Quando un sistema aziendale integra assenze, patologie, partecipazione sindacale e dati familiari in un’unica piattaforma gestionale, non siamo più davanti a un semplice strumento HR. Il provvedimento del Garante contro Amazon segna il punto in cui l’ottimizzazione organizzativa incontra il limite della dignità dei lavoratori. Un caso che va inquadrato in una stagione di scrutinio di pratiche algoritmiche lesive del lavoro: vedi indagini della magistratura su Glovo, Deliveroo.
Indice degli argomenti
Il provvedimento del 24 febbraio 2026 su Amazon: cosa ha vietato il Garante privacy
Con provvedimento d’urgenza del 24 febbraio 2026, il Garante per la protezione dei dati personali ha vietato ad Amazon Italia Logistica Srl il trattamento dei dati personali di oltre 1.800 lavoratori impiegati presso lo stabilimento di Passo Corese.
Il divieto riguarda informazioni raccolte sistematicamente attraverso una piattaforma collegata al sistema di rilevazione delle presenze, accessibile a numerosi manager. I dati venivano annotati al rientro dei dipendenti da periodi di assenza e includevano specifiche patologie (es. sindrome di Crohn, ernia del disco, pacemaker); adesione a scioperi e partecipazione ad attività sindacali; informazioni sulla vita privata e familiare inclusi i dati di terzi (es. padre malato terminale, sorella con tumore al cervello, separazioni coniugali).
Tali informazioni sarebbero state conservate fino a dieci anni dalla cessazione del rapporto di lavoro.
Il provvedimento impone inoltre l’interruzione del trattamento dei dati raccolti tramite alcune telecamere posizionate in prossimità di bagni e delle aree ristoro riservate ai lavoratori, nonché il divieto di utilizzo della medesima piattaforma in altri centri logistici italiani qualora impiegata con modalità analoghe.
L’intervento nasce dalle ispezioni attivate da alcune denunce da parte dei lavoratori e svolte tra il 9 e il 12 febbraio 2026 in collaborazione con l’Ispettorato nazionale del lavoro e la Guardia di finanza su segnalazioni dei dipendenti stessi; l’istruttoria è tuttora in corso.
Il quadro che emerge è un’architettura informativa che integra dati amministrativi, sanitari, sindacali e personali in un unico ambiente gestionale.
Il provvedimento del Garante privacy su Amazon e la piattaforma HR integrata
La piattaforma utilizzata da Amazon è di fatto un sistema applicativo HR integrato con il sistema aziendale di rilevazione delle presenze, progettato per supportare il management nella gestione delle assenze e nell’attivazione di colloqui individuali con i dipendenti.
Il sistema opera attraverso funzionalità distinte, tra cui la “WB” (Welcome Back), funzione che genera automaticamente alert per l’effettuazione di colloqui al rientro da assenze non programmate, e la funzione “BWC” (Back to Work Check), che produce con cadenza periodica raccomandazioni di colloquio sulla base di parametri predefiniti. Tra questi rientra anche l’applicazione dell’algoritmo denominato “Bradford Factor”, che attribuisce un punteggio alle assenze, privilegiando in termini di peso quelle brevi e frequenti rispetto a quelle prolungate, con conseguente attivazione di segnalazioni verso i manager.
A seguito dell’alert (o anche in assenza dello stesso, su iniziativa del responsabile) il manager può svolgere un colloquio con il lavoratore e registrare l’esito mediante inserimento di annotazioni in un campo libero testuale associato alla scheda individuale del dipendente.
La piattaforma consentiva la conservazione cumulativa e progressiva di tali informazioni nel tempo, rendendole accessibili, secondo i profili autorizzativi configurati, a diversi livelli organizzativi (es. operation manager, team di sviluppo, funzioni di supporto), con possibilità di consultazione dei dati in forma non aggregata (raw data). I dati così raccolti vengono conservati per l’intera durata del rapporto di lavoro e fino a dieci anni dalla cessazione.
La criticità non è lo strumento HR in sé, quanto la sua configurazione applicativa: scoring delle assenze, campo libero non vincolato, ampia circolazione interna e conservazione estesa producono un trattamento strutturalmente eccedente rispetto alle finalità lavoristiche.
Campi liberi, scoring e retention: dove si crea l’eccedenza
Il campo libero ha trasformato un alert organizzativo in un contenitore indefinito di informazioni sanitarie, sindacali e personali. Lo scoring algoritmico ha introdotto una logica di monitoraggio sistematico del comportamento; la retention protratta fino a dieci anni dopo la cessazione ha cristallizzato dati non necessari; l’accessibilità diffusa ha amplificato l’impatto sulla sfera privata.
Si tratta di un’architettura di trattamento incompatibile con i principi di liceità, minimizzazione e limitazione della conservazione di cui all’art. 5 GDPR e con le garanzie rafforzate previste dall’art. 88 in ambito lavorativo: quando la configurazione tecnica consente (e, di fatto, incentiva) la raccolta di informazioni non pertinenti all’attitudine professionale, il problema è lo strumento così come progettato e governato.
Il provvedimento del Garante privacy su Amazon e il rischio di scoring interno
Nel progetto cinese di ‘punteggio sociale’, la raccolta diffusa di informazioni personali alimenta modelli che stimano l’affidabilità futura di cittadini e imprese rispetto alle aspettative del sistema. Si valuta l’affidabilità di cittadini e imprese, premiando comportamenti virtuosi e sanzionando quelli negativi tramite analisi di dati e intelligenza artificiale.
Traslato in Occidente, nel contesto aziendale, il rischio di una simile “deriva” emerge quando una piattaforma integra dati su assenze per sciopero, condizioni di salute o fragilità familiari: oltre a misurare la prestazione, si costruisce una matrice di prevedibilità comportamentale.
Così, se un dato come l’assenza sindacale viene letto insieme alla malattia di un familiare, il sistema sta implicitamente attribuendo un indice di “affidabilità organizzativa” di quel lavoratore; nulla a che fare (direttamente) con l’ottimizzazione della produttività.
In quel momento la gestione del personale si avvicina pericolosamente a una forma di scoring interno, dove il lavoratore è valutato in base alla prevedibilità, resilienza e conformità alle esigenze dell’infrastruttura produttiva. Il passaggio è netto: dalla valutazione della performance alla stima della conformità organizzativa. È una soglia che avvicina la gestione del personale a logiche di scoring interno.
Videosorveglianza e aree sensibili: bagni e ristoro
Con riferimento al sistema di videosorveglianza installato presso lo stabilimento di Passo Corese, l’istruttoria ha accertato la presenza di quattro telecamere denominate con etichetta “BATHROOM”, posizionate in prossimità degli accessi a bagni e aree ristoro e orientate in modo tale da consentire l’identificazione dei soggetti che vi accedono.
Sebbene fosse attiva una funzione di “privacy mask”, questa risultava solo parziale e in un caso attivata tardivamente rispetto alle modifiche strutturali intervenute nell’area ripresa. Dall’analisi degli audit log è emerso che il sistema permetteva l’identificazione puntuale dei soggetti ripresi, circostanza che conferma la natura non meramente anonimizzata del trattamento.
Inoltre, la collocazione delle telecamere non appariva coerente con i criteri generali indicati nella policy interna (presidio di corridoi e punti di transito), anche considerando che le medesime aree risultavano già coperte da ulteriori dispositivi.
In tale configurazione, il trattamento è stato ritenuto eccedente rispetto alle finalità organizzative e di sicurezza dichiarate, incidendo in modo sproporzionato sulla dignità e sulla riservatezza dei lavoratori in aree connesse alla sfera privata, in contrasto con i principi di necessità, proporzionalità e minimizzazione di cui all’art. 5 GDPR, nonché con le garanzie rafforzate previste in ambito lavorativo.
Il posizionamento di telecamere in aree di ristoro e bagni è un classico caso di controllo a distanza vietato dall’Art. 4 dello Statuto dei Lavoratori, ma con un effetto contemporaneo: la normalizzazione del controllo nelle aree di pausa.
Il punto, poi, si amplia ulteriormente se si considera l’integrazione tra dati di presenza, annotazioni su scioperi, partecipazione ad attività sindacali e strumenti di monitoraggio ambientale. In un ecosistema di people analytics, l’aggregazione di informazioni consente infatti di individuare pattern di comportamento collettivo.
Il provvedimento del Garante su Amazon e la sorveglianza delle dinamiche collettive
La sola identificabilità degli accessi a bagni e aree ristoro può incidere anche sulle dinamiche collettive, perché rende tracciabili abitudini e micro-aggregazioni.
Un caso utile per comprendere la dimensione predittiva di questi strumenti è quello emerso nel 2020 negli Stati Uniti da indagini giornalistiche, che riguardava Whole Foods Market (catena di supermercati di proprietà di Amazon), dove l’azienda avrebbe implementato uno strumento di “heat map” per monitorare il rischio di sindacalizzazione dei propri punti vendita. Il sistema assegnava ad ogni negozio un indice di rischio di “sindacalizzazione” basato su tre gruppi di metriche: rischi “esterni” (es. la vicinanza geografica a sindacati o segnalazioni alla National Labor Relations Board), rischi “interni al negozio” (compresa la diversità razziale, il turnover del personale, la remunerazione media) e indicatori di “sentiment” dei lavoratori ricavati da sondaggi interni.
Il risultato era una mappa interattiva degli Stati Uniti con punti colorati che indicavano i negozi considerati più o meno a rischio di organizzazione sindacale, permettendo all’azienda di concentrare risorse (incluse iniziative di gestione del personale o formazione dei manager) nei negozi “più vulnerabili”.
La pratica è stata criticata perché trasformava una molteplicità di dati in un indicatore predittivo della probabilità che i lavoratori avviino attività collettive. In un mercato come quello statunitense, dove l’organizzazione sindacale è spesso ostacolata da tattiche anti-sindacali aziendali, questa heat map è stata vista dagli osservatori come uno strumento di sorveglianza preventiva e gestione dei rischi sindacali, piuttosto che una mera analisi statistica interna.
Al di là delle differenze normative tra ordinamenti, quel caso mostrava come strumenti di analisi predittiva possano essere impiegati sia per ottimizzare vendite e logistica che per anticipare dinamiche collettive.
People analytics e conflitto: la dimensione predittiva
La piattaforma descritta dal Garante assume la forma di uno strumento di people analytics: l’aggregazione di dati su assenze, scioperi e annotazioni personali consente di individuare aree di criticità e dinamiche collettive prima che diventino visibili. Anche senza decisioni automatizzate, questa capacità analitica sposta l’equilibrio informativo e può orientare le scelte organizzative.
È questa capacità predittiva il fattore che rischia di trasformare la gestione del personale in ingegneria preventiva del conflitto.
Il precedente europeo: CNIL e Amazon France Logistique
Un precedente europeo significativo è rappresentato dalla sanzione da 32 milioni di euro inflitta nel 2024 dalla CNIL ad Amazon France Logistique per un sistema di monitoraggio dei lavoratori giudicato eccessivamente intrusivo.
In quel caso, l’autorità francese ha contestato l’utilizzo di scanner portatili (di cui era dotato ogni lavoratore nei magazzini) che registravano in tempo reale ogni operazione effettuata dagli addetti (es. tempi di scansione dei colli, interruzioni, inattività) generando indicatori automatici di performance e qualità.
I dati così raccolti venivano conservati per almeno un mese e utilizzati, oltre che per la gestione immediata delle attività, anche per valutazioni settimanali, pianificazione del lavoro e formazione. La CNIL non ha contestato in sé il monitoraggio organizzativo, ma la sua granularità eccessiva e la conservazione analitica dello storico individuale.
In particolare, sono stati ritenuti illegittimi tre indicatori: lo “Stow Machine Gun”, che segnalava scansioni troppo ravvicinate (1,35 secondi tra una e l’altra), e due indicatori di inattività (“idle time” oltre i dieci minuti e “latency under ten minutes” tra uno e dieci minuti), che consentivano di tracciare anche micro-interruzioni dell’attività.
Secondo l’autorità francese, tali strumenti comportavano un controllo continuo e sproporzionato del lavoratore, in violazione del principio di minimizzazione (art. 5, par. 1, lett. c GDPR), poiché le finalità dichiarate (coaching, sicurezza, riassegnazione) potevano essere raggiunte tramite dati aggregati o informazioni in tempo reale, senza conservare uno storico analitico dettagliato su base individuale. Inoltre, il trattamento non poteva essere fondato sull’interesse legittimo (art. 6, par. 1, lett. f GDPR), risultando privo di una base giuridica adeguata, e l’azienda era risultata carente anche sul piano della trasparenza informativa (artt. 12 e 13 GDPR).
Il provvedimento del Garante su Amazon e il “gemello digitale” del lavoratore
Se nel caso francese il problema era la misurazione millimetrica della prestazione, nel caso italiano emerge un ulteriore salto qualitativo, cioè l’archiviazione strutturata di informazioni sanitarie, sindacali e personali.
Nello stabilimento di Passo Corese, oltre al trattamento improprio di dati sanitari, questi venivano sistematicamente annotati e integrati con il sistema di rilevazione delle presenze. In pratica, l’infrastruttura trasformava informazioni occasionali in elementi permanenti di profilazione.
Il GDPR classifica le informazioni sulla salute come “categorie particolari di dati” (art. 9), il cui trattamento è vietato salvo specifiche condizioni. In ambito lavorativo, l’art. 88 del GDPR e l’art. 113 del Codice Privacy italiano consentono trattamenti solo se necessari e accompagnati da garanzie appropriate. Annotare la sindrome di Crohn o l’esistenza di un pacemaker in una piattaforma accessibile ad una pluralità di soggetti non appare strettamente funzionale alla mera gestione amministrativa dell’assenza, consentendo piuttosto di creare un archivio strutturato che costruisce nel tempo un profilo integrato del lavoratore.
Inoltre, l’art. 8 dello Statuto dei Lavoratori vieta al datore di lavoro di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale. Se l’assenza per sciopero viene registrata come informazione annotabile in una piattaforma gestionale, si supera la soglia della mera contabilità amministrativa per entrare nel terreno della profilazione comportamentale.
Il risultato è la creazione di un “gemello digitale” del lavoratore, costruito, oltre che su presenze e performance, su fragilità fisiche, contesto familiare, partecipazione collettiva. Un profilo che eccede la dimensione contrattuale e invade quella biografica e personale.
Data retention nel provvedimento del Garante Amazon: “il tempo è potere”
Data retention: il tempo è potere
Uno degli elementi più significativi del provvedimento riguarda la conservazione dei dati fino a dieci anni dopo la cessazione del rapporto di lavoro.
L’art. 5, paragrafo 1, lettera e) del GDPR stabilisce il principio di limitazione della conservazione: i dati devono essere conservati per un arco di tempo non superiore a quello necessario rispetto alle finalità del trattamento. Il Considerando 39 rafforza l’idea che la durata debba essere determinata in base a criteri oggettivi.
Se, in ambito HR, la conservazione può essere giustificata per obblighi fiscali, previdenziali o per la difesa in giudizio, è molto meno chiaro quali finalità possano legittimare la conservazione per un decennio di informazioni su patologie specifiche o su situazioni familiari.
Una retention prolungata di dati sanitari, della sfera familiare e sindacali crea un archivio storico che può influenzare decisioni future, anche indirettamente, soprattutto in un mercato del lavoro sempre più interconnesso, in cui la persistenza digitale delle informazioni può incidere su reputazione, referenze interne, possibilità di riassunzione.
Il diritto all’oblio, pur non applicandosi automaticamente ai rapporti di lavoro, riflette in questo caso un principio più ampio: il passato non può diventare vincolo permanente quando il dato non è più necessario.
La conservazione decennale di dati così delicati rischia infatti di trasformare il tempo in una leva di potere informativo ad esclusivo uso e appannaggio dell’organizzazione.
GDPR e Statuto dei Lavoratori: limiti complementari
GDPR e Statuto dei Lavoratori: la resistenza del diritto analogico
Il provvedimento d’urgenza del Garante Amazon evidenzia la convergenza tra due architetture normative: il GDPR e lo Statuto dei Lavoratori.
Il primo opera, come architettura trasversale, sul piano dei principi generali di protezione dei dati: minimizzazione, limitazione della finalità, proporzionalità, accountability, diventano criteri di progettazione dei sistemi HR, non meri adempimenti informativi.
Il secondo interviene con divieti specifici nati in un’epoca analogica, ma ancora centrali: l’art. 4 dello Statuto dei Lavoratori presidia infatti il ‘come’ del controllo (strumenti e procedure), mentre l’art. 8 presidia il ‘cosa’ (divieto di raccogliere opinioni e fatti non pertinenti).
La digitalizzazione rende più urgente rispettare questi limiti per evitare che l’indagine, da episodica, possa diventare costante, silenziosa, scalabile.
Nell’era delle piattaforme interne e degli strumenti integrati, diritto del lavoro e protezione dei dati costituiscono sempre di più un sistema di garanzie complementari.
Bias by design e sistemi ad alto rischio
Bias by design: quando l’efficienza produce esclusione
Se una piattaforma integra informazioni su patologie, assenze e partecipazione sindacale, tali dati possono incidere, direttamente o indirettamente, su sistemi di scheduling o valutazione.
Il GDPR, all’art. 22, disciplina le decisioni basate unicamente su trattamenti automatizzati, mentre l’art. 35 impone una valutazione d’impatto (DPIA) nei casi di trattamenti ad alto rischio. L’AI Act inoltre classifica i sistemi di gestione e monitoraggio dei lavoratori come ad “alto rischio”, imponendo obblighi rafforzati di trasparenza e controllo.
L’automazione può infatti produrre esclusione per progettazione: un algoritmo che ottimizza la produttività potrebbe considerare, anche implicitamente, la “variabilità” di un lavoratore con patologia cronica come un fattore di inefficienza, e ciò senza necessità di un atto discriminatorio esplicito. È sufficiente che il sistema incorpori variabili sensibili per generare effetti differenziali.
Privacy by design e limiti di progetto
Il principio di privacy by design (art. 25 GDPR) impone che i sistemi siano costruiti per raccogliere solo informazioni strettamente necessarie, limitandone accesso, correlazione e conservazione. I modelli di ottimizzazione avanzata, però, aumentano la propria capacità predittiva ampliando il numero di variabili integrate.
Quando l’efficienza viene perseguita attraverso l’accumulazione sistematica di dati individuali, il lavoratore tende a diventare integralmente leggibile dall’infrastruttura: tempi, pause, condizioni personali, comportamenti collettivi.
In questo scarto si misura la distanza tra una progettazione conforme ai principi di proporzionalità e un’organizzazione che fonda la propria performance sulla trasparenza totale della persona all’interno del sistema, cioè la differenza tra efficienza eccessiva e progettazione proporzionata. Mentre la prima tende a espandere variabili e retention, la seconda introduce limiti tecnici, semantici e organizzativi.
Amazon e la rappresentanza “algoritmica”
Il provvedimento nei confronti di Amazon Italia Logistica interroga il modello organizzativo della logistica contemporanea, in cui le imprese digitali operano attraverso infrastrutture informative integrate, dove ogni evento può essere registrato, correlato e conservato. Con il rischio di normalizzazione della raccolta “estesa”.
In questo contesto, la trasparenza deve essere una pretesa collettiva: diritti di accesso (art. 15 GDPR), rettifica e opposizione (art. 21) non possono restare strumenti individuali in ambienti altamente strutturati.
Si apre qui un tema nuovo: la rappresentanza dei lavoratori deve includere competenze algoritmiche e, oltre alla contrattazione su turni e salari, deve poter intraprendere negoziazioni sulle architetture dei dati.
Occorre fare i conti con il fatto che le organizzazioni aziendali sono sempre più mediate da piattaforme, dashboard e sistemi predittivi e che le decisioni rilevanti (es. assegnazione dei turni, valutazione delle performance, individuazione delle criticità) sono incorporate nelle architetture dei dati e negli algoritmi che le governano.
È indispensabile che la rappresentanza dei lavoratori includa competenze tecniche in grado di comprendere quali dati vengono raccolti, come vengono aggregati, quali indicatori incidono sulle scelte organizzative e quali margini di intervento umano restano effettivi. Ciò per negoziare trasparenza, limiti e criteri di funzionamento dei sistemi che incidono direttamente sulle condizioni di lavoro.
Perché il Garante è intervenuto d’urgenza
Il provvedimento del 24 febbraio 2026 si colloca nel solco di una linea già consolidata del nostro Garante in materia di tecnologie e lavoro. L’Autorità ha più volte affermato che gli strumenti digitali non possono tradursi in un controllo generalizzato e sproporzionato del lavoratore, richiamando i principi di minimizzazione e proporzionalità del GDPR insieme ai limiti degli artt. 4 e 8 dello Statuto dei Lavoratori. Anche sul trattamento dei dati sanitari l’impostazione è costante: solo ciò che è strettamente necessario può essere trattato.
La scelta del Garante di intervenire ora con un provvedimento d’urgenza, con effetto immediato, merita però una riflessione autonoma.
L’urgenza, nel sistema del GDPR (art. 58, par. 2, e poteri correttivi dell’Autorità) è uno strumento rilevante, poiché viene utilizzata quando la prosecuzione del trattamento comporta un rischio attuale e grave per i diritti e le libertà degli interessati.
In altre parole, l’Autorità ha ritenuto che non fosse sostenibile attendere l’esito completo dell’istruttoria. Questo elemento segnala che il problema è la persistenza attiva del sistema: dati sanitari e sindacali continuavano a essere trattati, consultabili, potenzialmente utilizzabili.
L’urgenza manda un messaggio al mercato: quando l’architettura tecnologica incorpora strutturalmente informazioni che incidono sulla dignità e sulla libertà del lavoratore, la reazione regolatoria non può essere differita ai tempi lunghi del procedimento ordinario.
La sospensione immediata diventa il modo più diretto per interrompere uno squilibrio informativo che continuerebbe a produrre effetti nel presente.
Algoritmi e dignità: la traiettoria comune. Non solo Amazon: Glovo, Deliveroo
Solo quest’ultimo mese ha visto il commissariamento giudiziario di società come Glovo e Deliveroo per modelli organizzativi che, pur formalmente efficienti, hanno finito per comprimere i diritti fondamentali dei lavoratori.
I contesti sono diversi (logistica interna, piattaforme di food delivery, gestione algoritmica delle consegne) ma la traiettoria è purtroppo comune: l’algoritmo diventa l’infrastruttura invisibile del potere organizzativo.
Quando la prestazione è scomposta in dati, quando la malattia diventa una variabile gestionale, quando la partecipazione sindacale è tracciabile come evento analitico, la dignità viene progressivamente marginalizzata dal modello decisionale. L’idea che ogni informazione disponibile sia legittimamente sfruttabile per ottimizzare la produttività e efficienza spinge a trattare la dignità come variabile residuale del modello organizzativo.
Il commissariamento delle piattaforme e il divieto urgente imposto ad Amazon dal Garante segnalano lo stesso punto di rottura: nell’era dell’organizzazione algoritmica, la dignità non può essere equiparata ad un costo di inefficienza.
Se il lavoro diventa interamente misurabile, prevedibile e correlabile, il lavoratore rischia di essere trasformato in una “funzione” del sistema, passando da persona a dato strutturale.
Il diritto è dunque chiamato a ricordare che tra l’efficienza e la dignità umana, ad essere un diritto costituzionale è quest’ultima, non la prima.
