Il Garante per la protezione dei dati personali ha disposto nei confronti di Amazon la limitazione definitiva del trattamento di dati personali dei propri lavoratori riguardanti specifiche patologie sofferte, l’adesione agli scioperi e alle attività sindacali nonché le informazioni sulla loro vita personale e quella dei familiari. Nello stesso provvedimento il Garante ha anche disposto la limitazione definitiva del trattamento dei dati personali che Amazon effettuava attraverso quattro telecamere ubicate in prossimità degli accessi ad aree riservate ai lavoratori (bagni e aree ristoro) [1].
Il provvedimento evidenzia i limiti che il datore di lavoro non può oltrepassare nella raccolta e trattamento dei dati dei propri dipendenti anche alla luce della normativa giuslavoristica.
- Il caso
Il caso ha origine nello stabilimento di Passo Corese a seguito della pubblicazione di alcune notizie sui media. Il Garante ha rilevato che Amazon adottava una piattaforma, collegata al sistema di rilevazione delle presenze, che segnalava ai manager la necessità di un colloquio con il lavoratore a seguito del rientro da periodi di assenza o al ricorrere di determinati eventi. Dopo il colloquio il manager poteva annotare sulla piattaforma le informazioni che il dipendente gli comunicava.
Gli accertamenti svolti dal Garante hanno rilevato che le annotazioni riguardavano informazioni personali dei dipendenti come la sofferenza di specifiche malattie, la loro partecipazione ad uno sciopero e alle attività sindacali, passioni, dinamiche lavorative, personali e familiari.
Tali informazioni non solo venivano conservate per tutta la durata del rapporto di lavoro e fino a dieci anni dalla sua cessazione, ma anche potevano essere consultate da diversi soggetti con ruoli più o meno apicali all’interno dell’azienda.
Nel medesimo stabilimento di Passo Corese Amazon aveva anche installato quattro telecamere in prossimità di aree dedicate ai lavoratori (bagni e aree ristoro) al fine di proteggere quelle zone. Sebbene risultasse attiva una funzione che oscurava parzialmente l’immagine, rimaneva possibile identificare i soggetti che facevano accesso a quelle aree, effettuando così una vera e propria attività di controllo nei confronti dei lavoratori.
- La decisione del Garante
Sul profilo delle annotazioni di informazioni personali dei lavoratori sulla piattaforma il Garante riteneva violato il divieto di trattamento di dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore posto a carico del datore di lavoro dagli artt. 113 del D.lgs. 196 del 2003 (Codice in materia di protezione dei dati personali), in relazione con l’art. 5, par. 1, lett. a) e l’art. 88 del Regolamento (UE) 2016/679 (c.d. GDPR). Le attività di trattamento di dati svolte da Amazon si pongono anche in contrasto i principi di liceità, minimizzazione dei dati e di limitazione della conservazione degli stessi, previsti dal GDPR.
Il Garante ravvisava anche la gravità della condotta dato il numero elevato di lavoratori coinvolti, l’ampio lasso di tempo entro cui sono stati raccolti i dati, il numero di soggetti che avevano accesso a tali dati e la natura delicata delle informazioni trattate. Per queste ragioni si riteneva di adottare con urgenza un provvedimento sanzionatorio.
In più, l’esigenza di protezione delle aree comuni non poteva giustificarsi dal momento che erano presenti altre telecamere nelle vicinanze che avrebbero potuto soddisfare quella necessità.
- Regole per un bilanciamento tra esigenze del datore di lavoro e tutela dei diritti dei lavoratori
Fermo restando che il provvedimento riguarda esclusivamente i profili del trattamento dei dati personali, la pronuncia mostra anche dei risvolti sul piano del bilanciamento tra le necessità del datore di lavoro e la tutela dei diritti dei lavoratori. Dalla parte del lavoratore, dunque, si manifesta la necessità di una tutela dei dati personali, intesa come liceità e correttezza del trattamento nonché tutela della sfera privata [2]; dalla parte del datore di lavoro, invece, vi è la necessità di valutare le competenze, le conoscenze, le abilità attuali e, soprattutto, il potenziale di crescita futura di un dipendente all’interno dell’azienda. Queste due esigenze – quella del lavoratore e quella del datore – devono essere bilanciate.
In questo caso il GDPR deve essere letto insieme alle norme giuslavoristiche, specie lo Statuto dei lavoratori (legge n. 300 del 1970) [3]. Nel provvedimento del Garante v’è un accenno a questa disciplina, dal momento che la sovrapposizione di argomentazioni appare evidente [4]. L’art. 8 dello Statuto dei lavoratori, infatti, pone un divieto a carico del datore di lavoro di usare dati dei lavoratori per un fine diverso da quello della valutazione dell’attitudine professionale del lavoratore [5]. Tale disposizione specifica i principi di limitazione della finalità del trattamento, di minimizzazione dei dati e di esattezza di cui all’art. 5 del GDPR, richiamati dal Garante nelle proprie motivazioni.
In questa prospettiva, il bilanciamento non è rimesso alla sola discrezionalità organizzativa del datore di lavoro, ma è guidato da criteri normativi chiari e spesso rinvenibili in differenti fonti del diritto. Ne risulta che la tutela della riservatezza impone un limite sostanziale alle forme di raccolta e utilizzo dei dati, anche quando queste siano giustificate da esigenze organizzative o produttive, alla luce della disciplina del GDPR parallelamente a quella giuslavoristica. In questo senso la medesima violazione può incidere su più piani tra loro interconnessi: quello della privacy e quello della tutela dei diritti dei lavoratori.
Le nuove tecnologie hanno facilitato e incrementato la raccolta di dati dei dipendenti di un’azienda. Nel caso esaminato tale raccolta non avveniva automaticamente, ma attraverso le annotazioni da parte dei manager su una piattaforma.
L’impiego di strumenti tecnologici nel contesto lavorativo non è di per sé illegittimo, ma deve essere strutturato secondo logiche di proporzionalità e necessità, evitando forme di controllo generalizzato o la raccolta di informazioni eccedenti rispetto alle finalità dichiarate. In questo senso, la decisione del Garante si inserisce in un percorso più ampio volto a riaffermare la centralità della persona nel rapporto di lavoro, anche nell’era della digitalizzazione e delle piattaforme.
Resta tuttavia aperta la questione di come tali principi possano essere concretamente attuati in contesti produttivi sempre più data-driven, nei quali la raccolta e l’elaborazione di informazioni rappresentano una componente strutturale dell’organizzazione del lavoro. Ciò richiede non solo un rafforzamento degli strumenti di controllo e delle garanzie procedurali, ma anche una riflessione più ampia sul coordinamento delle diverse normative al fine di rendere maggiormente efficiente la protezione dei dati nell’era delle trasformazioni tecnologiche.
[1] Garante per la protezione dei dati personali, provvedimento del 24 febbraio 2026 (registro dei provvedimenti n. 107 del 24 febbraio 2026), doc. web n. 10224096.
[2] G. M. Riccio, G. Scorza, E. Belisario (a cura di), GDPR e normativa privacy. Commentario, Wolters Kluwer, Milano, 2022, II edizione, p. 777.
[3] L’esigenza di coordinamento la si trova anche nella deliberazione n. 53 del 23 novembre 2006 del Garante privacy dove, al paragrafo 6, in riferimento al trattamento dei dati personali riguardanti lo stato di salute vi è un esplicito richiamo all’art. 8 dello Statuto dei lavoratori.
[4] Di questa sovrapposizione ne parlava già R. Lattanzi, Dallo statuto dei lavoratori alla disciplina dei dati personali, in Rivista italiana del diritto del lavoro, 1/2011, p. 151. L’A. ritiene che in questo modo si rafforzi la garanzia dell’uguaglianza e del pieno sviluppo della persona.
[5] Tale disciplina è confermata anche dall’art. 113 del D.lgs. n. 196 del 2003 (c.d. Codice privacy) e viene anche ripresa dall’art. 10 del D.lgs. n. 276 del 2003.
