Garante Privacy ferma Amazon: stop ai dati sensibili dei dipendenti

Quando i dati sensibili dei lavoratori finiscono all’interno di piattaforme aziendali, qualcosa non torna. Il Garante per la privacy ha imposto ad Amazon Italia Logistica Srl lo stop immediato al trattamento di informazioni su oltre 1.800 addetti del polo di Passo Corese, in provincia di Rieti. Un caso destinato a fare scuola.

Cosa è successo nel polo di Passo Corese

Con un provvedimento d’urgenza, il Garante per la protezione dei dati personali ha ordinato ad Amazon Italia Logistica Srl di interrompere subito il trattamento dei dati personali dei dipendenti impiegati nello stabilimento di Passo Corese. Parliamo di oltre 1.800 lavoratori e di una raccolta che coinvolgeva sia una piattaforma interna sia le immagini registrate da quattro telecamere posizionate in prossimità dei bagni e delle aree ristoro.

Secondo l’Autorità, nelle schede del personale venivano archiviati anche dati di natura particolarmente delicata: informazioni sullo stato di salute con indicazione delle patologie, l’adesione agli scioperi e la partecipazione ad attività sindacali, oltre a elementi di sfera personale e familiare. Un perimetro informativo molto più ampio di quanto serva davvero a gestire turni, presenze o sicurezza.

L’ispezione e l’origine del caso

Il provvedimento arriva dopo due ispezioni, svolte tra il 9 e il 12 febbraio, condotte dal Garante in collaborazione con l’Ispettorato Nazionale del Lavoro e il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. La vicenda è esplosa dopo i servizi di Report che hanno acceso i riflettori sulle modalità di controllo dei lavoratori nei magazzini.

Amazon ha fatto sapere di stare esaminando con attenzione il provvedimento del Garante, dichiarando massima collaborazione e trasparenza. Intanto l’Autorità proseguirà gli approfondimenti e le verifiche, che potrebbero toccare anche altri siti e procedure a livello nazionale.

Per il quadro di riferimento, vedi anche la ricostruzione del Corriere della Sera.

Quali dati venivano trattati e perché sono un problema

Secondo quanto emerso, le informazioni raccolte includevano:

  • Dati sanitari: stato di salute e patologie riferite dai lavoratori;
  • Attività sindacale: adesione a scioperi e partecipazione a iniziative sindacali;
  • Dati personali e familiari: elementi non strettamente necessari alla gestione del rapporto di lavoro;
  • Immagini di videosorveglianza: riprese nelle aree vicine a bagni e zone ristoro.

Nel GDPR, i dati sulla salute e quelli che rivelano l’appartenenza sindacale rientrano nelle “categorie particolari”: per trattarli servono basi giuridiche stringenti e misure di tutela elevate. In azienda, poi, il consenso del dipendente non è considerato davvero libero, quindi non basta una spunta in più per legittimare raccolte invasive.

In Italia c’è anche un ulteriore livello di tutela: lo Statuto dei Lavoratori (art. 4) limita il controllo a distanza. La videosorveglianza è ammessa solo per esigenze organizzative, produttive, di sicurezza o tutela del patrimonio, e richiede accordo sindacale o autorizzazione dell’Ispettorato. Telecamere in prossimità di aree sensibili, come i servizi igienici, pongono seri problemi relativi alla privacy.

Le conseguenze per l’azienda (e per il settore)

Lo stop immediato significa blocco del trattamento dei dati e probabilmente una revisione profonda dei sistemi: dalla piattaforma che gestiva le schede dei dipendenti alle policy di videosorveglianza. Se, al termine degli accertamenti, venissero confermate violazioni del GDPR e dello Statuto dei Lavoratori, potrebbero scattare sanzioni amministrative, ordini di cancellazione o anonimizzazione dei dati raccolti illecitamente e obblighi di adeguamento tecnico-organizzativo.

Al di là della singola azienda, il segnale è chiaro per tutta la logistica (e non solo): niente scorciatoie nella gestione del personale. La produttività non giustifica sistemi di monitoraggio invasivi. Ogni tecnologia che incide sulla privacy dei dipendenti va valutata con attenzione, documentata e limitata allo stretto necessario.

Cosa dovrebbero fare le aziende

  • Minimizzazione: raccogliere solo i dati indispensabili per finalità lecite e specifiche; niente informazioni sanitarie o sindacali senza base legale esplicita.
  • DPIA (Valutazione d’impatto): obbligatoria quando ci sono rischi elevati per i diritti dei lavoratori (es. videosorveglianza estesa, sistemi di tracking).
  • Base giuridica chiara: in ambito HR il consenso non basta; servono norme, contratti o accordi sindacali idonei.
  • Informative trasparenti: spiegare chi tratta cosa, perché e per quanto tempo; canali di contatto del DPO sempre visibili.
  • Videosorveglianza conforme: niente telecamere in aree sensibili; cartellonistica adeguata; accordo sindacale o autorizzazione dell’Ispettorato.
  • Governance dei fornitori: audit e contratti con chi gestisce piattaforme e security; controlli su accessi e log.
  • Formazione: HR, security e IT devono parlare la stessa lingua sulla protezione dei dati.

Cosa cambia per i lavoratori

Il caso riporta al centro un principio semplice: anche in fabbrica o in magazzino la dignità delle persone viene prima degli algoritmi. I dipendenti hanno diritto a sapere quali dati li riguardano, a chiederne l’accesso, la rettifica o la cancellazione quando il trattamento è illegittimo, e a opporsi a monitoraggi sproporzionati.

È un promemoria utile per tutti: le tecnologie portano efficienza, ma vanno progettate “privacy by design”, con confini netti tra controllo organizzativo e invasione della sfera personale. Dove questi confini saltano, interviene l’Autorità. E il messaggio, questa volta, è arrivato forte e chiaro.

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.