dopo colloqui con i lavoratori, al loro rientro da periodi di assenza, includevano riferimenti a specifiche condizioni di salute come la sindrome di Crohn, l’ernia del disco e il fatto di essere portatore di pacemaker, nonché informazioni relative alla partecipazione a scioperi e ad attività sindacali.

Venivano inoltre registrati elementi di natura familiare e privata, ad esempio la presenza di parenti gravemente malati o separazioni coniugali, dettagli che il Garante ritiene non pertinenti ai fini della valutazione dell’attitudine professionale del dipendente.

Violazioni normative rilevate

Il trattamento di tali dati è stato ritenuto contrario alle norme vigenti in materia di protezione dei dati personali, inclusi i principi del Regolamento generale sulla protezione dei dati (GDPR) e del Codice in materia di protezione dei dati personali, che vietano al datore di lavoro di trattare informazioni non rilevanti rispetto alla valutazione delle capacità lavorative.

Telecamere e aree riservate

Con lo stesso provvedimento il Garante ha imposto a Amazon Italia Logistica srl di sospendere il trattamento dei dati acquisiti attraverso quattro telecamere installate in prossimità di bagni e aree di ristoro riservate ai lavoratori, ritenute incompatibili con i principi di necessità e minimizzazione del trattamento.

Il divieto si estende inoltre all’eventuale utilizzo della medesima piattaforma in altri centri logistici della società in Italia qualora le modalità operative risultassero analoghe a quelle accertate.

Ispezioni e atti istruttori

L’intervento del Garante è scaturito dai controlli effettuati, dal 9 al 12 febbraio 2026, nello stabilimento di Passo Corese, svolti in collaborazione con l’Ispettorato nazionale del lavoro e il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. L’istruttoria amministrativa è tuttora in corso per accertare gli ulteriori profili di responsabilità e la portata delle violazioni.

Implicazioni giuridiche e conseguenze

La decisione del Garante evidenzia questioni cruciali relative ai limiti del potere di controllo del datore di lavoro, alla protezione delle categorie particolari di dati sensibili (salute, opinioni sindacali) e al rispetto dei principi di pertinenza, proporzionalità e limitazione della conservazione imposti dal GDPR. In assenza di rimedi adeguati l’Autorità potrà adottare ulteriori misure sanzionatorie o prescrittive.

Per le imprese ciò implica l’esigenza di verificare strumenti e procedure di raccolta dati, limitando l’accesso alle informazioni al personale strettamente necessario, riducendo i tempi di conservazione e predisponendo basi giuridiche idonee per eventuali trattamenti di dati sensibili.

Prossime fasi e possibili interventi correttivi

Nei prossimi giorni l’istruttoria potrà portare all’adozione di provvedimenti integrativi, all’imposizione di misure tecniche e organizzative correttive, e, se del caso, all’irrogazione di sanzioni amministrative nei confronti della società coinvolta. Le autorità hanno inoltre la facoltà di richiedere audit indipendenti e piani di adeguamento per ripristinare la conformità alla normativa sulla privacy.