Auto aziendali e controllo dello stile di guida: stop del Garante

Con il provvedimento n. 755 del 18 dicembre 2025, il Garante per la protezione dei dati personali è intervenuto su un tema di grande attualità per datori di lavoro e consulenti: l’utilizzo di sistemi di telematica satellitare installati sui veicoli aziendali assegnati ai dipendenti. Il caso esaminato riguarda l’adozione di dispositivi in grado di raccogliere dati dettagliati sullo stile di guida, finalizzati all’attribuzione di punteggi di rischio e alla successiva valutazione dei comportamenti dei lavoratori.

L’Autorità ha svolto un’istruttoria approfondita, avviata a seguito di un reclamo, per verificare la conformità del trattamento dei dati personali ai principi in materia di protezione dei dati e alla disciplina lavoristica. L’esito del procedimento ha portato alla dichiarazione di illiceità del trattamento, all’ordine di cancellazione dei dati e all’applicazione di una sanzione amministrativa pecuniaria. Il provvedimento offre indicazioni operative rilevanti per tutte le imprese che utilizzano o intendono utilizzare strumenti tecnologici di monitoraggio connessi all’attività lavorativa.

1) Il caso sottoposto al Garante Privacy

L’istruttoria ha riguardato l’installazione, su veicoli aziendali concessi anche ad uso promiscuo, di dispositivi telematici capaci di rilevare informazioni sui viaggi effettuati e sui comportamenti di guida, come frenate, accelerazioni, velocità e sterzate. Tali dati venivano elaborati dal sistema per assegnare a ciascun conducente uno “score” e un livello di rischio, utilizzati nell’ambito di un programma aziendale di sicurezza.

Dall’attività ispettiva è emerso che i dati raccolti includevano non solo quelli relativi ai viaggi di lavoro, ma anche quelli riferiti agli spostamenti privati, pur in assenza di geolocalizzazione puntuale.

Inoltre le informazioni erano conservate per un periodo significativo e rese accessibili, con diversi livelli di dettaglio, a soggetti interni ed esterni al datore di lavoro, appartenenti anche ad altre società del gruppo.

L’Autorità ha rilevato  anche criticità nella documentazione informativa fornita ai dipendenti, ritenuta non idonea a descrivere in modo chiaro finalità, presupposti di liceità, ruoli dei soggetti coinvolti e flussi di dati. 

È stato inoltre accertato che non erano state attivate le procedure di garanzia previste per i controlli a distanza dei lavoratori, nonostante il sistema lo consentisse ; il trattamento risultava quindi esteso anche a dati non strettamente pertinenti all’attitudine professionale.

2) La decisione e le sanzioni all'impresa

Al termine del procedimento, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato mediante il programma di telematica satellitare. 

La decisione si fonda, come detto, su una pluralità di violazioni, tra cui il mancato rispetto dei principi di trasparenza, correttezza, limitazione delle finalità e minimizzazione dei dati, nonché sull’assenza di un valido presupposto di liceità per il trattamento basato sul legittimo interesse.

Particolarmente rilevante è la valutazione dell’Autorità secondo cui la raccolta e l’analisi dei dati relativi anche ai viaggi privati, unitamente all’assegnazione di punteggi individuali, integrano una forma di controllo sull’attività del lavoratore. Tale controllo, se effettuato senza le garanzie previste dallo Statuto dei lavoratori e richiamate dal Codice in materia di protezione dei dati personali, rende il trattamento non conforme alla normativa.

Il Garante ha inoltre evidenziato l’irregolare comunicazione dei dati a soggetti terzi, in assenza di una corretta designazione dei responsabili del trattamento e di istruzioni documentate, nonché l’inadeguatezza delle valutazioni preventive svolte dall’azienda.

In conseguenza delle violazioni accertate, l’Autorità ha ordinato la cancellazione dei dati utilizzati per l’attribuzione degli score e ha irrogato una sanzione amministrativa di 120.000 euro, disponendo anche la pubblicazione del provvedimento. La decisione conferma che l’uso di strumenti tecnologici sui veicoli aziendali richiede un’attenta valutazione preventiva, il rispetto delle garanzie previste per il controllo dei lavoratori e una rigorosa gestione dei dati personali, in coerenza con il Regolamento (UE) 2016/679.