Il Garante per la protezione dei dati personali ha sanzionato un’azienda agricola multinazionale per aver installato dispositivi di telematica satellitare sui veicoli aziendali dei propri dipendenti, raccogliendo e valutando i dati sullo stile di guida – inclusi quelli relativi ai viaggi privati – senza rispettare le norme a tutela dei lavoratori e le disposizioni del GDPR.

Il provvedimento, adottato il 18 dicembre 2025 (Provv. Garante n. 755 del 18.12.2025), tocca un tema sempre più attuale: fino a dove può spingersi il monitoraggio dei dipendenti attraverso dispositivi tecnologici installati sui mezzi aziendali?

1. Il caso: i fatti rilevanti

Pioneer Hi-Bred Italia Sementi s.r.l., società italiana facente parte di un gruppo multinazionale, aveva installato a partire da luglio 2023 dispositivi telematici satellitari su otto veicoli aziendali assegnati individualmente ai dipendenti come fringe benefit e su tre pool car.

Il sistema utilizzato – denominato Arval Connect Essential e fornito dalla società Arval Service Lease Italia S.p.A. – rilevava una serie di informazioni per ciascun viaggio effettuato, sia professionale che privato:

  • data e ora di partenza e di arrivo
  • chilometri percorsi e consumo di carburante
  • comportamenti di guida: frenata, accelerazione, velocità, sterzate e curve
  • uno score individuale calcolato su questi parametri, con classificazione del rischio in basso, medio o elevato

Il punteggio mensile assegnato a ciascun dipendente teneva conto dei comportamenti di guida rilevati sia durante i viaggi di lavoro che durante i viaggi privati. I dati erano conservati per 13 mesi e accessibili, con diversi livelli di dettaglio, ai supervisori e agli amministratori del sistema – alcuni dei quali dipendenti di società del gruppo con sede all’estero.

Il procedimento è nato da un reclamo presentato all’Autorità il 15 settembre 2023. A seguito dell’ispezione svolta nei giorni 28 e 29 febbraio 2024 presso la sede della Società, l’Ufficio ha avviato il procedimento sanzionatorio con atto del 3 luglio 2024.

2. La decisione: cosa ha stabilito il Garante

Il Garante ha dichiarato illecito il trattamento dei dati personali effettuato dalla Società e ha adottato due misure.

In primo luogo, ha ordinato la cancellazione di tutti i dati raccolti tramite il programma di telematica satellitare inerenti ai viaggi privati dei dipendenti, sulla base dei quali veniva calcolato lo score individuale, con obbligo di riscontro entro 30 giorni dalla notifica del provvedimento (ai sensi dell’art. 58, par. 2, lett. g), Reg. UE 2016/679 – GDPR).

In secondo luogo, ha applicato una sanzione amministrativa pecuniaria di 120.000 euro, irrogata ai sensi dell’art. 83, par. 5, lett. a) e d), del GDPR, da pagare entro 30 giorni dalla notifica. La Società ha la facoltà di definire la controversia pagando la metà dell’importo (60.000 euro) entro i termini previsti per proporre ricorso.

Il Garante ha disposto anche la pubblicazione del provvedimento sul proprio sito istituzionale, in considerazione della tipologia delle violazioni accertate.

3. La motivazione: i principi applicati

Il provvedimento accerta quattro distinte violazioni. Vediamole una per una.

3.1 Informativa inadeguata e principi di trasparenza, limitazione delle finalità e minimizzazione

Il Garante ha rilevato la violazione degli artt. 5, par. 1, lett. a), b) e c), e 13 del GDPR. L’informativa predisposta dalla capogruppo e utilizzata da tutte le società affiliate presentava tre criticità fondamentali.

Non indicava con chiarezza chi fosse il titolare del trattamento: il documento era redatto da una società del gruppo senza specificarne l’identità rispetto alle singole società datori di lavoro. Non identificava con precisione i destinatari dei dati: le indicazioni sui soggetti autorizzati ad accedere alle informazioni sullo stile di guida erano vaghe e generiche. Non descriveva in modo determinato le finalità del trattamento: la “finalità generale” del programma di sicurezza del gruppo non è una finalità ai sensi del GDPR.

La Società aveva sostenuto di aver adottato un approccio “stratificato” all’informativa, distribuendo le informazioni tra più documenti (informativa, FAQ, formazione online), in linea con le indicazioni del Gruppo Art. 29. Il Garante ha chiarito che l’approccio stratificato è ammissibile, ma richiede che l’interessato sappia dove trovare l’informativa completa e possa accedervi facilmente – condizione non soddisfatta nel caso di specie.

3.2 Assenza di una valutazione comparativa del legittimo interesse

Il trattamento era fondato sul legittimo interesse del gruppo ai sensi dell’art. 6, par. 1, lett. f), del GDPR. Tuttavia, la LIA (Legitimate Interest Assessment) prodotta nel corso dell’ispezione era stata elaborata sulla base di modelli predisposti da autorità straniere (ICO del Regno Unito e CNIL francese) e non prendeva in considerazione i diritti e le ragionevoli aspettative dei dipendenti italiani, né l’impatto specifico del trattamento sui lavoratori.

In ogni caso, il Garante ha rilevato che il legittimo interesse non può mai costituire base giuridica per il trattamento di dati relativi a viaggi privati ai fini della valutazione professionale del dipendente.

3.3 Mancata designazione dei responsabili del trattamento

Gli amministratori del sistema e i supervisori – alcuni dei quali dipendenti di altre società del gruppo, anche con sede fuori dall’Unione europea – accedevano ai dati dei dipendenti della Società senza che fosse stato stipulato un accordo di responsabile del trattamento ai sensi dell’art. 28 del GDPR. Mancavano anche le istruzioni documentate sul trattamento, violando l’art. 2-quaterdecies del D.Lgs. 196/2003 (Codice Privacy).

Il flusso di dati tra società dello stesso gruppo non è automaticamente lecito: ciascuna società ha autonoma titolarità rispetto ai dati dei propri dipendenti e deve disciplinare con un apposito atto giuridico i trattamenti affidati a terzi.

3.4 Violazione delle garanzie a tutela dei lavoratori

La violazione più rilevante riguarda le disposizioni a tutela dei lavoratori. Il Garante ha accertato la violazione degli artt. 5, par. 1, lett. a) e 88 del GDPR in relazione agli artt. 113 e 114 del D.Lgs. 196/2003 e agli artt. 4 e 8 della L. 300/1970 (Statuto dei lavoratori).

Sotto il primo profilo: il sistema di telematica satellitare, sebbene privo di geolocalizzazione, realizzava di fatto un controllo a distanza dell’attività dei lavoratori attraverso la raccolta sistematica e la valutazione dei comportamenti di guida. Questa attività richiede il rispetto delle procedure di garanzia previste dall’art. 4 della L. 300/1970 (accordo sindacale o autorizzazione dell’Ispettorato del Lavoro), che la Società non aveva attivato – ritenendo erroneamente che il sistema non configurasse una forma di controllo.

Sotto il secondo profilo: raccogliere e valutare i comportamenti di guida durante i viaggi privati – inclusi quelli effettuati dai familiari del dipendente – costituisce un’indagine su fatti non rilevanti per l’attitudine professionale del lavoratore, vietata dall’art. 8 della L. 300/1970 (richiamato dall’art. 113 del Codice Privacy). Il Garante richiama sul punto la Cass. civ., sez. I, n. 18302, secondo cui raccogliere e conservare simili dati integra già la condotta vietata, anche se i dati non vengono poi concretamente utilizzati.

4. Le implicazioni pratiche per aziende e professionisti

Il provvedimento chiarisce alcuni punti che spesso vengono sottovalutati nella gestione dei veicoli aziendali con dispositivi telematici.

La geolocalizzazione non è il solo problema. Molte aziende ritengono di essere al riparo dagli obblighi dello Statuto dei lavoratori se il sistema non registra la posizione GPS del veicolo. Il Garante ha chiarito che anche un sistema senza geolocalizzazione, se raccoglie dati sui comportamenti di guida in modo sistematico e li utilizza per valutare i dipendenti, realizza un controllo a distanza che richiede le garanzie dell’art. 4 L. 300/1970.

I dati dei viaggi privati non possono essere usati per valutare la prestazione lavorativa. Se il veicolo aziendale è concesso in uso privato al dipendente, il datore di lavoro non può raccogliere né utilizzare i dati comportamentali relativi ai tragitti privati, neppure in forma aggregata o anonimizzata ai soli fini dello score complessivo. La circostanza che il sistema tecnico non consenta di escluderli non è un’esimente.

Il gruppo societario non è un soggetto unitario rispetto al GDPR. Ogni società del gruppo è autonomo titolare del trattamento per i dati dei propri dipendenti. I flussi verso altre società del gruppo – anche se appartenenti alla stessa catena di controllo – devono essere disciplinati con un accordo ex art. 28 del GDPR o, ove ricorra la contitolarità, con un accordo ex art. 26.

L’approccio stratificato all’informativa funziona solo se c’è un unico punto di accesso. Distribuire le informazioni tra informativa, FAQ e materiali formativi è lecito, ma a condizione che l’interessato sia messo nelle condizioni di accedere facilmente all’informativa completa. Un link o un rinvio esplicito al documento integrale è il minimo necessario.

5. Cosa fare se utilizzi dispositivi telematici sui veicoli aziendali

Se la tua azienda ha già installato – o sta valutando di installare – dispositivi di telematica satellitare sui veicoli dei dipendenti, queste sono le verifiche prioritarie da effettuare.

  1. Verifica se il sistema configura un controllo a distanza ai sensi dell’art. 4 L. 300/1970: rileva comportamenti di guida? Genera score o report individuali? Se sì, serve un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro prima di attivare o continuare il trattamento.
  2. Distingui nettamente tra viaggi professionali e privati. Se il veicolo è utilizzabile anche per scopi privati, i dati dei viaggi privati non devono essere raccolti né in alcun modo incidere sulla valutazione del dipendente. Verifica tecnicamente che il sistema lo consenta e che la configurazione sia documentata.
  3. Aggiorna l’informativa ai dipendenti secondo i requisiti dell’art. 13 del GDPR: titolare del trattamento identificato con precisione, finalità specifiche e determinate, destinatari dei dati (non categorie generiche), periodo di conservazione, base giuridica con eventuale LIA aggiornata.
  4. Designa formalmente i responsabili del trattamento con un accordo scritto ai sensi dell’art. 28 del GDPR per ogni fornitore che accede ai dati (es. la società di noleggio o il gestore della piattaforma) e per ogni altra società del gruppo che riceve i dati.
  5. Svolgi o aggiorna la DPIA ai sensi dell’art. 35 del GDPR: il monitoraggio sistematico dei dipendenti rientra tra le tipologie di trattamento che richiedono una valutazione d’impatto. La DPIA deve essere condotta dal titolare del trattamento italiano, non mutuata da modelli di altre giurisdizioni.
  6. Verifica i tempi di conservazione e adotta misure tecniche e organizzative per garantire che i dati non siano conservati oltre il periodo necessario rispetto alle finalità dichiarate.
Hai dubbi sulla conformità GDPR o sull’utilizzo di tecnologie digitali nella tua azienda?

Verificare la compliance normativa e prevenire rischi e sanzioni.

  • Indice dei Contenuti

Le nostre news

Rimani informato su tutte le novità di questo affascinante mondo

Guide Legali, Privacy

Data breach GDPR: cosa fare (e cosa non fare) nelle prime 72 ore

Guide Legali, Privacy

Nomina a responsabile del trattamento e Data Processing Agreement (DPA): cos’è, cosa deve contenere e perché firmarlo bene protegge l’azienda

Contratti, Guide Legali, Privacy

Garante Privacy: vietato il controllo dello stile di guida dei lavoratori tramite telematica satellitare

Guide Legali, Privacy

Controlli a distanza sui lavoratori: la guida pratica per le aziende prima di installare qualsiasi strumento

Nuove tecnologie

Criptovalute e MiCAR: la Consob sanziona Fabrizio Corona per i memecoin $CORONA – Primo caso in Italia

Contratti, Guide Legali, Nuove tecnologie

Work for Equity: un modello di collaborazione per l’innovazione

Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |Web3 | Blockchain | Intelligenza Artificiale  | Metaverso | NFT | Big Data | Nuove tecnologie | Contratti di impresa | Termini e Condizioni di vendita | E-Commerce |Adeguamento Privacy e GDPR | Proprietà Intellettuale | Gestione della Crisi | Tutela 360° |

Richiedi una valutazione chiara del tuo caso.

Compila il form e ti risponderemo entro 48 ore

Cliccando sul pulsante “INVIA” confermi di aver preso visione della Privacy Policy e acconsenti al trattamento dei dati personali forniti, esclusivamente per dare seguito alla tua richiesta.