Il Garante per la protezione dei dati personali ha vietato, in via d'urgenza e con effetto immediato, ad Amazon Italia Logistica il trattamento di dati personali di oltre 1.800 lavoratori impiegati nella piattaforma logistica di Passo Corese, in provincia di Rieti. Il provvedimento, emanato il 24 febbraio 2026 con numero 107, è il risultato delle ispezioni condotte dal 9 al 12 febbraio 2026 in collaborazione con l'Ispettorato Nazionale del Lavoro e il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza. L'istruttoria era stata avviata a seguito di notizie di stampa sul trattamento dei dati dei dipendenti del centro logistico.
Al centro dell'indagine vi è una piattaforma gestionale interna, indicata negli atti come "piattaforma XX", collegata al sistema di rilevazione delle presenze e accessibile a numerosi dirigenti. Lo strumento era utilizzato per tracciare le assenze dei dipendenti e gestire i colloqui di rientro, anche attraverso un algoritmo denominato "Bradford Factor", che penalizza le assenze brevi e frequenti. È proprio nell'uso dei campi liberi della piattaforma — destinati a note testuali — che il Garante ha rilevato le violazioni più gravi.
Le annotazioni inserite dai manager a seguito dei colloqui con i lavoratori al rientro da un periodo di assenza contenevano informazioni del tutto estranee alla valutazione dell'attitudine professionale. Tra i dati raccolti figurano patologie specifiche — sindrome di Crohn, ernia del disco, presenza di pacemaker, interventi chirurgici, problemi psichiatrici — insieme a notizie sulla salute di familiari stretti, come padri malati terminali o sorelle con tumori cerebrali. Non mancano riferimenti a separazioni coniugali, hobby personali e persino a relazioni sentimentali tra colleghi.
Particolarmente grave, secondo il Garante, è il sistematico raccordo tra le assenze e l'attività sindacale: le note riportavano l'adesione ai singoli scioperi, la partecipazione alle assemblee, le opinioni espresse in tali sedi e valutazioni sull'uso ritenuto improprio dei permessi da parte dei lavoratori "sindacalizzati". Questo tipo di trattamento viola in modo diretto l'articolo 113 del Codice Privacy e l'articolo 8 dello Statuto dei Lavoratori, che vietano al datore di lavoro di raccogliere informazioni sulle opinioni politiche, sindacali o religiose del dipendente, nonché su fatti non rilevanti ai fini lavorativi.
A rendere più grave il quadro, le informazioni erano conservate per tutta la durata del rapporto di lavoro e fino a dieci anni dalla sua cessazione. L'accesso alla piattaforma era concesso a un numero elevato di figure aziendali, compresi team di sviluppo, senza limitazioni basate sulla reale necessità operativa. Il Garante ha quindi contestato anche la violazione dei principi di minimizzazione dei dati e di limitazione della conservazione previsti dal Regolamento Ue 2016/679 (Gdpr).
Il provvedimento ha riguardato anche l'impianto di videosorveglianza interno. L'ispezione ha accertato la presenza di quattro telecamere orientate verso gli accessi ai bagni e alle aree ristoro riservate ai dipendenti. Nonostante l'applicazione di una "privacy mask" — un oscuramento parziale delle immagini — il sistema consentiva comunque d’identificare i lavoratori che accedevano a tali zone. Il Garante ha citato un caso specifico in cui la società ha utilizzato i log del sistema per identificare un addetto alla sicurezza entrato in un bagno. La collocazione delle telecamere è stata giudicata non conforme alle stesse policy interne di Amazon e ridondante rispetto ad altri dispositivi già presenti nell'area.
In risposta a queste violazioni, il Garante ha disposto tre misure di limitazione definitiva del trattamento. La prima riguarda i dati contenuti nei campi liberi della piattaforma XX relativi a salute, attività sindacale e vita privata. La seconda impone l'interruzione del trattamento dei dati raccolti attraverso le quattro telecamere in prossimità dei servizi igienici e delle aree ristoro. La terza misura estende il divieto a tutti gli stabilimenti Amazon in Italia che utilizzino la medesima piattaforma con modalità analoghe a quelle accertate a Passo Corese: la società ha l'obbligo di fornire riscontro al Garante entro sette giorni dalla notifica del provvedimento.
Il centro logistico di Passo Corese è uno dei principali nodi della rete distributiva di Amazon in Italia. La vicenda si inserisce in un contesto più ampio di attenzione regolatoria sulle pratiche di gestione del personale nei grandi impianti della logistica, dove l'uso di strumenti algoritmici e di sorveglianza digitale è cresciuto negli ultimi anni in parallelo con l’aumento del commercio elettronico. L'istruttoria del Garante è ancora aperta per l'accertamento degli ulteriori profili non ancora definitivamente valutati. Il mancato rispetto delle prescrizioni impartite espone Amazon Italia Logistica a sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, secondo quanto previsto dal Gdpr.
Dopo l'annuncio della decisione, Amazon ha diffuso un comunicato in cui afferma: "Stiamo esaminando con la massima attenzione il provvedimento dell'Autorità Garante per la protezione dei dati personali. Confermiamo piena collaborazione e trasparenza nei confronti dell'Autorità. La tutela dei dati personali rappresenta per noi una priorità assoluta: adottiamo policy interne dedicate, programmi di formazione periodica e regole operative stringenti volte a garantire il rispetto della normativa vigente. Qualora dall'analisi emergessero profili di non conformità, provvederemo a rivedere tempestivamente i nostri processi e le nostre procedure, recependo puntualmente le indicazioni dell'Autorità, al fine di assicurare la piena compliance e il continuo rafforzamento dei nostri standard di protezione dei dati".
Pietro Rossoni
