attualita

Garante privacy, aprire gli armadietti dei dipendenti è trattamento di dati personali

11 Luglio 2026

L’apertura dell’armadietto personale di un dipendente non è un semplice atto organizzativo, ma un trattamento di dati personali che richiede una specifica base giuridica, il rispetto dei principi di proporzionalità e minimizzazione e un’adeguata informativa preventiva ai lavoratori. È il principio affermato dal Garante per la protezione dei dati personali in un provvedimento del 18 giugno scorso, con il quale l’Autorità ha censurato il comportamento di un’azienda che aveva forzato l’armadietto di un ex dipendente svuotandone il contenuto e distruggendo gli effetti personali conservati all’interno.

Il caso riguarda la Cosmint, società operante nel settore cosmetico. Dopo la cessazione del rapporto di lavoro con un dipendente a tempo determinato, l’azienda aveva disposto l’apertura del suo armadietto, chiuso con un lucchetto di cui solo il lavoratore possedeva la chiave. L’operazione era stata condotta (in assenza dell’interessato) da quattro incaricati, che a detta dell’impresa avevano filmato l’apertura. Tutti gli oggetti rinvenuti all’interno erano stati rimossi e distrutti.

Secondo il Garante, l’azienda ha innanzitutto omesso di predisporre una disciplina interna sull’utilizzo degli armadietti e sulle modalità con cui questi devono essere liberati al termine del rapporto di lavoro. Pur trovandosi in locali aziendali, infatti, gli armadietti sono destinati a custodire effetti personali dei lavoratori e il loro contenuto può rivelare informazioni riferibili alla persona, rientrando quindi nella nozione di dato personale prevista dal Regolamento europeo sulla protezione dei dati (Gdpr). Per questo motivo il datore di lavoro è tenuto a fornire preventivamente un’informativa chiara sulle modalità di trattamento e sulle eventuali procedure applicabili in caso di cessazione del rapporto. Nel caso esaminato, invece, le sole indicazioni erano state fornite verbalmente, modalità ritenuta insufficiente a soddisfare gli obblighi di trasparenza previsti dal Regolamento.

L’Autorità ha poi escluso che l’azienda potesse giustificare l’apertura dell’armadietto invocando il proprio legittimo interesse a recuperare uno spazio destinato ai dipendenti in servizio. In assenza di una regolamentazione preventiva e di una specifica base giuridica, il trattamento dei dati derivante dall’apertura dell’armadietto è stato giudicato privo dei requisiti di liceità previsti dal Gdpr. Inoltre, osserva il Garante, l’operazione non rispettava neppure i principi di necessità e proporzionalità, perché esponeva a terzi oggetti appartenenti alla sfera privata del lavoratore, comprimendone ingiustificatamente la riservatezza e la dignità personale.

Un ulteriore elemento censurato riguarda la mancata comunicazione preventiva all’ex dipendente. La società, infatti, non aveva tentato di avvisarlo dell’imminente apertura dell’armadietto né aveva previsto la conservazione degli oggetti rinvenuti, optando direttamente per la loro distruzione. Anche questo comportamento è stato ritenuto contrario ai principi di correttezza e trasparenza che devono caratterizzare ogni trattamento di dati personali.

Nel corso dell’istruttoria, la società ha comunicato di essersi adeguata predisponendo una regolamentazione interna sull’utilizzo degli armadietti, un modulo con le istruzioni destinate ai lavoratori e procedure condivise anche con le agenzie di somministrazione per disciplinare tempi e modalità di riconsegna degli spazi al termine del rapporto di lavoro. Circostanze che il Garante ha preso in considerazione, pur confermando le violazioni riscontrate in relazione ai fatti oggetto del procedimento.