Con un provvedimento del 24 febbraio 2026 (Registro provvedimenti n. 107), il Garante per la protezione dei dati personali è intervenuto in via d’urgenza nei confronti di Amazon Italia Logistica s.r.l. dopo accertamenti ispettivi svolti dal 9 al 12 febbraio 2026 presso il magazzino di Passo Corese. Al centro del caso ci sono due profili: l’uso di una piattaforma interna (indicata come “XX”) che conserva nel tempo annotazioni a campo libero sui dipendenti e la presenza di telecamere in prossimità di aree riservate, come bagni e zone ristoro. L’Autorità ha disposto una limitazione definitiva del trattamento con effetto immediato. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. La piattaforma “XX” e le annotazioni: quando la “gestione HR” diventa invasiva
- 2. I principi GDPR richiamati: liceità, minimizzazione e tempi di conservazione
- 3. Accessi troppo larghi: chi vede cosa, e perché conta
- 4. Telecamere vicino a bagni e ristoro: anche con “privacy mask” resta il rischio
- 5. Le misure del Garante: stop immediato e verifica in tutti gli stabilimenti
- 6. Impatto pratico: cosa devono imparare HR, compliance e management
- Formazione in materia per professionisti
- Ti interessano questi contenuti?
1. La piattaforma “XX” e le annotazioni: quando la “gestione HR” diventa invasiva
Dalle verifiche emerge che la piattaforma “XX” è collegata al sistema presenze e “suggerisce” ai manager di effettuare colloqui al rientro da assenze o al verificarsi di eventi (ad esempio ricorrenze, punteggi e soglie). Tra le funzionalità citate figurano conversazioni di rientro dopo assenze non programmate e raccomandazioni mensili basate sull’algoritmo Bradford Factor, che attribuisce punteggi più alti alle assenze brevi e frequenti.
Il punto critico, però, non è la pianificazione dei colloqui in sé, ma ciò che finisce scritto: nelle schede individuali, i manager inserivano commenti con dettagli su patologie, percorsi diagnostici o terapeutici, informazioni su adesioni a scioperi e attività sindacali, oltre a elementi della vita privata e familiare (separazioni, lutti, disabilità di familiari, hobby e abitudini extra-lavorative), fino a riferimenti a relazioni tra colleghi. In pratica, un “diario” lavorativo che traccia aspetti delicatissimi e spesso non necessari. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. I principi GDPR richiamati: liceità, minimizzazione e tempi di conservazione
Il Garante inquadra la vicenda nei principi cardine del GDPR: liceità, correttezza e trasparenza, minimizzazione (trattare solo ciò che è pertinente e necessario) e limitazione della conservazione (non conservare più del necessario). Nel rapporto di lavoro, inoltre, pesa il richiamo alle tutele nazionali: il datore non può svolgere “indagini” su fatti non rilevanti ai fini dell’attitudine professionale.
A rafforzare le criticità, anche la retention: secondo la documentazione acquisita, le informazioni in “XX” – comprese le annotazioni – risultano conservate per tutta la durata del rapporto e fino a 10 anni dopo la cessazione. Un orizzonte temporale molto ampio, difficile da conciliare con il principio di necessità quando i contenuti includono dati sanitari, sindacali o di vita privata.
3. Accessi troppo larghi: chi vede cosa, e perché conta
Un altro elemento che incide sulla gravità è l’ampiezza degli accessi: i dati risultano condivisi tra “team rilevanti” e alcuni profili possono consultare informazioni estese (ad esempio manager con accesso ai dati di tutti i lavoratori del sito; team di sviluppo con accesso a dati non aggregati). Quando le informazioni sono così sensibili, la governance degli accessi diventa parte sostanziale della compliance: non è solo “cosa” si raccoglie, ma anche quanti lo possono vedere.
Potrebbero interessarti anche:
4. Telecamere vicino a bagni e ristoro: anche con “privacy mask” resta il rischio
Sul fronte videosorveglianza, i log hanno evidenziato quattro telecamere con etichetta “BATHROOM”. Il sopralluogo ha accertato che, pur con mascheramento parziale, l’inquadratura consentiva di identificare chi accedeva a bagni e area ristoro. In un caso, la Società è riuscita a identificare un soggetto che aveva utilizzato uno dei bagni. Inoltre, per almeno una telecamera, il mascheramento sarebbe stato attivato solo dopo dicembre 2025, nonostante cambiamenti nell’area ripresa risalissero al 2024.
5. Le misure del Garante: stop immediato e verifica in tutti gli stabilimenti
Il provvedimento dispone:
- la limitazione definitiva del trattamento dei dati contenuti nelle annotazioni “a campo libero” rilevate a Passo Corese;
- la limitazione anche per annotazioni con le stesse caratteristiche presenti negli altri siti che usano “XX”, con obbligo di verifica immediata e riscontro al Garante entro 7 giorni dalla notifica;
- la limitazione definitiva del trattamento tramite le quattro telecamere in prossimità di accessi ad aree riservate (bagni e ristoro).
6. Impatto pratico: cosa devono imparare HR, compliance e management
Il messaggio è chiaro: gli strumenti digitali di gestione del personale non possono trasformarsi in archivi permanenti di “note” su salute, sindacato o vita privata. Per le aziende, il caso suggerisce alcune priorità operative: limitare i campi liberi o guidarli con categorie consentite, definire policy di retention coerenti e proporzionate, restringere gli accessi per ruoli e necessità, formare i manager su cosa non si deve registrare, e progettare la videosorveglianza evitando inquadrature (anche indirette) di aree sensibili. In sintesi: tecnologia sì, ma con regole, controlli e rispetto della dignità dei lavoratori.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento