COMMENTO
A CURA DI STUDIO TRIBUTARIO GAVIOLI & ASSOCIATI | 6 FEBBRAIO 2026
Il dettaglio delle informazioni raccolte, la loro memorizzazione protratta nel tempo, la consultazione sistematica per un periodo di 13 mesi, l’elaborazione mediante punteggi e la possibilità di utilizzare tali risultati per valutazioni individuali e colloqui correttivi concorrono, nel loro complesso, a realizzare un’attività di controllo sull’operato del dipendente che utilizza auto aziendali che non è consentito se non tramite un accordo precedente; così il Garante della privacy con proprio Provvedimento 18 dicembre 2025.
Premessa
Il Garante per la protezione dei dati personali, con Provvedimento 18 dicembre 2025 riguardante l’installazione, da parte di una società appartenente a un gruppo multinazionale, di dispositivi di telematica satellitare sui veicoli aziendali concessi ai dipendenti anche come fringe benefit, ha sanzionato una azienda ritenendo che un sistema telematico applicato ai veicoli aziendali può integrare una forma di controllo a distanzadell’attività lavorativa e, proprio per questo, non può essere utilizzato senza il previo rispetto delle garanzie previste dall’articolo 4, della Legge 300/1970, richiamato espressamente dall’articolo 114, del Codice privacy, quale condizione di liceità dei trattamenti in ambito lavorativo.
Il reclamo al Garante
Nel settembre del 2023, è pervenuto all’Autorità un reclamo, con cui veniva rappresentato che, a partire dal mese di giugno 2023, una società aveva deciso di installare sui veicoli aziendali assegnati ai propri dipendenti un dispositivo telematico satellitare capace di rilevare i comportamenti di guida dei conducenti, e di utilizzare i dati così raccolti assegnando un punteggio di valutazione.
Considerata la delicatezza della questione prospettata, l’Autorità disponeva un accertamento ispettivo in loco ai sensi degli artt. 157 e 158 del Codice al fine di acquisire tutti gli elementi utili a verificare la conformità del trattamento svolto rispetto ai principi e alle disposizioni in materia di protezione dei dati personali.
Nel corso dell’accertamento ispettivo, emergeva, preliminarmente, che la società fa parte di un gruppo imprenditoriale multinazionale e il progetto relativo all’installazione di dispositivi telematici sui veicoli in uso ai dipendenti, ai fini della rilevazione dei comportamenti di guida, è stato disposto dalla capogruppo, con sede in Svizzera, coinvolgendo (alla data dell’accertamento) solo le società italiane facenti parte del medesimo gruppo.
L’installazione dei dispositivi telematici satellitari sui veicoli aziendali, da parte della società italiana, è iniziata a luglio 2023 ed è stata disposta su 8 veicoli utilizzati individualmente dai dipendenti delle società italiane del gruppo come fringe benefit e su 3 pool car, cioè veicoli non assegnati individualmente e utilizzati solo per viaggi professionali.
Le disposizioni del Garante
Il Garante evidenzia che, a fronte del trattamento dei dati personali posto in essere dalla società mediante il programma di telematica satellitare, la documentazione acquisita nel corso dell’accertamento ispettivo ha presentato evidenti criticità relative, soprattutto, all’indicazione del titolare del trattamento, dei responsabili e dei destinatari dei dati raccolti tramite i dispositivi.
Ciò, in quanto la documentazione era stata predisposta a livello di gruppo e rivolta a tutte le società affiliate, alcune delle quali con sede fuori del territorio dell’Unione. Ne risulta che l’informativa, letta anche in combinato con le FAQ, non era idonea a rappresentare, in maniera trasparente e corretta, le caratteristiche essenziali del trattamento, quali le finalità e i presupposti di liceità, e a fornire agli interessati indicazioni sufficientemente chiare sui soggetti che rivestono la qualifica di titolare e di responsabile del trattamento.
Con riferimento ai soggetti autorizzati a prendere visione delle informazioni sullo stile di guida dei conducenti, il Garante fa presente che, nel corso dell’accertamento ispettivo, è emerso come gli amministratori accedono direttamente ai dati sui viaggi dei dipendenti della Società attraverso il portale, diversamente da quanto era indicato nell’informativa; invece i supervisori ricevono mensilmente un report con le informazioni sul numero complessivo degli eventi registrati nel mese di riferimento e sul punteggio conseguito, riferite a ciascun componente assegnato alla propria flotta.
Inoltre, dagli accessi effettuati sul sistema, è risultato che i supervisori accedono ad ulteriori informazioni relative ai conducenti assegnati alla propria flotta, consistenti, in particolare, nel numero dei viaggi effettuati e dei km percorsi nel mese di riferimento, nella media dei punteggi conseguiti sia in termini di ecosostenibilità che di sicurezza fino a 3 mesi precedenti.
Dagli accertamenti svolti presso la sede della società, è emerso che la stessa, attraverso l’installazione dei dispositivi telematici satellitari, raccoglieinformazioni relative ai viaggi svolti dai propri dipendenti, siano essi di lavoro che privati, conservandoli per un periodo di 13 mesi.
In particolare, sulla base di quanto stabilito nell’accordo commerciale il sistema utilizzato (Arval Connect) consente di rilevare “informazioni afferenti ai viaggi effettuati dal veicolo ed al relativo utilizzo, quali, ad esempio, la data e l’ora di partenza e di arrivo di ciascun viaggio qualificato come professionale, la percorrenza chilometrica giornaliera con la distinzione del chilometraggio ad uso privato, la percorrenza chilometrica di ogni viaggio con l’indicazione della tipologia di percorso, il consumo di carburante, alcuni indicatori sullo stile di guida del veicolo in termini di sicurezza ed eco-sostenibilità”.
Il Garante osserva che in primo luogo, occorre considerare che, sebbene la telematica satellitare predisposta dalla Società sui propri veicoli sia sprovvista del sistema di geolocalizzazione (determinando un impatto meno invasivo sul controllo dell’attività lavorativa), ciò non di meno il dettaglio delle informazioni rilevate, la loro memorizzazione e la conseguente consultazione per 13 mesi dalla loro rilevazione, la valutazioneeffettuata sui dati afferenti sia ai viaggi professionali che a quelli privati mediante l’assegnazione di un punteggio, concorrono, nel loro complesso, all’effettuazione di un’attività di controllo sull’attività del lavoratore che, effettuata in assenza delle procedure di garanzia di cui all’art. 4, della Legge n. 300/1970 (richiamato dall’art. 114 del Codice come condizione di liceità del trattamento), costituisce violazione degli artt. 5 , par. 1, lett. a) e 88 del Regolamento UE 2016/679 (D.Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101, c.d. Codice).
Sotto altro profilo, il Garante ritiene che l’acquisizione e la valutazione dello stile di guida effettuato anche in occasione dei viaggi privati fa sì che il trattamento posto in essere riguardi anche dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, considerato soprattutto che è ammesso l’uso privato del veicolo anche ai familiari del dipendente interessato.
Tale attività si pone così in contrasto con la disposizione di cui all’art. 8, della Legge n. 300/1970 (richiamato dall’art. 113 del Codice come condizione di liceità del trattamento) che vieta al datore di lavoro di effettuare indagini, anche tramite terzi, sulle opinioni politiche, religiose o sindacali del lavoratore o “su fatti non rilevanti per l’attitudine professionale”, sia al momento dell’assunzione che durante il rapporto di lavoro.
In conclusione, il provvedimento del Garante si chiude con la dichiarazione di illiceità del trattamento, l’ordine di cancellazione dei dati e l’irrogazione di una sanzione amministrativa di 120.000 nei confronti della società.
Riferimenti normativi:
- Legge 20 maggio 1970, n. 300, art. 4
- D.Lgs. 30 giugno 2003, n. 196
- D.Lgs. 10 agosto 2018, n. 101
- Regolamento 27 aprile 2016, n. 2016/679, artt. 5 , par. 1, lett. a) e 88
- Garante Privacy, Provvedimento 18 dicembre 2025
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.
Grazie per il rispetto delle regole e per contribuire a mantenere la riservatezza delle informazioni condivise