Il Garante Privacy, con provvedimento n. 107 del 24 febbraio 2026, ha disposto, ai sensi dell’art. 58, par. 2, lett. f), del GDPR, la misura della limitazione definitiva del trattamento di specifici dati personali relativi ai lavoratori dipendenti, trattati dalla sede italiana di una nota società di logistica internazionale, e ritenuti ultronei a definire la loro attitudine professionale.
Contestualmente, ha altresì disposto la misura della limitazione definitiva del trattamento effettuato con alcune telecamere posizionate in prossimità degli accessi ad aree riservate ai lavoratori.
Tali dati venivano infatti trattati tramite una apposita piattaforma, che, previa interconnessione con il sistema di rilevazione delle presenze, segnalava ai manager la necessità di effettuare colloqui con i dipendenti sottoposti alla propria responsabilità, al rientro da periodi di assenza oppure all’occorrenza di determinati eventi; inoltre, è emerso che il manager poteva decidere di procedere a colloquio, anche indipendentemente dalla segnalazione effettuata dal sistema e di tali colloqui con il dipendente veniva tenuta traccia mediante annotazioni sintetiche, riportate dal manager in un apposito spazio a campo libero.
I commenti, inseriti nel campo libero della scheda individuale dei lavoratori, contengono informazioni di dettaglio:
- su specifiche patologie sofferte dal dipendente
- sulla partecipazione dei dipendenti a uno sciopero e all’impegno in attività sindacali
- sulla vita personale e familiare dei dipendenti, sul loro status, gli hobby praticati al di fuori dell’attività lavorativa
- sui rapporti di tipo personale tra colleghi
In relazione ai tempi di conservazione dei dati personali dei dipendenti memorizzati in tale piattaforma, la società aveva trasmesso al Garante le proprie policy di conservazione (retention) applicabili, per cui tali dati venivano conservati per tutta la durata del rapporto di lavoro e fino a 10 anni dalla sua cessazione.
Quanto alle telecamere, il Garante non ha ritenuto giustificabile, con le specifiche finalità di carattere organizzativo e produttivo asserite dalla società, il posizionamento delle stesse innanzi aree riservate ai lavoratori, che, peraltro, ne consentivano l’identificazione: non corrisponde infatti esclusivamente alla logica adottata dalla Società per individuare, in via generale, il posizionamento delle telecamere mediante la policy interna (corridoi, punti di passaggio verso uscite di emergenza e diverse sezioni del sito), in quanto tali luoghi risultavano già ampiamente presidiati attraverso ulteriori telecamere, collocate a distanza ravvicinata.
In considerazione di quanto emerso dall‘istruttoria, pertanto, ovvero del trattamento e conservazione di informazioni relative a specifiche patologie sofferte dai lavoratori, alla loro adesione allo sciopero nonché alla partecipazione ad attività sindacali, e a dati personali dei dipendenti di tipo strettamente familiare e privato, il Garante ha riscontrato:
- la palese violazione del divieto, posto in capo al datore di lavoro, di trattare dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, ai sensi dell’art. 113 del Codice Privacy, in relazione agli artt. 5, par. 1, lett. a) e 88 del GDPR
- dei principi generali in materia di protezione dei dati personali, in particolare, i principi di liceità, di minimizzazione dei dati, di limitazione della conservazione, ai sensi dell’art. 5, par. 1, lett. a), c) ed e), 6 e 9 del GDPR.
Pertanto, ha ravvisato la necessità, in ragione dell’elevata gravità della constatata violazione, dell’elevato numero di interessati coinvolti (oltre 1000 lavoratori) “della significativa profondità temporale dei dati sistematicamente raccolti e memorizzati sulla piattaforma, del regime di accessibilità alle informazioni ivi memorizzate, della particolare natura e delicatezza dei dati personali trattati nel caso di specie, di intervenire urgentemente per tutelare i diritti e le libertà degli interessati, adottando, nelle more della prosecuzione degli accertamenti in corso, ogni possibile misura a tal fine“.
Infine, ha ravvisato la necessità di adottare misure urgenti a tutela degli interessati e a salvaguardia della dignità dei lavoratori, in relazione alla presenza delle telecamere posizionate in prossimità degli accessi ad aree riservate agli stessi (in particolare bagni e aree ristoro).
Pertanto, ai sensi dell’art. 58, par. 2, lett. f), del GDPR, ha deciso di adottare, in via d’urgenza – ritenendo la previa notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e finalità del presente provvedimento – nei confronti della società di logistica, la misura della limitazione definitiva del trattamento.
