Il Provvedimento n. 755 del 18 dicembre 2025, emanato dal Garante per la protezione dei dati personali, si configura come un atto di particolare rilievo nell’interpretazione e nell’applicazione dei principi del Regolamento (UE) 2016/679 (GDPR) e del Codice in materia di protezione dei dati personali (D.lgs. 196/2003, come modificato dal D.lgs. 101/2018) nei contesti lavorativi caratterizzati dall’impiego di sistemi di telematica satellitare per il monitoraggio dei veicoli aziendali. L’analisi del provvedimento consente di mettere a fuoco i criteri ermeneutici adottati dall’Autorità, le violazioni accertate e le ricadute operative sulla governance dei dati personali nei rapporti di lavoro, offrendo elementi utili per una lettura sistematica del GDPR in situazioni analoghe.

Il provvedimento costituisce un caso esemplare per la ricostruzione dei limiti e delle condizioni di liceità del trattamento dei dati dei lavoratori in ambito aziendale, con particolare riferimento all’utilizzo di strumenti di localizzazione e monitoraggio. L’Autorità affronta profili centrali quali il rispetto dei principi fondamentali del GDPR (Regolamento (UE) 2016/679 ), l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) e la necessità di conformarsi alla disciplina nazionale, in primis all’art. 4 dello Statuto dei lavoratori.

L’obiettivo del presente contributo è approfondire il contenuto del provvedimento, evidenziando i principi giuridici richiamati, il quadro europeo di riferimento, la normativa interna applicabile e gli orientamenti giurisprudenziali, così da offrire una ricostruzione organica e coerente dell’assetto normativo e interpretativo rilevante.

Introduzione

L’utilizzo di strumenti di telematica satellitare per il monitoraggio dei dipendenti costituisce una delle sfide più complesse per la protezione dei dati personali nel contesto aziendale. Tali sistemi consentono di acquisire informazioni dettagliate sugli spostamenti, sui tempi di guida, sul comportamento dei conducenti e, in alcuni casi, anche su attività private. La gestione di questi dati richiede un equilibrio rigoroso tra le esigenze del datore di lavoro e la tutela dei diritti fondamentali dei lavoratori, in particolare il diritto alla privacy e alla dignità personale, tutelati dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e dagli articoli 5 e 6 del GDPR.

Il provvedimento n. 755/2025 nasce da un reclamo presentato dai lavoratori, che contestavano la mancanza di trasparenza e la raccolta di dati in eccesso rispetto alle finalità dichiarate. L’analisi del Garante ha messo in luce come il trattamento non rispettasse alcuni dei principi fondamentali del GDPR, con potenziali violazioni dei diritti dei lavoratori. Il provvedimento fornisce dunque un riferimento essenziale per l’interpretazione e l’applicazione della normativa sulla protezione dei dati nei rapporti di lavoro.

Contesto fattuale e procedurale

Il provvedimento riguarda la società Pioneer Hi‑Bred Italia Sementi s.r.l., operante nel settore della logistica e della distribuzione, che aveva implementato sistemi di telematica satellitare sui propri veicoli aziendali. Tali strumenti permettevano il monitoraggio in tempo reale della posizione dei veicoli, dei tempi di guida e di fermo, delle modalità di guida e, indirettamente, del comportamento dei conducenti.

L’attività ispettiva del Garante è stata avviata a seguito di reclami dei dipendenti, che contestavano:

  1. la mancanza di informazioni chiare e complete sulle finalità del trattamento;

  2. l’eccessiva raccolta di dati personali, anche relativi a spostamenti privati;

  3. la assenza di misure organizzative adeguate per garantire la sicurezza e la responsabilità dei dati trattati.

L’attività ispettiva del Garante ha avuto origine da un reclamo presentato dai lavoratori, che contestavano la mancanza di informazioni chiare sulle finalità del trattamento e l’eccessiva estensione della raccolta dati anche per attività private, configurando un possibile controllo generalizzato.

Il procedimento è stato condotto in base all’art. 154 del Codice privacy e agli artt. 57 e 58 GDPR, che attribuiscono al Garante la funzione di controllo e vigilanza sull’applicazione del GDPR, compresa la possibilità di adottare provvedimenti sanzionatori e correttivi.

Principi fondamentali richiamati dal Garante

Il Garante ha fondato le proprie valutazioni sui principali articoli del GDPR, richiamando l’attenzione su alcuni aspetti critici della governance dei dati personali nei contesti lavorativi.

Liceità, correttezza e trasparenza (art. 5, par. 1, lett. a e b GDPR)

Il principio di liceità, correttezza e trasparenza impone che ogni trattamento di dati personali:

  • sia giustificato da una base giuridica valida (art. 6 GDPR);

  • rispetti i diritti fondamentali dell’interessato;

  • sia accompagnato da informazioni chiare, comprensibili e facilmente accessibili sui dati raccolti e sulle finalità del trattamento.

Nel caso della società monitorata, il Garante ha osservato che l’informativa fornita ai lavoratori era generica e insufficiente, senza indicazioni precise su:

  • finalità del monitoraggio;

  • soggetti titolari e responsabili del trattamento;

  • modalità di esercizio dei diritti degli interessati.

Questa carenza ha compromesso la possibilità per i lavoratori di comprendere pienamente il trattamento e di esercitare i propri diritti, configurando una violazione diretta del principio di trasparenza.

Limitazione delle finalità e minimizzazione dei dati (art. 5, par. 1, lett. b e c GDPR)

Secondo il principio di limitazione delle finalità, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non trattati in modo incompatibile con tali finalità. Il principio di minimizzazione richiede che i dati siano adeguati, pertinenti e limitati a quanto necessario.

Il provvedimento n. 755/2025 ha evidenziato come i sistemi di telematica:

  • raccogliessero informazioni anche relative a spostamenti privati dei lavoratori;

  • non fossero progettati per distinguere tra dati necessari per la gestione della flotta e dati personali superflui;

  • avessero quindi un effetto di controllo generalizzato, vietato dal GDPR e dalle linee guida della European Data Protection Board (EDPB).

Il Garante ha sottolineato l’importanza di misure tecniche e organizzative volte a ridurre l’intrusività dei sistemi, ad esempio tramite l’anonymization dei dati non essenziali o la raccolta solo in determinate fasce orarie.

Legittimo interesse e bilanciamento (art. 6, par. 1, lett. f GDPR)

Il legittimo interesse del datore di lavoro può costituire base giuridica per il trattamento, ma richiede un bilanciamento rigoroso tra interessi aziendali e diritti fondamentali dei lavoratori. Il provvedimento ha evidenziato alcune criticità:

  • assenza di documentazione formale sulla valutazione di impatto sul rischio dei diritti degli interessati;

  • raccolta eccessiva dei dati, non proporzionata alle finalità dichiarate;

  • mancanza di prove concrete dell’effettiva necessità del monitoraggio esteso anche a spostamenti privati.

Il Garante ha quindi ritenuto illegittimo il trattamento basato sul legittimo interesse, sottolineando la necessità di una documentazione rigorosa e di una valutazione preventiva dei rischi.

Responsabilità del titolare e gestione dei flussi di dati (art. 24 e 28 GDPR)

Il provvedimento sottolinea l’obbligo del titolare del trattamento di garantire la responsabilità attiva nella gestione dei dati. In particolare:

  • la società non aveva formalizzato accordi con i responsabili del trattamento per i flussi di dati interni tra società dello stesso gruppo;

  • mancava un sistema organizzativo chiaro per la gestione dei dati personali raccolti dalla telematica;

  • erano assenti procedure documentate di sicurezza e controllo.

Questa situazione ha comportato violazioni della disciplina sui flussi interni, esponendo i dati dei lavoratori a un trattamento non pienamente conforme e senza garanzie adeguate.

Trasparenza e diritti degli interessati

Oltre agli obblighi generali di trasparenza, il Garante ha ricordato che le informative devono consentire ai lavoratori di:

  • accedere ai dati raccolti;

  • richiedere la rettifica o la cancellazione;

  • opporsi al trattamento basato sul legittimo interesse;

  • conoscere eventuali trasferimenti di dati a terzi.

Il provvedimento mette in evidenza come una semplice comunicazione generica o l’assenza di policy interne non soddisfino gli obblighi di trasparenza, e possano configurare una violazione diretta del GDPR.

Analisi delle violazioni riscontrate

Il Garante ha riscontrato specifiche violazioni nei seguenti ambiti:

  1. Trasparenza informativa insufficiente, con omissione di dettagli sulle finalità del monitoraggio e sui diritti dei lavoratori;

  2. Raccolta di dati in eccesso, anche per spostamenti privati, violando il principio di minimizzazione;

  3. Assenza di valutazione documentata del legittimo interesse e dei rischi per i diritti fondamentali;

  4. Flussi di dati tra società del gruppo non regolamentati da contratti conformi agli artt. 24 e 28 GDPR;

  5. Mancanza di misure tecniche e organizzative adeguate per proteggere i dati trattati.

Queste violazioni hanno avuto come conseguenza il rigetto dell’uso del legittimo interesse quale base giuridica per il trattamento e l’adozione di misure correttive.

Misure correttive e sanzioni

Il provvedimento n. 755/2025 ha imposto:

  • cessazione immediata dei trattamenti illeciti;

  • cancellazione dei dati raccolti in eccesso;

  • implementazione di procedure interne di governance dei dati;

  • eventuale sanzione amministrativa pecuniaria, calibrata sulla gravità delle violazioni, sul numero di interessati e sull’adozione di misure migliorative.

Questa combinazione di misure riflette i criteri di efficacia, proporzionalità e deterrenza previsti dall’art. 83 GDPR e dalla giurisprudenza del Garante.

Implicazioni sistematiche e riflessioni pratiche

Il provvedimento offre importanti insegnamenti:

  1. La privacy dei dipendenti è un diritto fondamentale e deve essere protetta anche in presenza di strumenti tecnologici avanzati;

  2. La raccolta dati deve essere strettamente funzionale alle finalità dichiarate, evitando monitoraggi generalizzati;

  3. La gestione dei flussi di dati tra società dello stesso gruppo deve essere formalizzata e documentata;

  4. La trasparenza e la comunicazione chiara agli interessati sono fondamentali per l’effettività dei diritti;

  5. Il ricorso al legittimo interesse richiede una valutazione di impatto documentata e rigorosa.

L’uso di sistemi di telematica non è di per sé illecito, ma deve essere progettato con misure di mitigazione e governance dei dati che garantiscano la conformità al GDPR e la tutela dei diritti dei lavoratori.

La necessità della DPIA nel monitoraggio dei lavoratori

Secondo l’art. 35 GDPR, la DPIA è obbligatoria quando il trattamento può comportare rischi elevati per i diritti e le libertà degli interessati. Nel caso oggetto del provvedimento:

  • la raccolta di dati di localizzazione dei dipendenti è sistematica e continua;

  • i dati raccolti possono rivelare comportamenti personali dei lavoratori;

  • la combinazione dei dati può comportare rischi elevati per la privacy.

Il Garante ha sottolineato che l’assenza di DPIA ha costituito una violazione grave, giustificando la prescrizione di misure correttive.

Linee guida europee e orientamenti del WP29/EDPB

Linee guida del WP29 e EDPB

Il provvedimento italiano si colloca in linea con le posizioni europee. L’Article 29 Working Party (WP29), nella Opinion 2/2017 (“Data processing at work”), evidenzia che il monitoraggio sistematico dei dipendenti può essere altamente intrusivo e richiede una DPIA preventiva.

L’EDPB ribadisce queste indicazioni, specificando che i trattamenti che includono:

  • valutazioni sistematiche del comportamento dei lavoratori,

  • utilizzo di tecnologie innovative,

  • raccolta di dati di categorie particolarmente sensibili o di soggetti vulnerabili,

sono da considerarsi ad alto rischio e devono essere valutati attentamente prima dell’attivazione.

Trasparenza, proporzionalità e minimizzazione

Le linee guida europee pongono l’accento su:

  1. Trasparenza: informativa chiara e dettagliata ai lavoratori;

  2. Proporzionalità: raccolta dati limitata alle finalità aziendali legittime;

  3. Minimizzazione: raccolta solo dei dati strettamente necessari.

Questi principi sono stati richiamati dal Garante come criteri fondamentali di compliance.

Criteri di valutazione e rischi

Il Garante ha evidenziato criteri specifici per valutare la legittimità del monitoraggio:

  1. Carattere sistematico e continuo del trattamento;

  2. Natura dei dati raccolti, in particolare localizzazione e comportamenti personali;

  3. Possibili impatti sui diritti fondamentali dei lavoratori, tra cui privacy, dignità e libertà personale.

Questi criteri si allineano con le linee guida EDPB e con le prassi delle autorità di controllo europee.

Confronto con la giurisprudenza italiana ed europea sul monitoraggio dei lavoratori

L’interpretazione e l’applicazione dei principi di protezione dei dati personali nel rapporto di lavoro trovano conferma non solo nel GDPR e nella normativa nazionale (tra cui l’art. 4 dello Statuto dei lavoratori), ma anche in pronunce giurisprudenziali che delineano i limiti del controllo datoriale quando esso incide sulla sfera privata dei lavoratori. In particolare, la giurisprudenza della Corte di Cassazione italiana e della Corte Europea dei Diritti dell’Uomo (CEDU) ha affrontato il tema del monitoraggio delle comunicazioni elettroniche dei dipendenti, individuando criteri rigorosi di bilanciamento tra esigenze di controllo e diritti fondamentali.

Corte di Cassazione: limiti al controllo delle comunicazioni private dei dipendenti

In un caso significativo, la Corte di Cassazione – Sezione Lavoro – con la sentenza n. 24204 del 29 agosto 2025 si è pronunciata sul tema dell’accesso da parte del datore di lavoro alle email personali dei lavoratori quando queste erano state acquisite (o rinvenute) nei server aziendali. La Suprema Corte ha rigettato l’idea che l’accessibilità tecnica alle email sul sistema informatico aziendale possa valere come titolo giuridico per il controllo senza ulteriori garanzie procedurali.

La decisione ha affermato che le comunicazioni elettroniche personali rientrano nella sfera della vita privata e della corrispondenza, concetti tutelati dall’art. 8 della Convenzione europea dei diritti dell’uomo (CEDU). Per questo motivo, il datore di lavoro non può liberamente accedere o utilizzare tali comunicazioni come prova in giudizio se non sono rispettate condizioni stringenti di trasparenza, proporzionalità e preventiva informativa ai lavoratori.

Massima (Cass. civ., Sez. Lavoro, 29 agosto 2025, n. 24204): le e‑mail personali dei lavoratori, pur rinvenute su server o dispositivi aziendali, non possono essere acquisite e utilizzate dal datore di lavoro senza preventiva informativa, rispetto dei principi di necessità e proporzionalità e tutela della vita privata e della corrispondenza; in mancanza di tali garanzie, tali comunicazioni risultano inutilizzabili come prova in giudizio.

Questa pronuncia costituisce un orientamento giurisprudenziale vincolante in materia di monitoraggio dei dati personali nei rapporti di lavoro, poiché ribadisce che la semplice possibilità tecnica di accesso non giustifica la raccolta delle comunicazioni dei lavoratori senza adeguate garanzie.

Corte Europea dei Diritti dell’Uomo (CEDU): Bărbulescu v. Romania

Sul piano europeo, l’orientamento più significativo in tema di monitoraggio delle comunicazioni dei lavoratori è costituito dal caso Bărbulescu v. Romania (Application no. 61496/08), deciso dalla Grande Camera della Corte EDU il 5 settembre 2017. Anche se il caso non riguarda direttamente l’uso di email professionali nel contesto del GDPR, esso affronta monitoraggio da parte del datore di lavoro di contenuti elettronici del lavoratore e stabilisce principi rilevanti per la tutela del diritto alla privacy e alla corrispondenza (art. 8 CEDU).

Nel caso Bărbulescu il ricorrente sosteneva che il datore di lavoro avesse violato la sua privacy monitorando e accedendo ai messaggi istantanei (Yahoo Messenger) utilizzati per scopi personali, nonostante la proibizione interna sull’utilizzo per fini non lavorativi. La Corte EDU ha ritenuto applicabile l’art. 8 della CEDU anche in questo contesto, poiché la vita privata e la corrispondenza del lavoratore sono interessate dal monitoraggio. La corte ha sottolineato che un accordo interno del datore di lavoro che vieta l’uso personale degli strumenti non elimina automaticamente la possibilità che sussista una ragionevole aspettativa di privacy e che la mera presenza di restrizioni non annulla il diritto alla privacy.

Massima (CEDU – Bărbulescu v. Romania, Grande Camera, 5 set. 2017): l’art. 8 CEDU si applica anche alle comunicazioni elettroniche del lavoratore nel contesto lavorativo; il controllo datoriale su tali comunicazioni può costituire una violazione della privacy se non è stato adeguatamente informato il lavoratore, se non esiste un bilanciamento accurato tra gli interessi e se non sono state valutate alternative meno intrusive.

Sebbene in questo caso la Corte non abbia ritenuto sussistente una violazione per la specifica disciplina interna romena (in base a dettagli del caso), i criteri di bilanciamento tra privacy e controllo dell’azienda determinano un quadro interpretativo vincolante: l’interferenza deve essere necessaria, proporzionata e adeguatamente motivata, con garanzie procedurali.

Principi giurisprudenziali consolidati nel monitoraggio dei lavoratori

L’insieme di queste pronunce giurisprudenziali, italiane ed europee, converge su alcuni criteri interpretativi essenziali applicabili a tutte le forme di monitoraggio dei dati dei lavoratori, incluse tecnologie di localizzazione satellitare o telematica:

  1. Protezione della vita privata e della corrispondenza: anche quando strumenti o comunicazioni transitano su sistemi aziendali, se il contenuto ha natura personale, esso rientra nella protezione dell’art. 8 CEDU.

  2. Informativa preventiva e proporzionalità: il datore di lavoro deve informare in modo chiaro e dettagliato i lavoratori delle modalità e dei limiti del monitoraggio, nonché perseguire finalità legittime senza eccedere nel trattamento.

  3. Bilanciamento degli interessi: ogni interferenza deve essere bilanciata con i diritti fondamentali, evitando misure intrusive se non strettamente necessarie.

  4. Inutilizzabilità dei dati raccolti illegittimamente: le informazioni personali acquisite senza il rispetto di tali criteri non possono essere utilizzate a fini probatori o disciplinari.

Implicazioni nel contesto del GDPR e del rapporto di lavoro

Nel contesto del monitoraggio dei dipendenti tramite strumenti tecnologici come sistemi di telematica satellitare o software di localizzazione, i criteri giurisprudenziali sopra evidenziati si integrano con i principi del GDPR (trasparenza, proporzionalità, minimizzazione, accountability) e con la normativa italiana (art. 4 dello Statuto dei lavoratori). In assenza di adequate informative, criteri di bilanciamento e garanzie procedurali, l’adozione di tali sistemi rischia di violare sia i diritti fondamentali sanciti dall’art. 8 CEDU sia i principi di protezione dei dati personali riconosciuti dal GDPR.

Sintesi degli orientamenti europei e nazionali

L’analisi congiunta delle linee guida europee, del GDPR, dello Statuto dei lavoratori e della giurisprudenza italiana evidenzia:

  1. Trasparenza e proporzionalità come requisiti imprescindibili;

  2. Obbligo di DPIA per trattamenti sistematici ad alto rischio;

  3. Vulnerabilità dei lavoratori come criterio di attenzione particolare;

  4. Applicabilità delle policy interne come strumento di compliance;

  5. Sanzioni in caso di violazione, sia amministrative sia relative all’utilizzabilità dei dati in sede disciplinare.

Conclusioni

Il provvedimento n. 755/2025 del Garante costituisce un punto di riferimento fondamentale per la gestione dei dati dei lavoratori. Esso ribadisce che:

  • il monitoraggio sistematico richiede valutazioni preventive (DPIA);

  • i principi del GDPR devono essere rispettati in tutte le fasi del trattamento;

  • la disciplina italiana e la giurisprudenza stabiliscono limiti precisi al controllo a distanza;

  • le linee guida europee forniscono strumenti interpretativi per bilanciare esigenze aziendali e diritti dei lavoratori.

Questo quadro integrato è essenziale per le aziende che intendano adottare sistemi avanzati di telematica o monitoraggio, assicurando conformità normativa e tutela dei diritti fondamentali dei dipendenti.

Bibliografia

  1. Garante per la protezione dei dati personali, Provvedimento n. 755 del 18 dicembre 2025, Studio Cerbone.

  2. Regolamento (UE) 2016/679 – GDPR, EUR-Lex.

  3. Article 29 Data Protection Working Party, Opinion 2/2017, WP249

  4. European Data Protection Board (EDPB), Guidelines on DPIA, 2018

  5. Legge 20 maggio 1970, n. 300 – Statuto dei lavoratori, art. 4, aggiornato con D.Lgs. 151/2015

Riassunto degli orientamenti chiave

  1. Principi GDPR: liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, sicurezza dei dati.

  2. Monitoraggio dei dipendenti: legittimo solo se: base giuridica valida, proporzionato, limitato alle finalità dichiarate, e conforme allo Statuto dei lavoratori.

  3. Informativa specifica: dettagli su dati, finalità, durata, modalità e diritti dei lavoratori.

  4. DPIA: obbligatoria per trattamenti sistematici ad alto rischio.

  5. Governance dei dati: policy interne documentate e procedure chiare.

  6. Linee guida EDPB/WP29: confermano obblighi di DPIA, proporzionalità, minimizzazione e trasparenza.

  7. Giurisprudenza italiana: dati raccolti in violazione delle norme sono inutilizzabili.

Parole chiavi

Protezione dei dati personali nel lavoro – GDPR e controlli aziendali – Privacy dei dipendenti e Statuto dei lavoratori – Monitoraggio dei lavoratori – Controllo delle comunicazioni elettroniche sul lavoro – Sorveglianza e proporzionalità nel rapporto di lavoro – Email professionali e privacy dei lavoratori – Corte di Cassazione e tutela della riservatezza – Giurisprudenza europea: Bărbulescu v. Romania – Diritti fondamentali e privacy in azienda – Informativa preventiva e limiti del controllo datoriale – Vita privata e corrispondenza dei dipendenti – Trattamento dati personali nei rapporti di lavoro – Bilanciamento interessi aziendali e diritti dei lavoratori – Massime giurisprudenziali su controllo e monitoraggio – Responsabilità del datore di lavoro e utilizzo dati illegittimi – Protezione dei lavoratori nella tecnologia digitale – Compliance GDPR in ambito lavorativo – Limiti giuridici alla sorveglianza dei dipendenti – Sistemi di telematica, localizzazione e privacy