La digitalizzazione dei processi produttivi ha introdotto strumenti di gestione che, se non correttamente perimetrati, rischiano di trasformarsi in sistemi di sorveglianza totale. Il Provvedimento del Garante Privacy n. 107 del 24 febbraio 2026 interviene su questa deriva, sanzionando pratiche di monitoraggio e di raccolta di dati personali di lavoratori non pertinenti.

La “schedatura” delle assenze e il Bradford factor

L’istruttoria del Garante ha preso le mosse da accertamenti ispettivi presso i centri logistici di un primario operatore del settore e-commerce. Al centro della contestazione vi è l’utilizzo di una piattaforma che, interconnessa con i sistemi di rilevazione delle presenze, segnalava ai manager la necessità di effettuare colloqui con i dipendenti sottoposti alla relativa responsabilità al rientro da periodi di assenza oppure all’occorrenza di determinati eventi.

“La piattaforma segnala ai manager la necessità di effettuare colloqui con i dipendenti […] al rientro da periodi di assenza […] la segnalazione è generata tramite il risultato derivante dall’applicazione dell’algoritmo ‘Bradford Factor’ che assegna un punteggio più alto alle assenze brevi e frequenti.” (Provv. 24/02/2026)

Il Garante ha rilevato come, durante tali colloqui, venissero annotate in campi liberi informazioni estremamente dettagliate sullo stato di salute dei lavoratori, sulla partecipazione a scioperi e sull’impegno in attività sindacali nonché sulla vita personale e familiare, violando i principi di minimizzazione e liceità del trattamento.

I passaggi chiave del provvedimento del Garante

L’Autorità ha ribadito che il trattamento dei dati personali nel rapporto di lavoro deve rispettare rigorosamente l’art. 88 del GDPR e le norme nazionali di maggior tutela, in particolare l’art. 8 della L. 300/1970 (Statuto dei Lavoratori) e l’art. 113 del Codice Privacy.

Nel caso di specie, il Garante ha rilevato la violazione dei principi generali in materia di protezione dei dati personali, tra cui, in particolare i principi di liceità, minimizzazione e di limitazione della conservazione, (di cui agli articoli 5, par. 1, lett, a), c) ed e), 6 e 9 del GDPR).

In esito alla situazione analizzata dal Garante, si possono trarre alcune indicazioni:

1. Divieto di indagini sulle opinioni e fatti non rilevanti: il datore di lavoro non può raccogliere informazioni su fatti che non attengono all’attitudine professionale del lavoratore. La salute rientra in una sfera di protezione rafforzata;
2. Violazione del principio di minimizzazione: la raccolta sistematica di diagnosi mediche per giustificare assenze già coperte da certificazione ufficiale è eccedente rispetto alle finalità di gestione del rapporto di lavoro;
3. Opacità degli algoritmi: l’utilizzo di indicatori come il Bradford Factor per orientare la gestione disciplinare o organizzativa richiede una trasparenza che, nel caso di specie, è risultata carente.

Dottrina e giurisprudenza recente: il bilanciamento degli interessi

La pronuncia del Garante si inserisce in un solco giurisprudenziale consolidato ma in continua evoluzione. La Corte di Cassazione, con la recente sentenza n. 24204 del 29 agosto 2025, ha ribadito che i controlli datoriali, anche se finalizzati alla tutela del patrimonio aziendale, devono sempre rispettare il principio di proporzionalità e non possono mai tradursi in un monitoraggio continuo e indiscriminato dell’attività del lavoratore.

In dottrina, si parla sempre più di “Data-driven Management” e dei rischi connessi alla profilazione del lavoratore. Come spesso evidenziato, l’introduzione di sistemi di Intelligenza Artificiale e algoritmi decisionali nel workplace richiede una c.d. Valutazione di Impatto (DPIA), in virtù della quale effettuare un’analisi sostanziale dei rischi per i diritti e le libertà fondamentali.

Inoltre, la Cassazione, con l’ordinanza n. 20444 del 21 luglio 2025 ha recentemente precisato i limiti della registrazione di conversazioni sul luogo di lavoro, sottolineando che il diritto alla prova non può giustificare violazioni sistematiche della privacy altrui, confermando un orientamento di rigore verso ogni forma di “sorveglianza occulta” non strettamente necessaria.

Conclusioni: verso un nuovo statuto dei dati nel lavoro

Il Provvedimento del Garante Privacy n. 107 del 24 febbraio 2026 in commento ci ricorda che la dignità del lavoratore non è negoziabile in nome dell’efficienza algoritmica. Il datore di lavoro ha il diritto di organizzare l’impresa, ma non può trasformare il rapporto di lavoro in un’indagine conoscitiva permanente sulla vita privata e sulla salute dei propri dipendenti.

I punti fermi per le aziende oggi sono:

– Trasparenza assoluta sull’uso di algoritmi e sistemi di monitoraggio;

– Divieto di raccolta di dati sanitari al di fuori dei canali medico-legali previsti;

– Rispetto rigoroso dell’art. 4 dello Statuto dei Lavoratori per ogni strumento che possa consentire il controllo a distanza.

Nota critica: la debolezza della sanzione e la responsabilità della filiera software

Nonostante quanto indicato dal Garante nel delineare i principi e i limiti del controllo datoriale, una nota critica deve essere mossa riguardo alla natura della sanzione. Il provvedimento, pur disponendo la misura della limitazione definitiva del trattamento dei dati contenuti nelle annotazioni effettuate nel campo libero della piattaforma, non prevede una condanna al pagamento di una sanzione pecuniaria. Questa assenza di una sanzione pecuniaria potrebbe essere percepita come una debolezza, non fungendo da deterrente sufficiente per pratiche analoghe in futuro.

Inoltre, è altresì rilevante sollevare la questione della responsabilità del produttore del software e di chi ne effettua la manutenzione, qualora diversi dal titolare del trattamento. Se un sistema viene progettato o mantenuto con funzionalità che intrinsecamente facilitano o inducono a violazioni della privacy, dovrebbe configurarsi anche una responsabilità di tali soggetti. Il principio di privacy by design e privacy by default, sancito dal GDPR, impone che la protezione dei dati sia integrata fin dalla fase di progettazione di sistemi e servizi. Ciò avrebbe richiesto, pertanto, un maggiore approfondimento ed un più incisivo intervento per estendere la tutela all’intera catena di fornitura.