Controllo dello stile di guida dei dipendenti: sanzione del Garante Privacy da 120.000 euro

di

Il 29 gennaio 2026 il Garante per la protezione dei dati personali ha pubblicato un provvedimento di particolare rilievo in materia di controllo a distanza dei lavoratori e utilizzo di sistemi telematici su veicoli aziendali, irrogando una sanzione amministrativa di 120.000 euro a una società che monitorava lo stile di guida di cinque dipendenti tramite dispositivi installati sulle auto aziendali.

Il caso rappresenta un riferimento operativo per tutte le imprese che utilizzano strumenti di fleet management, GPS e black box aziendali.

Il caso: telematica di bordo e punteggio mensile di guida

La società – appartenente a un gruppo multinazionale – aveva installato sui veicoli aziendali un dispositivo associato al nominativo del conducente.

Il sistema raccoglieva informazioni dettagliate relative a:

  • tempi di percorrenza
  • chilometri effettuati
  • consumi
  • stile di guida
  • viaggi di lavoro e privati

I dati venivano conservati per 13 mesi e utilizzati per attribuire un punteggio mensile di comportamento alla guida, con possibili interventi correttivi nei confronti dei dipendenti.

L’iniziativa, avviata in via sperimentale, era destinata a essere estesa a tutte le società europee del gruppo.

Le violazioni accertate dall’Autorità

1️⃣ Controllo a distanza in violazione dell’art. 4 dello Statuto dei Lavoratori

Il dispositivo consentiva un monitoraggio sistematico e analitico dell’attività dei lavoratori, configurando uno strumento idoneo al controllo della prestazione lavorativa.

Il trattamento è risultato effettuato in assenza:

  • di accordo sindacale
  • di autorizzazione dell’Ispettorato del Lavoro
  • delle garanzie previste per strumenti dai quali derivi la possibilità di controllo a distanza

Il sistema non era limitato a finalità organizzative o di sicurezza, ma veniva utilizzato con finalità valutative individuali.

2️⃣ Violazioni dei principi GDPR

L’informativa fornita ai dipendenti risultava carente sotto molteplici profili:

  • destinatari estesi indistintamente a tutte le società del gruppo, incluse entità extra-UE
  • mancata indicazione chiara delle finalità del trattamento
  • assenza di una corretta individuazione di titolare, responsabili e destinatari
  • basi giuridiche non adeguatamente esplicitate

Sono stati compromessi i principi di:

  • trasparenza
  • correttezza
  • limitazione della finalità
  • minimizzazione

3️⃣ Accessi ai dati non correttamente regolamentati

L’Autorità ha inoltre rilevato che l’accesso ai dati raccolti tramite i dispositivi installati sulle auto aziendali era consentito anche a personale di altre società del gruppo, in assenza di idonee designazioni o autorizzazioni formalizzate.

Le conseguenze

Nel determinare la sanzione di 120.000 euro, il Garante ha tenuto conto:

  • del numero limitato di lavoratori coinvolti (5 dipendenti)
  • della sospensione immediata del trattamento ritenuto illecito
  • della collaborazione fornita successivamente dalla società

Oltre alla sanzione pecuniaria, è stata ordinata:

  • la cancellazione dei dati relativi ai viaggi dei lavoratori
  • l’eliminazione dei punteggi attribuiti per lo stile di guida

Implicazioni per le aziende: quando il fleet management diventa controllo

Il provvedimento chiarisce un punto essenziale:
non rileva solo la finalità dichiarata, ma la concreta possibilità tecnica di controllo.

Anche strumenti implementati per:

  • ottimizzazione dei percorsi
  • sicurezza dei veicoli
  • riduzione dei consumi
  • gestione flotte

possono rientrare nell’ambito dell’art. 4 dello Statuto dei Lavoratori se consentono una valutazione individuale della prestazione.

Checklist operativa NormaLexy per aziende

✅ 1. Verifica giuslavoristica preventiva

  • Analizzare se il sistema consente controllo a distanza
  • Attivare accordo sindacale o richiedere autorizzazione all’Ispettorato
  • Documentare le finalità organizzative o di sicurezza

✅ 2. Compliance GDPR

  • Individuare correttamente il titolare del trattamento
  • Formalizzare responsabili e contitolari
  • Verificare eventuali trasferimenti extra-UE
  • Aggiornare il Registro dei Trattamenti
  • Valutare la necessità di una DPIA

✅ 3. Minimizzazione dei dati

  • Limitare la granularità delle informazioni raccolte
  • Evitare sistemi di scoring non indispensabili
  • Ridurre la raccolta di dati relativi a utilizzi privati

✅ 4. Conservazione proporzionata

  • Definire tempi di retention coerenti con le finalità
  • Motivare eventuali conservazioni prolungate

✅ 5. Informativa completa e trasparente

  • Finalità dettagliate
  • Base giuridica
  • Periodo di conservazione
  • Diritti degli interessati
  • Identificazione dei soggetti coinvolti

✅ 6. Sicurezza e governance

  • Accessi profilati e tracciati
  • Autorizzazioni formalizzate
  • Policy interne documentate
  • Audit periodici

✅ 7. Privacy by design

  • Coinvolgere consulente privacy o DPO già in fase progettuale
  • Effettuare analisi preventiva dei rischi
  • Valutare soluzioni tecniche meno invasive

Liberatoria e Clausola di Esclusione di Responsabilità

Il presente articolo ha finalità esclusivamente informative e divulgative e non costituisce parere legale né consulenza professionale.

Le informazioni contenute nel contributo sono elaborate sulla base di fonti pubbliche e riflettono un’analisi generale del quadro normativo in materia di protezione dei dati personali e controllo a distanza dei lavoratori alla data di pubblicazione.

L’applicazione concreta della normativa (Regolamento UE 2016/679 – GDPR, D.Lgs. 196/2003 come modificato e art. 4 Statuto dei Lavoratori) richiede una valutazione specifica caso per caso, alla luce della struttura organizzativa aziendale, delle finalità effettive del trattamento, delle modalità tecniche adottate e dei flussi di dati eventualmente transfrontalieri.

NormaLexy declina ogni responsabilità per decisioni assunte sulla base del presente contenuto senza preventiva consulenza personalizzata e senza adeguata verifica tecnico-giuridica.

Il lettore è invitato a rivolgersi a un professionista qualificato prima di implementare sistemi di monitoraggio o telemetria aziendale che possano incidere sui diritti dei lavoratori.

La riproduzione, anche parziale, del contenuto è consentita esclusivamente previa citazione della fonte e inserimento di link attivo a NormaLexy.com, salvo diverso accordo scritto.

Lascia un commento

Consenso ai cookie GDPR con Real Cookie Banner