L’intelligenza artificiale e i sistemi digitali di gestione delle risorse umane stanno trasformando radicalmente l’organizzazione del lavoro. Algoritmi e piattaforme informatiche consentono oggi di monitorare presenze, performance, tempi di esecuzione e perfino comportamenti individuali. Tuttavia, quando tali strumenti incidono sulla sfera personale dei lavoratori, l’innovazione tecnologica incontra un limite preciso: la tutela dei dati personali e la salvaguardia della dignità del dipendente.
Il recente intervento del Garante per la protezione dei dati personali nei confronti di Amazon Italia Logistica rappresenta un passaggio particolarmente significativo in questo scenario.
Il provvedimento del Garante e la “schedatura” dei lavoratori
Con provvedimento del 24 febbraio 2026, l’Autorità ha vietato con effetto immediato il trattamento di dati personali di oltre 1.800 lavoratori impiegati nello stabilimento di Passo Corese. Al centro dell’istruttoria vi era una piattaforma aziendale, collegata al sistema di rilevazione delle presenze, attraverso la quale numerosi manager potevano inserire e consultare annotazioni relative ai dipendenti.
Secondo quanto accertato, venivano raccolte informazioni dettagliate non solo sull’attività lavorativa, ma anche su aspetti personali e particolarmente delicati: dati relativi allo stato di salute (tra cui patologie specifiche), informazioni su situazioni familiari e annotazioni inerenti alla partecipazione a scioperi o attività sindacali. Tali informazioni risultavano conservate per l’intera durata del rapporto di lavoro e fino a dieci anni dopo la sua cessazione.
Il Garante ha ritenuto che tale sistema integrasse una forma di schedatura sistematica e non proporzionata, in violazione dei principi di minimizzazione, pertinenza e limitazione della conservazione previsti dal Regolamento (UE) 2016/679 (GDPR). Particolarmente rilevante è stata la raccolta di categorie particolari di dati, come quelli relativi alla salute o all’appartenenza sindacale, rispetto ai quali la disciplina europea prevede un regime di tutela rafforzato.
L’Autorità ha inoltre disposto il blocco di alcune telecamere installate in prossimità di aree sensibili, ritenendo che il sistema di videosorveglianza potesse comportare un controllo eccessivo e non giustificato dei lavoratori.
I principi di protezione dei dati nel rapporto di lavoro
Il caso evidenzia come il rapporto di lavoro subordinato costituisca un ambito in cui la protezione dei dati personali assume una dimensione particolarmente delicata. L’asimmetria tra datore di lavoro e dipendente impone infatti un’applicazione rigorosa dei principi del GDPR.
Il trattamento dei dati deve essere limitato a quanto strettamente necessario rispetto alle finalità organizzative. L’annotazione sistematica di informazioni sanitarie o relative alla partecipazione a scioperi esula dalla valutazione dell’attitudine professionale e si pone in contrasto anche con l’art. 8 dello Statuto dei Lavoratori, che vieta espressamente indagini sulle opinioni del lavoratore e su fatti non rilevanti ai fini professionali.
Anche il principio di limitazione della conservazione risulta centrale: mantenere informazioni personali per un periodo così esteso, anche dopo la cessazione del rapporto, amplifica il rischio di utilizzi impropri e di compressione dei diritti dell’interessato. In un contesto in cui i dati possono essere facilmente incrociati, profilati e riutilizzati, la durata della conservazione diventa essa stessa un elemento di rischio.
Profili giuslavoristici: controllo e potere disciplinare
La questione non si esaurisce sul piano della privacy. I sistemi di raccolta e analisi dei dati incidono direttamente sul potere direttivo e disciplinare del datore di lavoro.
Se le annotazioni contenute nella piattaforma aziendale possono essere utilizzate per valutazioni interne, contestazioni disciplinari o decisioni organizzative, si pone un problema di legittimità sostanziale del controllo. Un sistema che consenta la registrazione sistematica di informazioni personali non pertinenti rischia di alterare l’equilibrio del rapporto di lavoro, introducendo elementi valutativi estranei alla prestazione lavorativa.
Particolarmente delicata è la raccolta di dati relativi alla partecipazione a scioperi o ad attività sindacali, poiché tali informazioni possono incidere, anche indirettamente, sulla libertà sindacale tutelata dall’ordinamento. L’utilizzo di strumenti digitali non può tradursi in un controllo pervasivo idoneo a condizionare l’esercizio di diritti costituzionalmente garantiti.
Inoltre, l’eventuale impiego di dati raccolti in violazione della normativa privacy potrebbe avere ripercussioni anche in sede giudiziale, incidendo sulla legittimità di provvedimenti disciplinari o di licenziamenti fondati su informazioni trattate illecitamente.
Tecnologia, organizzazione aziendale e responsabilità
Il provvedimento nei confronti di Amazon non rappresenta un rifiuto dell’innovazione tecnologica, ma un richiamo alla necessità di una governance consapevole. L’adozione di strumenti digitali avanzati, anche basati su logiche algoritmiche o su sistemi di analisi dei dati, richiede una valutazione preventiva dei rischi e una progettazione conforme ai principi di protezione dei dati fin dalla fase di ideazione.
Nel contesto lavorativo, ciò significa integrare la compliance privacy con le regole proprie del diritto del lavoro, assicurando trasparenza, proporzionalità e rispetto della dignità del lavoratore. L’efficienza organizzativa e la tutela dei diritti fondamentali non sono obiettivi alternativi, ma devono essere costruiti all’interno di un equilibrio giuridico consapevole e strutturato.
