Con il provvedimento n. 462 del 18 giugno 2026, il Garante per la protezione dei dati personali è tornato su un tema molto concreto nella gestione dei luoghi di lavoro: l’utilizzo degli armadietti aziendali assegnati ai lavoratori e i limiti entro cui il datore di lavoro può accedere agli spazi messi a disposizione del personale.
La questione può sembrare marginale, ma non lo è. Gli armadietti aziendali, soprattutto quando sono assegnati individualmente e chiusi con lucchetto personale, possono diventare spazi nei quali il lavoratore conserva effetti personali, indumenti, documenti o altri oggetti dai quali possono emergere informazioni riferibili alla sua vita privata.
Il caso esaminato dal Garante
La vicenda nasce dal reclamo presentato da un lavoratore che aveva svolto attività presso un’azienda nell’ambito di un rapporto di somministrazione.
A seguito della cessazione del rapporto di lavoro, il lavoratore aveva avviato alcune interlocuzioni per concordare il ritiro degli effetti personali presenti nel proprio armadietto aziendale. L’appuntamento era stato più volte rinviato per motivi familiari e infine concordato per il 31 gennaio 2024.
Tuttavia, quando il lavoratore si è presentato presso la sede aziendale, ha appreso che l’armadietto era già stato aperto, svuotato e che gli effetti personali erano stati distrutti.
Secondo quanto emerso dall’istruttoria, l’apertura era avvenuta il giorno precedente all’appuntamento fissato, in assenza del lavoratore e alla presenza di più soggetti riconducibili all’organizzazione aziendale, tra cui personale della security, della manutenzione e dei servizi generali. L’azienda aveva inoltre effettuato una ripresa video dell’operazione con lo smartphone personale di una collaboratrice della sicurezza.
Perché l’apertura dell’armadietto riguarda la privacy
Il punto centrale del provvedimento è che l’apertura di un armadietto aziendale non è sempre una semplice attività materiale o organizzativa.
Il Garante ha infatti chiarito che, quando l’armadietto è assegnato individualmente a un lavoratore e contiene oggetti personali, l’accesso al suo contenuto può comportare un trattamento di dati personali.
Secondo il GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Nel caso specifico, il lavoratore era chiaramente identificabile come assegnatario dell’armadietto e gli oggetti presenti al suo interno potevano rivelare informazioni sulle sue abitudini, condizioni personali o aspetti della vita privata.
Non rileva, quindi, solo la proprietà materiale dell’armadietto o il fatto che si trovi all’interno dei locali aziendali. Ciò che conta è la possibilità che, attraverso l’apertura e la verifica del contenuto, il datore di lavoro o altri soggetti vengano a conoscenza di informazioni riferibili al lavoratore.
Le violazioni rilevate
Il Garante ha contestato all’azienda diversi profili di illiceità.
In primo luogo, è stata rilevata la mancanza di un’adeguata informativa ai lavoratori. La società aveva sostenuto che i dipendenti fossero stati informati oralmente del fatto che gli armadietti non dovevano contenere oggetti personali o beni di valore. Tuttavia, secondo il Garante, indicazioni meramente verbali non sono sufficienti a soddisfare gli obblighi di trasparenza previsti dalla normativa privacy.
Sarebbe stata invece necessaria una regolamentazione scritta sull’utilizzo degli armadietti, contenente almeno:
- le modalità di utilizzo;
- i limiti all’inserimento di oggetti personali;
- le condizioni per un’eventuale apertura;
- i tempi di svuotamento dopo la cessazione del rapporto di lavoro;
- le modalità di gestione degli effetti personali eventualmente rinvenuti.
Un secondo profilo riguarda l’assenza di una valida base giuridica. L’azienda aveva richiamato il proprio legittimo interesse alla gestione degli spazi aziendali, anche in considerazione del turnover del personale e della necessità di rendere disponibile l’armadietto per un nuovo lavoratore.
Il Garante, però, ha evidenziato che non risultava effettuato un preventivo e documentato test di bilanciamento tra l’interesse aziendale e i diritti del lavoratore.
Sono stati inoltre ritenuti violati i principi di correttezza, trasparenza e minimizzazione. L’apertura è infatti avvenuta il giorno prima dell’appuntamento già concordato con il lavoratore, senza preavviso e con modalità particolarmente invasive, compresa la distruzione degli effetti personali.
Ulteriore elemento negativo è stato il mancato riscontro iniziale alle richieste istruttorie del Garante, che ha reso necessario l’intervento del Nucleo speciale privacy e frodi tecnologiche della Guardia di Finanza.
La decisione del Garante
All’esito del procedimento, il Garante ha dichiarato illecito il trattamento di dati personali effettuato dall’azienda in relazione all’apertura dell’armadietto assegnato al lavoratore.
Le condotte ritenute rilevanti sono state diverse: l’apertura dell’armadietto, la verifica del contenuto, la registrazione video dell’operazione e la successiva distruzione degli effetti personali.
Per tali violazioni, il Garante ha applicato una sanzione amministrativa pecuniaria pari a 6.600 euro.
Nella quantificazione della sanzione, l’Autorità ha tenuto conto sia degli elementi aggravanti, come la violazione di principi fondamentali del trattamento e la mancata collaborazione iniziale, sia di alcuni elementi favorevoli alla società, tra cui la successiva cooperazione e l’adozione di misure organizzative per regolamentare l’uso degli armadietti.
Cosa devono fare le aziende
Il provvedimento fornisce indicazioni operative importanti per tutte le aziende che mettono a disposizione dei lavoratori armadietti, cassetti, spogliatoi o altri spazi ad uso individuale.
Il datore di lavoro può certamente disciplinare l’utilizzo degli armadietti aziendali, soprattutto per ragioni organizzative, igieniche, di sicurezza o per esigenze legate alla cessazione del rapporto di lavoro. Tuttavia, tale gestione deve essere regolamentata in modo chiaro, proporzionato e trasparente.
È quindi opportuno predisporre una procedura interna che definisca:
- le finalità di utilizzo degli armadietti;
- il divieto o i limiti relativi alla conservazione di oggetti personali, beni di valore o materiali non consentiti;
- le modalità di riconsegna o svuotamento alla cessazione del rapporto;
- i tempi entro cui il lavoratore deve ritirare gli effetti personali;
- le condizioni eccezionali che possono giustificare l’apertura dell’armadietto;
- i soggetti autorizzati a presenziare all’eventuale apertura;
- le modalità di verbalizzazione delle operazioni;
- la gestione e conservazione degli oggetti rinvenuti;
- l’eventuale coinvolgimento preventivo del lavoratore o di un suo rappresentante.
L’apertura dell’armadietto dovrebbe rappresentare una misura eccezionale e residuale, da adottare solo quando non siano disponibili soluzioni meno invasive. In ogni caso, il lavoratore deve essere preventivamente informato e devono essere adottate modalità tali da ridurre al minimo la conoscibilità di informazioni personali.
Conclusioni
Il provvedimento del Garante conferma un principio importante: anche attività apparentemente ordinarie di gestione aziendale possono assumere rilevanza privacy quando incidono sulla sfera personale del lavoratore.
L’armadietto aziendale, pur trovandosi nei locali dell’impresa, può rappresentare uno spazio di riservatezza individuale, soprattutto se assegnato personalmente e chiuso con lucchetto nella disponibilità esclusiva del lavoratore.
Per evitare contestazioni, non è sufficiente affidarsi a prassi informali o comunicazioni verbali. È invece necessario adottare regole scritte, chiare e conosciute dai lavoratori, inserite all’interno di una più ampia gestione documentale e organizzativa della privacy nei luoghi di lavoro.
Una corretta procedura sull’utilizzo degli armadietti aziendali permette all’azienda di tutelare le proprie esigenze organizzative, ma anche di rispettare i diritti dei lavoratori e ridurre il rischio di sanzioni.


