Con il provvedimento n. 107 del 24 febbraio 2026, il Garante per la protezione dei dati personali ha adottato in via d’urgenza una misura di limitazione definitiva del trattamento nei confronti di Amazon Italia Logistica s.r.l. Il provvedimento segue un’ispezione condotta tra il 9 e il 12 febbraio 2026 presso il magazzino di Passo Corese (RI) e fotografa con precisione tre gravi profili di illiceità nel trattamento dei dati dei lavoratori.
Cosa ha trovato il Garante
Al centro della vicenda c’è una piattaforma di gestione delle risorse umane — denominata «XX» negli atti ispettivi — collegata al sistema di rilevazione delle presenze. La piattaforma utilizza il cosiddetto Bradford Factor, un algoritmo che penalizza le assenze brevi e frequenti assegnando punteggi crescenti: al raggiungimento di una certa soglia, il sistema genera automaticamente una raccomandazione al manager di effettuare un colloquio con il dipendente.
Il problema non è lo strumento in sé, ma ciò che accade dopo: ogni colloquio viene annotato in un campo libero di testo all’interno della scheda individuale del lavoratore. I verbali ispettivi documentano un catalogo agghiacciante di informazioni registrate dai manager: dati sanitari (sindrome di Crohn, lombosciatalgia, ernia al disco, pacemaker, polmonite), vicende familiari drammatiche (padre con ischemia, sorella con tumore cerebrale, separazione coniugale in corso), partecipazione a scioperi con valutazioni sull’orientamento sindacale del dipendente («decisamente sindacalizzato, da monitorare behaviour»), hobby, passioni personali e relazioni sentimentali tra colleghi.
Tutto questo materiale veniva conservato per l’intera durata del rapporto di lavoro più dieci anni dalla sua cessazione, ed era accessibile in formato grezzo ai team di sviluppo e agli Operation Manager di ciascun stabilimento.
Le norme violate
Il Garante ha ritenuto violati i principi fondamentali del GDPR: liceità del trattamento (art. 5, par. 1, lett. a), minimizzazione dei dati (lett. c) e limitazione della conservazione (lett. e). La raccolta di dati sanitari e di informazioni sull’attività sindacale senza base giuridica integra inoltre la violazione degli artt. 6 e 9 del Regolamento, che impongono condizioni particolarmente stringenti per il trattamento delle categorie speciali di dati.
Ma la violazione più significativa sul piano sanzionatorio è quella dell’art. 113 del Codice Privacy, che richiama espressamente il divieto posto dall’art. 8 dello Statuto dei Lavoratori: il datore di lavoro non può raccogliere e trattare informazioni su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore. Questa norma, notifica il Garante, costituisce una disposizione di maggior tutela ex art. 88 GDPR, la cui violazione ricade nella fascia sanzionatoria massima dell’art. 83, par. 5 GDPR: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.
Le telecamere nei bagni
Il secondo filone del provvedimento riguarda quattro telecamere identificate nei log con la dicitura «BATHROOM», posizionate e orientate in modo da rendere identificabili i soggetti che accedono ai bagni e all’area ristoro. Amazon aveva attivato una funzione di privacy mask, ma il Garante ha accertato che l’oscuramento era solo parziale: in almeno un caso documentato negli audit log, la società era riuscita a identificare un membro del personale di security che aveva acceduto a uno dei bagni. L’identificabilità, anche parziale, è sufficiente a integrare un trattamento di dati personali in palese violazione dei diritti dei lavoratori e dell’art. 4 dello Statuto dei Lavoratori.
Le conseguenze e cosa devono fare le imprese
Il Garante ha disposto la limitazione definitiva del trattamento con effetto immediato, estendendola a tutti gli stabilimenti italiani che utilizzano la piattaforma, non solo a Passo Corese. Amazon ha avuto sette giorni per comunicare all’Autorità l’esito della verifica interna. Si tratta di un provvedimento cautelare: le sanzioni pecuniarie potranno seguire all’esito dell’istruttoria ancora in corso.
Il caso non riguarda solo Amazon. La dinamica descritta — una piattaforma HR con campo libero, un algoritmo che genera colloqui, manager non adeguatamente formati sui limiti della raccolta dei dati — è presente in moltissime grandi organizzazioni. I passi fondamentali che ogni impresa deve compiere sono chiari: mappare le piattaforme HR verificando quali dati raccolgono effettivamente; adottare istruzioni operative vincolanti che vietino esplicitamente l’annotazione di dati sanitari, sindacali e personali; ridefinire i tempi di conservazione applicando in modo rigoroso il principio di minimizzazione; verificare fisicamente la posizione di ogni telecamera escludendo la captazione di aree riservate ai lavoratori; aggiornare le DPIA e formare il personale manageriale.
La dignità del lavoratore non è una variabile negoziabile nei processi di ottimizzazione aziendale. Il GDPR e lo Statuto dei Lavoratori pongono un confine preciso: il provvedimento del Garante segnala che quel confine esiste, è esigibile, e che chi lo supera — anche attraverso strumenti apparentemente neutri come un algoritmo di gestione delle assenze — ne risponde.
