In data 24 febbraio 2026, con il provvedimento n. 107, diffuso mediante comunicato stampa pubblicato in pari data, il Garante per la Protezione dei Dati Personali (anche, “Garante della Privacy” o “Garante”) ha limitato in via definitiva, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE 2016/679 (“Regolamento”), i trattamenti di dati personali dei dipendenti effettuati da Amazon Italia Logistica S.r.l. (“Amazon” o “Società”) presso i suoi stabilimenti.
A seguito delle ispezioni svolte dal Garante della Privacy, è emerso che tali trattamenti sono attuati in manifesta violazione dei principi di liceità, minimizzazione dei dati e limitazione della conservazione di cui agli artt. 5, par. 1, lett. a), c) ed e), 6 e 9 del Regolamento.
In particolare, a seguito della pubblicazione di notizie sui media relative ai trattamenti dei dati personali dei lavoratori effettuati da Amazon, il Garante per la Protezione dei Dati Personali ha avviato d’ufficio un’attività di accertamento presso lo stabilimento di Passo Corese (RI), volto a comprendere le concrete modalità di trattamento e a verificarne la sua liceità.
Nel corso dell’accertamento è emerso che la Società utilizza una piattaforma, interconnessa con il sistema di rilevazione presenze dei dipendenti, che ha la funzionalità di segnalare ai manager la necessità di disporre colloqui con i dipendenti di cui sono responsabile, al rientro da periodi di assenza o all’occorrenza di eventi determinati, quali compleanni, raggiungimento di punteggi elevati sull’applicazione Bradford Factor (che assegna punti alti in caso di numerose e frequenti assenze brevi), etc.
In particolare, la piattaforma dispone di due distinte funzionalità – quella WB e quella BWC – che segnalano al manager la tipologia di colloquio da effettuare: la funzione WB evidenzia al manager la necessità di svolgere un c.d. “colloquio di bentornato” a seguito di qualsivoglia assenza non programmata e la funzione BWC raccomanda, con cadenza mensile, all’area manager di effettuare un colloquio al rientro dall’assenza programmata di quei dipendenti che hanno registrato un punteggio alto sull’applicazione Bradford Factor.
La piattaforma presenta, poi, uno spazio a campo libero, all’interno del quale il manager è tenuto ad annotare sinteticamente quanto discusso nel corso degli anzidetti colloqui con i dipendenti.
Ebbene, dall’esame delle informazioni ivi riportate, è emerso che Amazon raccoglie una serie di informazioni attinenti alla salute, alla vita privata e alle attività sindacali di oltre 1.800 dipendenti (precisamente, 1.822) adibiti presso lo stabilimento di Passo Corese mediante la piattaforma, conservandole per un periodo di tempo pari a 10 anni successivi alla cessazione del rapporto.
Nelle annotazioni vengono riportati dati sulle specifiche patologie sofferte dai dipendenti (quali, “sindrome di Chron”, “lombosciatalgia”, “pressione alta”, “polmonite”), sulla loro partecipazione a scioperi e sul loro coinvolgimento nelle attività sindacali (con annotazioni quali, “ha fatto ampio uso dello sciopero poiché decisamente sindacalizzato. […] Da monitorare behaviour”, “ha utilizzato lo sciopero come scusa per non venire al lavoro”), sulla loro vita familiare e personale (con annotazioni quali, “padre single vedovo e quindi ha in carico la gestione del figlio ormai quasi 12enne”, “abbiamo parlato della sua passione, la palestra, di come affronta gli allenamenti, l’alimentazione”) nonché sui rapporti di tipo personale tra colleghi (con annotazioni quali, “problemi con il team perché giravano voci che faceva la spia con i colleghi”, “aveva lasciato la sua postazione ed aver parlato 40 minuti ininterrottamente con un collega”). In altri termini, dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore e comprensivi, altresì, di dati c.d. particolari, ai sensi dell’art. 9 del Regolamento.
Oltretutto, i dati raccolti dalla piattaforma sono accessibili ad un’amplia platea di destinatari: gli Operation Manager di uno stabilimento possono, infatti, vedere tutte le informazioni raccolte sui dipendenti addetti presso la medesima struttura, i c.d. team di sviluppo, allo stesso modo, hanno accesso a tali dati e, infine, i profili di Employee Support hanno la possibilità di visionare tutte quelle informazioni di cui hanno bisogno per lo svolgimento dei loro compiti.
Una piattaforma che, in sintesi, ha il fine di schedare i dipendenti e che, come dichiarato dalla stessa Società, “è uno strumento standardizzato che ha la peculiarità di conservare le informazioni sui dipendenti e di incrementarle nel tempo”.
Oltre a quanto sopra, dall’accertamento condotto dal Garante della Privacy è altresì emerso che presso il medesimo stabilimento di Passo Corese sono installate quattro telecamere di videosorveglianza, le quali sono posizionate in prossimità di aree riservate (quali bagni e aree di ristoro) e, seppur dotate della funzione privacy mask (i.e., una funzione di mascheramento, che oscura parzialmente l’immagine), consentono l’identificazione dei soggetti che accedono a tali locali.
Peraltro, le finalità per cui tali telecamere sono state installate non corrispondono esattamente a quanto indicato nella policy interna di Amazon, che stabilisce che il posizionamento dei sistemi di videosorveglianza deve rispondere allo scopo di protezione delle aree comuni (come corridoi, punti di passaggio verso uscite di emergenza e punti di passaggio verso diverse sezioni del sito). Infatti, le quattro telecamere oggetto di sopralluogo non sono propriamente rivolte verso “aree comuni”, come definite nella policy interna, e, in ogni caso, tali luoghi sono già monitorati da ulteriori sistemi di videosorveglianza.
Alla luce di tutto quanto emerso nel corso dell’accertamento, il Garante per la Protezione dei Dati Personali ha ritenuto che:
- i trattamenti dei dati personali effettuati mediante la piattaforma e le quattro telecamere siano illegittimi, in quanto in violazione dei principi di liceità, minimizzazione dei dati e limitazione della conservazione di cui agli artt. 5, par. 1, lett. a), c) ed e), 6 e 9 del Regolamento;
- le informazioni raccolte mediante la piattaforma rappresentino dei dati non rilevanti ai fini della valutazione dell’attitudine professionale dei lavoratori e, dunque, il loro trattamento sia da ritenersi in violazione del relativo divieto in capo al datore di lavoro di cui all’art. 113 del d.lgs. 196/2003, come novellato dal d.lgs. 101/2018, (“Codice”) e all’art. 8 della L. 300/1970;
- in considerazione dell’elevato numero di interessati coinvolti (1.822 dipendenti), del regime di accessibilità dei dati raccolti mediante la piattaforma, della particolare natura dei dati e della lunga conservazione dei dati sistematicamente raccolti e memorizzati sulla piattaforma, sia necessario intervenire per proteggere i diritti e le libertà degli interessati, adottando le misure opportune a tal fine;
- i trattamenti dei dati personali effettuati mediante le quattro telecamere ledano la dignità dei lavoratori e, dunque, sia necessario adottare le misure necessarie per la loro salvaguardia.
Per tali ragioni, il Garante della Privacy ha disposto nei confronti di Amazon la misura della limitazione definitiva degli anzidetti trattamenti di dati personali effettuati presso lo stabilimento di Passo Corese, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, con effetto immediato dalla ricezione del provvedimento in commento, con, altresì, il dovere di verificare, presso tutti gli stabilimenti che utilizzano la piattaforma, la liceità dei trattamenti attuati.
Tale provvedimento si inserisce nel solco degli innumerevoli ulteriori interventi del Garante della Privacy, che, nel 2025 hanno colpito diverse società con sanzioni rilevanti per l’illecito trattamento dei dati personali dei dipendenti.
Nel corso dell’anno passato, infatti, il Garante si è più volte pronunciato sull’illiceità di vari trattamenti posti in essere dai datori di lavoro, quali: (i) la geolocalizzazione, posta in essere in violazione del Regolamento e del Codice, sia dei veicoli aziendali (provvedimento n. 7 del 16 gennaio 2025) sia dei dipendenti in smart-working (provvedimento n. 135 del 13 marzo 2025); (ii) l’illecita conservazione dei metadati e dei log di Internet (provvedimento n. 243 del 29 aprile 2025); (iii) l’illecito trattamento dei dati personali dei dipendenti raccolti al rientro dalle assenze per malattia, infortunio o ricovero (provvedimento n. 390 del 10 luglio 2025); e (iv) l’illegittimo accesso alla e-mail del lavoratore licenziato (provvedimento n. 754 del 18 dicembre 2025).
In altri termini, si tratta di una serie di provvedimenti che evidenziano come, nell’attuale contesto di profonda evoluzione tecnologica, l’attenzione dl Garante nei confronti del trattamento dei dati personali di dipendenti, attuali ed ex, sia in costante crescita e come la tutela dei diritti degli interessati assuma un rilievo prioritario. Ciò anche alla luce del peculiare rapporto di subordinazione che caratterizza la relazione tra datore di lavoro e lavoratore, il quale impone un livello di protezione del dipendente (e dei suoi diritti) particolarmente elevato.
Ne consegue la necessità, per le società, di adottare un approccio improntato alla massima cautela, verificando con rigore – ed in via preventiva – la piena conformità dei trattamenti posti in essere con la normativa vigente, al fine di prevenire il rischio di sanzioni anche di significativo importo.