Garante Privacy Amazon lavoratori: stop alla schedatura, cosa rischiano le PMI
Nota importante: questo contenuto ha finalità informative e operative e non costituisce consulenza legale. Il provvedimento del Garante è del 24 febbraio 2026. L’istruttoria è ancora in corso: le sanzioni pecuniarie potranno seguire all’esito definitivo.
Il Garante Privacy Amazon lavoratori è il provvedimento più duro degli ultimi anni sul trattamento dei dati dei dipendenti in Italia. Il 24 febbraio 2026 l’Autorità ha vietato, in via d’urgenza e con effetto immediato, ad Amazon Italia Logistica il trattamento dei dati personali di oltre 1.800 lavoratori dello stabilimento di Passo Corese, in provincia di Rieti. Il motivo: una piattaforma HR che raccoglieva sistematicamente dati sanitari, informazioni sull’attività sindacale, dettagli sulla vita personale e familiare dei dipendenti – e li conservava fino a dieci anni dopo la fine del rapporto di lavoro.
Se pensi che questo riguardi solo le multinazionali, considera una cosa: la dinamica che il Garante ha contestato – un gestionale con un campo note libero dove i responsabili annotano tutto ciò che emerge dai colloqui con i dipendenti – è presente in moltissime PMI italiane. Quello che cambia è solo la scala.
Cosa ha scoperto il Garante nello stabilimento Amazon
L’ispezione si è svolta dal 9 al 12 febbraio 2026 presso il magazzino di Passo Corese, in collaborazione con l’Ispettorato nazionale del lavoro e il Nucleo speciale tutela privacy della Guardia di finanza. Al centro del provvedimento c’è una piattaforma di gestione delle risorse umane collegata al sistema di rilevazione delle presenze.
La piattaforma utilizza il cosiddetto Bradford Factor, cioè un algoritmo che assegna un punteggio alle assenze brevi e frequenti dei dipendenti. Quando il punteggio supera una certa soglia, il sistema segnala automaticamente al manager la necessità di effettuare un colloquio con il lavoratore al rientro dall’assenza. Fin qui, nulla di necessariamente illegittimo.
Il problema è quello che succedeva dopo il colloquio. I manager annotavano in un campo di testo libero qualunque informazione emergesse dalla conversazione. I verbali ispettivi documentano annotazioni come: patologie specifiche (sindrome di Crohn, lombosciatalgia, ernia al disco, pacemaker, polmonite), situazioni familiari (padre con ischemia, sorella con tumore, separazione coniugale), partecipazione a scioperi con valutazioni sull’orientamento sindacale del dipendente, hobby, relazioni sentimentali tra colleghi.
Questi dati venivano conservati per l’intera durata del rapporto di lavoro più dieci anni dalla cessazione, ed erano accessibili in formato grezzo non solo ai manager dello stabilimento, ma anche ai team di sviluppo interni.
Garante Privacy Amazon lavoratori: le norme violate
Il Garante ha contestato violazioni su tre livelli distinti.
Primo livello: principi fondamentali del GDPR. Il trattamento viola il principio di liceità (articolo 5, paragrafo 1, lettera a), il principio di minimizzazione dei dati (lettera c) e il principio di limitazione della conservazione (lettera e). In parole semplici: Amazon raccoglieva più dati del necessario, senza una base giuridica adeguata, e li teneva troppo a lungo.
Secondo livello: dati sensibili senza base giuridica. Informazioni sanitarie e dati sull’attività sindacale rientrano nelle categorie particolari di dati protette dall’articolo 9 del GDPR. Trattarle richiede condizioni molto specifiche – un semplice campo note in un gestionale HR non le soddisfa.
Terzo livello: Statuto dei Lavoratori. L’articolo 113 del Codice Privacy richiama il divieto dell’articolo 8 dello Statuto dei Lavoratori: il datore di lavoro non può raccogliere informazioni su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del dipendente. Questa è una norma di maggior tutela ai sensi dell’articolo 88 del GDPR, e la sua violazione ricade nella fascia sanzionatoria massima: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.
Le telecamere puntate sui bagni
Il provvedimento non si ferma alla piattaforma HR. L’ispezione ha individuato quattro telecamere posizionate in prossimità degli accessi a bagni e aree ristoro riservate ai lavoratori. Amazon aveva attivato una funzione di oscuramento parziale (privacy mask), ma il Garante ha accertato che il mascheramento non era sufficiente: in almeno un caso documentato nei log di sistema, era stato possibile identificare una persona che accedeva a uno dei bagni.
L’identificabilità, anche parziale, basta a configurare un trattamento di dati personali che viola l’articolo 4 dello Statuto dei Lavoratori sul controllo a distanza.
Tre scenari concreti per PMI italiane
Il caso Amazon sembra lontano dalla realtà di una piccola impresa, ma la dinamica di base è la stessa. Ecco tre situazioni realistiche in cui una PMI italiana rischia le stesse contestazioni.
Studio professionale con 8 dipendenti
Un commercialista usa un foglio Excel condiviso per tracciare le assenze. Nella colonna “Note” annota: “Anna ha detto che era dal medico per la tiroide” e “Marco ha chiesto permesso per assemblea sindacale”. Non c’è nessun algoritmo, nessuna piattaforma sofisticata – ma il trattamento è identico a quello contestato ad Amazon. Dati sanitari e sindacali, conservati senza base giuridica, accessibili a chi non ne ha bisogno.
E-commerce con magazzino e 25 operatori
Un negozio online gestisce il magazzino con un software HR che prevede colloqui di rientro dopo le assenze. Il responsabile di magazzino, non formato sui limiti della raccolta dati, annota tutto: “Ha problemi alla schiena, potrebbe rallentare”, “Ha detto che cerca un altro lavoro”. Il software conserva tutto senza limiti temporali. La telecamera del magazzino, installata per sicurezza, inquadra anche l’ingresso del bagno.
Agenzia di marketing con team da remoto
Un’agenzia usa un tool di project management (Notion, Asana, Monday) dove i team leader annotano nelle schede dei collaboratori commenti come “spesso assente il lunedì, potrebbe avere problemi personali” o “e’ in maternita’, valutare redistribuzione”. Anche se il contesto è digitale e il tono è informale, queste annotazioni costituiscono un trattamento di dati personali – e se contengono informazioni sanitarie o familiari, ricadono nella stessa violazione.
Cosa deve fare una PMI dopo il caso Amazon
Il provvedimento del Garante indica una lista precisa di azioni che ogni azienda con dipendenti dovrebbe verificare.
Mappare i gestionali HR e i campi di annotazione. Verifica se il tuo gestionale, foglio Excel o tool di project management prevede campi a testo libero dove i responsabili possono annotare informazioni sui dipendenti. Se sì, definisci per iscritto quali informazioni sono ammesse e quali sono vietate. Il criterio è quello dell’articolo 8 dello Statuto dei Lavoratori: solo informazioni rilevanti per la valutazione dell’attitudine professionale.
Formare i responsabili. Il caso Amazon dimostra che spesso non è il sistema a essere illegittimo, ma l’uso che ne fanno i manager. Chi conduce colloqui con i dipendenti deve sapere che annotare patologie, attività sindacali, problemi familiari o abitudini personali è vietato. Questo rientra anche negli obblighi di formazione già in vigore.
Verificare i tempi di conservazione. Il GDPR impone che i dati siano conservati solo per il tempo necessario alla finalità del trattamento. Le note sui colloqui con i dipendenti non possono restare nei sistemi per anni dopo la fine del rapporto di lavoro. Definisci una policy di cancellazione e applicala.
Controllare fisicamente le telecamere. Se hai telecamere in azienda, verifica che nessuna inquadri direttamente o indirettamente l’accesso a bagni, spogliatoi, aree ristoro o sale sindacali. Anche un oscuramento parziale può non bastare se resta possibile identificare le persone.
Aggiornare la valutazione d’impatto (DPIA) se usi strumenti che monitorano sistematicamente i dipendenti – compresi software che tracciano presenze, produttività o generano alert automatici sulle assenze.
Sanzioni: quanto rischia una PMI
Il provvedimento Amazon è per ora cautelare: impone la cessazione immediata del trattamento illecito, ma le sanzioni pecuniarie arriveranno a istruttoria conclusa. Per avere un’idea della portata: la violazione dell’articolo 113 del Codice Privacy (raccolta di dati non pertinenti sui lavoratori) ricade nella fascia massima del GDPR, cioè fino a 20 milioni di euro o al 4% del fatturato mondiale.
Per le PMI il GDPR prevede che si applichi sempre l’importo più basso tra la percentuale e la cifra assoluta. Ma il rischio non è solo economico: il Garante può disporre il blocco del trattamento, cioè impedire all’azienda di usare i propri sistemi HR fino a quando non si mette in regola. Per una PMI che dipende da quei sistemi per gestire turni, presenze e paghe, un blocco operativo può essere più dannoso della multa.
Per contestualizzare: nelle ultime settimane il Garante ha emesso una sanzione da 31,8 milioni a Intesa Sanpaolo per un data breach e una sanzione da 17,6 milioni per il caso Isybank. L’Autorità sta dimostrando una capacità sanzionatoria concreta e crescente.
Il nesso con l’AI Act: algoritmi HR e alto rischio
Il Bradford Factor usato da Amazon non è un sistema di intelligenza artificiale nel senso stretto della definizione dell’AI Act, ma il provvedimento illumina un’area critica: i software HR che generano decisioni o raccomandazioni automatiche sui lavoratori. L’AI Act classifica come sistemi ad alto rischio gli strumenti AI usati per la gestione dei rapporti di lavoro, comprese selezione del personale, valutazione delle performance e monitoraggio dei lavoratori.
Se una PMI utilizza strumenti che vanno oltre il semplice registro delle presenze – per esempio software che assegnano punteggi ai dipendenti, generano alert su comportamenti anomali o suggeriscono azioni disciplinari – potrebbe ricadere negli obblighi dell’AI Act che entreranno in vigore tra il 2027 e il 2028. Il momento per mappare questi strumenti è adesso.
Questo articolo non costituisce consulenza legale.
