Telematica su veicoli aziendali: la sanzione del Garante Privacy

Con il provvedimento n. 755 del 18 dicembre 2025, il Garante Privacy è intervenuto in modo significativo sul tema dell’utilizzo dei dispositivi telematici sui veicoli aziendali quali sistemi di fleet management o analoghi strumenti di monitoraggio.

Il caso ha in particolare riguardato una società italiana facente parte di un gruppo multinazionale, che aveva attivato un programma di telematica satellitare su veicoli aziendali assegnati anche in uso promiscuo ai dipendenti. Pur in assenza di un sistema di geolocalizzazione, tale sistema consentiva di raccogliere informazioni relative ai viaggi effettuati, come data e ora di partenza e arrivo, chilometri percorsi, consumi, nonché dati inerenti ai comportamenti di guida, come frenate brusche o accelerazioni. Sulla base di tali eventi, il sistema prevedeva poi l’attribuzione al dipendente di uno score mensile, con classificazione del livello di rischio e attivazione, nei casi ritenuti critici, di colloqui correttivi.

Sulla base di quanto specificato dalla società titolare, il trattamento fondato sul legittimo interesse era teso a migliorare la sicurezza stradale e l’efficienza della flotta. A seguito però di reclamo e di successiva istruttoria del Garante, l’Autorità ha ritenuto il sistema non conforme sotto molteplici profili.

In primo luogo, è stata rilevata l’inadeguatezza dell’informativa resa ai dipendenti. Invero, la documentazione predisposta a livello di gruppo non consentiva all’interessato la possibilità di individuare con chiarezza il titolare del trattamento, i soggetti che accedevano ai dati e le effettive finalità perseguite. Le informazioni risultavano in altri termini frammentate tra informativa e FAQ e non erano in grado di offrire un quadro trasparente circa il trattamento dei dati personali.

Inoltre, sotto il profilo della base giuridica,l’Autorità Garante ha ritenuto carente la valutazione comparativa del legittimo interesse in quanto non adeguatamente parametrata rispetto all’impatto del trattamento sui diritti e sulle libertà dei lavoratori. Particolarmente critico è risultato il fatto che, ai fini dell’attribuzione dello score, venissero presi in considerazione anche dati relativi ai viaggi qualificati come privati, nonostante l’uso promiscuo del veicolo fosse consentito.

Ulteriori rilievi hanno riguardato la comunicazione dei dati a soggetti appartenenti ad altre società del gruppo, che accedevano alle informazioni in qualità di supervisori o amministratori senza che fosse stato formalizzato un adeguato atto di designazione ai sensi dell’art. 28 GDPR, né impartite specifiche istruzioni documentate sul trattamento.

Ma il profilo di maggiore impatto ha riguardato l’interferenza con la disciplina lavoristica. Sebbene il sistema non prevedesse geolocalizzazione, la combinazione tra raccolta strutturata di dati di guida, conservazione per tredici mesi e attribuzione di uno score individuale è stata ritenuta idonea a integrare un controllo sull’attività del lavoratore. Per l’effetto, in assenza di accordo sindacale o autorizzazione amministrativa ai sensi dell’art. 4 della Legge 300/1970, il trattamento è stato dichiarato illecito. L’Autorità ha inoltre evidenziato il divieto di indagini su fatti non rilevanti ai fini professionali, evidenziando che l’elaborazione di dati riferiti anche alla sfera privata del dipendente eccede i limiti consentiti.

Alla luce delle violazioni accertate, il Garante ha quindi ordinato la cancellazione dei dati raccolti ai fini dello scoring e ha irrogato verso la società una sanzione amministrativa pecuniaria pari a 120.000 euro, disponendo altresì la pubblicazione del provvedimento.