Il Garante della Privacy, con provvedimento n. 107 del 24 febbraio 2026, ha limitato in via definitiva, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE 2016/679, i trattamenti di dati personali dei dipendenti contenuti in una piattaforma utilizzata da una nota società di logistica presso i suoi stabilimenti e connessa con il sistema di rilevazione della presenza dei lavoratori.
Nel corso dell’accertamento è, infatti, emerso che la Società utilizzava una piattaforma in grado di raccogliere in maniera sistematica e per tutta la durata del rapporto di lavoro, annotazioni inserite dai manager a seguito dei colloqui con i dipendenti sottoposti alla loro responsabilità al rientro da periodi di assenza oppure all’occorrenza di determinati eventi (compleanni, raggiungimento di determinati punteggi). Nelle stesse sono stati rinvenuti richiami alle specifiche patologie sofferte dai lavoratori, partecipazione ad attività sindacali, nonché informazioni relative alla vita personale e familiare dei dipendenti.
Il Garante ha, pertanto, rilevato che le informazioni raccolte mediante la succitata piattaforma rappresentano dei dati non rilevanti ai fini della valutazione dell’attitudine professionale dei lavoratori e, dunque, il loro trattamento sia da ritenersi avvenuto in violazione del relativo divieto in capo al datore di lavoro di cui all’art. 113 del d.lgs. 196/2003, come novellato dal d.lgs. 101/2018, e all’art. 8 della L. 300/1970 e che, tenuto conto dell’elevato numero di interessati coinvolti (1.822 dipendenti), del regime di accessibilità dei dati raccolti mediante la piattaforma, della particolare natura dei dati e della lunga conservazione degli stessi (sino a dieci anni dalla cessazione del rapporto di lavoro), sia necessario intervenire per proteggere i diritti e le libertà degli interessati, adottando tutte le misure opportune a tal fine.
Il Garante ha altresì rilevato, nel corso del sopralluogo svolto in uno degli stabilimenti, la collocazione di quattro telecamere posizionate e orientate in modo da rendere identificabili i soggetti che accedevano ai bagni e all’area di ristoro, nonostante fosse attiva una funzione di mascheramento (cd. privacy mask) che oscurava parzialmente l’immagine. Le telecamere, tra l’altro, sempre secondo il Garante, sono state installate in maniera difforme a quanto previsto nella policy interna della Società, in base alla quale il posizionamento dei sistemi di videosorveglianza deve rispondere al solo scopo di protezione delle aree comuni (come corridoi e punti di passaggio verso uscite di emergenza).
Il Garante ha, pertanto, dichiarato come i trattamenti dei dati personali effettuati anche mediante le quattro telecamere siano illegittimi, in quanto in violazione dei principi di liceità, minimizzazione dei dati e limitazione della conservazione di cui agli artt. 5, par. 1, lett. a), c) ed e), 6 e 9 del Regolamento.