VEDI ANCHE NEWSLETTER del 29 gennaio 2026

 

[doc. web n. 10213711]

Provvedimento del 18 dicembre 2025

Registro dei provvedimenti
n. 755 del 18 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento nei confronti di Pioneer Hi-Bred Italia Sementi s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività ispettiva svolta a seguito della presentazione di un reclamo all’Autorità.

In data 15/09/2023, è pervenuto a questa Autorità un reclamo, formulato ai sensi dell’art. 77 del Regolamento, con cui veniva rappresentato che, a partire dal mese di giugno 2023, la società Pioneer Hi-Bred Italia Sementi s.r.l. (di seguito “la Società”) aveva deciso di installare sui veicoli aziendali assegnati ai propri dipendenti un dispositivo telematico satellitare capace di rilevare i comportamenti di guida dei conducenti, e di utilizzare i dati così raccolti assegnando un punteggio di valutazione.

Considerata la delicatezza della questione prospettata, l’Autorità disponeva un accertamento ispettivo in loco ai sensi degli artt. 157 e 158 del Codice al fine di acquisire tutti gli elementi utili a verificare la conformità del trattamento svolto rispetto ai principi e alle disposizioni in materia di protezione dei dati personali.

Gli accertamenti si svolgevano nelle giornate del 28 e del 29 febbraio 2024 presso la sede della Società, da parte del personale dell’Autorità.

Nel corso dell’accertamento ispettivo, emergeva, preliminarmente, che la Società fa parte di un gruppo imprenditoriale multinazionale, la cui proprietà è in capo a XX, come risultante dalla visura ordinaria acquisita nell’ambito dello stesso accertamento ispettivo.

Il progetto relativo all’installazione di dispositivi telematici sui veicoli in uso ai dipendenti, ai fini della rilevazione dei comportamenti di guida, è stato disposto da XX, con sede in Svizzera, coinvolgendo (alla data dell’accertamento) solo le società italiane facenti parte del medesimo gruppo, ovvero XX, XX e XX, poi fusa per incorporazione in XX, oltre a Pioneer Hi-Bred Italia Sementi s.r.l.

In particolare, è risultato che la società svizzera ha stipulato un contratto di locazione europea con XX (società avente sede legale in XX), con oggetto la locazione di veicoli e il loro equipaggiamento con dispositivi telematici satellitari. Il contratto, sottoscritto il 12/05/2021, reca in allegato l’elenco delle società XX che forniscono il servizio in ogni Paese in cui è presente XX (all. 3 al verbale del 28/02/2024).

In virtù di tale contratto, quindi, le società italiane Arval Service Lease Italia S.p.A. (di seguito “Arval”) e XX, in proprio e per conto delle altre società italiane appartenenti al gruppo XX, hanno siglato un accordo commerciale che, nello specifico, disciplina l’attivazione del servizio di telematica satellitare denominato Arval Connect Essential sui veicoli locati da Arval (all. 4 al verbale del 28/02/2024).

Il servizio Arval Connect è un servizio di telematica satellitare che mette a disposizione della società locataria, mediante una piattaforma web dedicata, una serie di informazioni che vengono rilevate dai dispositivi telematici satellitari installati sui veicoli noleggiati. Le informazioni rilevate dai dispositivi satellitari sono diverse in base al servizio erogato.

Nel caso di specie, le società italiane del gruppo XX fruiscono del servizio Essential che consente di rilevare informazioni relative a tutti i tipi di viaggi effettuati, sia “professionali” che “privati”, raccogliendo data e ora di partenza e di arrivo, km percorsi, consumo di carburante, e le informazioni relative ai comportamenti di guida come la frenata, l’accelerazione, la velocità, le sterzate e le curve, assegnando a ciascuno di questi comportamenti uno score. La media dei punteggi, su base mensile, permette di associare allo stile di guida un livello di rischio (basso, medio ed elevato), in base al quale possono prevedersi modalità di intervento differenti per migliorare le azioni di guida (verbale del 29/02/2024).

L’installazione dei dispositivi telematici satellitari sui veicoli aziendali, da parte del gruppo italiano XX, è iniziata a luglio 2023 ed è stata disposta su otto veicoli utilizzati individualmente dai dipendenti delle società italiane del gruppo come fringe benefit e su tre pool car, cioè veicoli non assegnati individualmente e utilizzati solo per viaggi professionali (verbale del 28/02/2024, pag. 3, e del 29/02/2024, pag. 2).

Con riferimento al trattamento effettuato da Pioneer Hi-Bred Italia Sementi s.r.l., è stato accertato che:

- la Società effettua il trattamento dei dati relativi allo stile di guida dei dipendenti in qualità di titolare del trattamento, ai sensi dell’art. 4, n. 7, del Regolamento;

- “l’informativa di cui all’art. 13 del Regolamento è stata predisposta da XX ed è utilizzata da tutte le società affiliate, tra cui vi è anche la società Pioneer Hi-Bred Italia Sementi s.r.l., ciascuna delle quali riveste la qualifica di titolare del trattamento dei dati riferiti ai propri dipendenti” (verbale del 29/02/2024, pag. 3);

- ai dipendenti, l’informativa è stata resa disponibile mediante un sistema interno di training, unitamente a un documento recante FAQ in cui sono illustrate alcune caratteristiche del sistema di telematica (all. 2 al verbale del 28/02/2024 e all. 4 al verbale del 29/02/2024);

- rispetto al trattamento in esame, è stato predisposto il registro dei trattamenti di cui all’art. 30 del Regolamento, che viene aggiornato i primi tre mesi di ogni anno, ed è stata svolta la valutazione d’impatto, ai sensi dell’art. 35 del Regolamento (all. 1 al verbale del 28/02/2024 e all. 2 al verbale del 29/02/2024);

- non è stata attivata la procedura di garanzia di cui all’art. 4 della legge n. 300/1970, non ritenendo che tale servizio potesse realizzare una forma di controllo sull’attività lavorativa (verbale del 29/02/202, pag. 4);

- le informazioni raccolte tramite i dispositivi telematici sono conservate per 13 mesi, per cui, essendo il trattamento iniziato a luglio, i dati risultavano, alla data dell’ispezione, nella piena disponibilità della Società;

- non sono trattati dati di geolocalizzazione, in quanto il contratto stipulato con Arval non prevede l’erogazione di tale servizio.

Con riferimento ai profili di accesso alla piattaforma web messa a disposizione da Arval e alla tipologia di dati visualizzati, è risultato che:

- ciascun dipendente, a cui è assegnata un’auto aziendale fornita del dispositivo telematico può accedere, mediante credenziali di autenticazione, alla piattaforma Arval Connect e prendere visione dei dati raccolti in occasione di ciascun viaggio effettuato, sia privato che professionale (verbale del 28/02/2024, pag. 3);

- sono previsti due ulteriori profili di accesso alla piattaforma, supervisore e amministratore, i quali possono essere assegnati a dipendenti di altre società del gruppo (verbale del 29/02/2024, pag. 3);

- l’utente con profilo di supervisore riceve, con cadenza mensile e tramite e-mail, un file excel (accessibile mediante password) contenente una macro che mostra, per ogni conducente che fa parte della sua flotta, la numerosità degli eventi registrati sia nei viaggi privati che in quelli professionali e il relativo score assegnato (all. 5 al verbale del 29/02/2024);

- l’utente con profilo di amministratore è assegnato a quattro persone, di cui due sono dipendenti di XX e due di XX. L’amministratore accede tramite credenziali di autenticazione alla piattaforma Arval e prende visione delle informazioni relative a tutto il parco auto europeo che, al momento dell’ispezione, riguardava solo quelle in uso alle società italiane, e alle informazioni di dettaglio sui viaggi professionali effettuati dai loro dipendenti con l’indicazione dell’ora di inizio e di fine viaggio e il numero di eventi rilevati sia nei viaggi professionali che in quelli cd. privati (all. 6 al verbale del 29/02/2024);

- il conducente/interessato, entro la fine del mese solare di riferimento, può selezionare tra i viaggi svolti quelli cd. privati in modo da non rendere disponibili al supervisor e all’amministratore le relative informazioni di dettaglio. In alternativa, il conducente, prima di effettuare un viaggio privato, può attivare il cd. pulsante “privacy” presente sul veicolo (verbale del 28/02/2024, pag. 3);

- “la qualificazione del viaggio come privato incide esclusivamente ai fini del conteggio dei km percorsi e il sistema, nel calcolo degli score, tiene conto anche dei comportamenti di guida (frenata brusca, accelerata brusca, ecc.) relativi ai viaggi privati” (verbale del 29/02/2024, pag. 5);

- laddove i dati raccolti evidenziano uno score rapportato a un livello di rischio intermedio o elevato, il supervisore deve avviare dei colloqui con il conducente/interessato per individuare azioni correttive.

1.1. La documentazione trasmessa dalla Società a scioglimento delle riserve espresse in corso di ispezione.

Con nota del 21/03/2024, la Società faceva pervenire ulteriori informazioni e documenti a integrazione di quanto dichiarato nel corso dell’accertamento ispettivo.

In particolare, veniva prodotto l’elenco dei veicoli forniti dei dispositivi telematici satellitari (individuati con numero di targa, marca e modello) associati al nominativo del conducente e a quello del supervisore e a quello delle relative società datrici di lavoro. Infatti, degli otto veicoli forniti del dispositivo telematico, cinque sono assegnati ai dipendenti della Società e tre ai dipendenti di un’altra società del gruppo (XX).

Dall’esame della documentazione, è risultato che il supervisore è dipendente di una società diversa da quella del conducente e in particolare, in 3 casi, il supervisore è dipendente di società del gruppo XX con sede all’estero (XX, XX, e XX).

Rispetto al ruolo ricoperto dalle diverse società in relazione al trattamento dei dati personali dei conducenti /dipendenti della Società, è stato inoltre chiarito che:

- titolare del trattamento è la Società datore di lavoro del conducente, mentre i supervisori “hanno un ruolo di mentore in questo processo in quanto ricevono i risultati del comportamento di guida e supportano/consigliano il dipendente e il datore di lavoro proponendo azioni di miglioramento che sono state impostate dal Programma Sicurezza di XX. I supervisori non prendono decisioni sul trattamento dei dati personali e non possono adottare alcuna sanzione disciplinare in relazione al comportamento di guida”;

- “ARVAL, il fornitore che fornisce il dispositivo telematico è un Responsabile del trattamento dei dati (come stabilito nell’Accordo sul trattamento dei dati firmato in conformità all’Art. 28 del Regolamento Europeo della Privacy)”;

- “Responsabili del trattamento sono le società di amministratori di sistema di XX che hanno accesso ai dati presenti nel portale Arval (XX e XX [alle cui dipendenze prestano servizio le figure con profilo di amministratore]).  Abbiamo in progetto un accordo di servizio”;

- non sono state fornite istruzioni specifiche sul trattamento dei dati, ma indicazioni sulle procedure di conservazione che vengono inviate in allegato al report mensile;

- “L'accesso dell'amministratore di sistema non consente di vedere i dettagli dei viaggi privati, ma permette di vedere il numero totale di Eventi (viaggi di lavoro e viaggi privati insieme) e anche il numero di Eventi relativi solo ai viaggi di lavoro. Esiste quindi la possibilità che un Amministratore di Sistema possa calcolare il numero di Eventi relativi ai viaggi privati. Abbiamo deciso di rimuovere l'accesso degli amministratori di sistema ai dati sul comportamento di guida nel portale. Gli amministratori di sistema avranno accesso al documento inviato mensilmente ai supervisori”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori ai sensi dell’art. 58, par. 1, lett. d), del Regolamento e dell’art. 166, comma 5, del Codice.

Alla luce delle informazioni raccolte, l’Ufficio provvedeva a notificare alla parte, ai sensi dell’art. 166, comma 5, del Codice, l’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori (nota del 03/07/2024), per la violazione degli:

- artt. 5, par. 1, lett. a), b) e c) e 13 del Regolamento, in relazione all’inidoneità dell’informativa resa;

- art. 6, par. 1, lett. f), in relazione alla mancanza di una valutazione comparativa del legittimo interesse rispetto ai diritti e alle libertà fondamentali dell’interessato;

- artt. 28 e 6 del Regolamento e 2-quaterdecies del Codice in relazione alla mancata designazione dei responsabili del trattamento e delle connesse istruzioni sul trattamento dei dati;  

- art. 5, par. 1, lett. a) e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice.

La Società faceva pervenire le memorie difensive ai sensi dell’art. 18 della legge n. 689/1981, fornendo le proprie osservazioni rispetto a quanto rappresentato nell’atto di notifica.

In particolare, la Società comunicava preliminarmente di aver interrotto “il trattamento dei Dati Telematici (…) relativi ai conducenti, quando gli stessi effettuano viaggi privati. In altri termini, la Società tratterà esclusivamente i Dati Telematici raccolti durante i viaggi di lavoro dei propri dipendenti”. Pertanto, “la Società ha dato istruzioni al proprio fornitore di servizi, Arval Service Lease Italia S.p.A. (‘Arval’), di sospendere tutti i trattamenti di dati fino a nuovo avviso, allo scopo di implementare adeguate misure tecniche, organizzative e contrattuali volte a garantire che i dati relativi ai viaggi privati (‘Dati relativi ai viaggi privati’) non siano raccolti e trattati da Arval per conto della Società”.

Con riguardo alla violazione dei principi di trasparenza e correttezza nel trattamento dei dati cd. telematici, e dei principi di limitazione delle finalità e minimizzazione dei dati in relazione all’informativa predisposta, la Società ha rappresentato che:

- “prima della data del Provvedimento [rectius atto di avvio del procedimento sanzionatorio], la Società ha adottato un approccio ‘stratificato’ all’informativa sulla privacy fornita ai conducenti (‘Informativa sulla Privacy per i Sistemi Telematici’) relativamente al Programma di Telematica. Tale approccio, sviluppato dalla Società nel corso del tempo, ha tenuto conto delle linee guida sulla trasparenza dello European Data Protection Board (…)”;

- “In particolare: l’Informativa sulla Privacy per i Sistemi Telematici è stata integrata dalle ‘FAQ sulla Telematica’ della Società (già fornite dalla Società al Garante nel corso dell’Ispezione del 29 febbraio 2024) (‘FAQ sulla Telematica’); così facendo, la Società intendeva contestualizzare le informazioni relative al Programma di Telematica in più documenti ed azioni, in un modo che la Società riteneva potesse fornire ai conducenti una chiara comprensione di come e perché venivano trattati i loro dati personali”;

- “oltre alle FAQ sulla Telematica fornite ai dipendenti, la Società ha erogato agli stessi anche formazione obbligatoria, tramite apposita piattaforma online denominata ‘Grow U’”;

- “Alla luce delle osservazioni formulate da codesta Illustrissima Autorità nel Provvedimento in punto di trasparenza, la Società ha provveduto a raccogliere (nella propria Informativa sulla Privacy per i Sistemi Telematici aggiornata) le informazioni rilevanti contenute nelle FAQ sulla Telematica e nella Formazione sulla Telematica, allo scopo di creare un’unica Informativa sulla Privacy per i Sistemi Telematici”.

Con riguardo alla violazione dell’art. 6, par. 1, lett. f), del Regolamento (“Assenza di una valutazione comparativa del legittimo interesse rispetto ai diritti e alle libertà fondamentali dell’interessato”), la Società faceva presente che:

- il documento recante la LIA (“Legitimate Interest assesment”), “è stato in realtà fornito al Garante durante l’ispezione del 28 febbraio 2024 (…), nell’e-mail avente come oggetto ‘Pioneer Hi-Bred Italia Sementi S.r.l. – assessments’, come allegato denominato ‘PIA_EHS_Europe_Cartelematics_v8.xlsx’ dell’Annex 4 del documento ‘6. LIA’. In particolare, la parte 3 di quest’ultimo illustrava le considerazioni e le valutazioni svolte dalla Società in merito al test di bilanciamento relativo al proprio legittimo interesse”;

- “In ogni caso, la Società ha attentamente considerato le osservazioni complessivamente formulate dal Garante in merito al Programma di Telematica e ha colto tale occasione per aggiornare conseguentemente la propria LIA (…). La LIA aggiornata include ora ulteriori dettagli in merito: (i) alle Finalità Telematiche; (ii) ai flussi di Dati Telematici tra la Società e i propri responsabili del trattamento, tra cui Arval; e (iii) alla limitazione del trattamento di qualsiasi Dato relativo ai viaggi privati da parte, o per conto, della Società”.

In merito alla violazione dell’art. 28 del Regolamento, la Società rappresentava che “come segnalato nel corso dell’Ispezione, ha ora finalizzato la procedura relativa alla stipula di un accordo sul trattamento dei dati ai sensi dell’articolo 28 del GDPR (‘DPA’) con le altre società che possono accedere e trattare i Dati Telematici in relazione al Programma di Telematica (cfr. Allegato 3). Il DPA indica in modo preciso l’identità delle persone giuridiche coinvolte, le finalità per le quali tali soggetti operano come responsabili del trattamento per conto della Società, nonché gli altri elementi richiesti dagli articoli 28, 29 e 45 del GDPR”.

In ultimo, con riferimento alla violazione degli artt. 113 e 114 del Codice (in relazione agli artt. 4 e 8 dello Statuto dei lavoratori), la Società dichiarava che:

- “Dal momento che la Società non ha raccolto né trattato – e continuerà a non farlo – dati di geolocalizzazione dei dipendenti nell’ambito del proprio Programma di Telematica (e che il Programma di Telematica non sembrava configurare un’attività di monitoraggio dei dipendenti), la Società ha ritenuto, insieme alle rappresentanze sindacali, che tale accordo non fosse necessario. Motivo per cui la Società non ha stipulato alcun accordo con le rappresentanze sindacali in Italia in merito al Programma di Telematica. Ad oggi, sulla base delle utili osservazioni fornite da codesta Illustrissima Autorità, la Società sta consultando le proprie rappresentanze sindacali in Italia al fine di raggiungere un accordo ai sensi dell’articolo 4 dello Statuto dei Lavoratori”;

- “Il 29 luglio 2024, la Società ha istruito Arval di sospendere tutti i trattamenti dei Dati Telematici nell’ambito del Programma di Telematica, fino a quando non saranno implementate le misure e le soluzioni concordate con la Società. Ciò garantirà un’applicazione più rigorosa del principio di minimizzazione dei dati, evitando qualsiasi forma di raccolta di Dati relativi ai viaggi privati da parte o per conto della Società. Il 12 agosto 2024 Arval ha confermato di aver ottemperato alle istruzioni della Società e, pertanto, di aver interrotto la raccolta e il trattamento dei Dati Telematici”;

- “Tenuto conto di quanto precede, la Società – in ragione della sospensione della raccolta e del trattamento dei Dati Telematici – agisce nel pieno rispetto dell’articolo 8 dello Statuto dei Lavoratori, in quanto non tratta e non tratterà più alcun Dato relativo ai viaggi privati (o qualsiasi altro dato personale che non risulti necessario ai fini della valutazione dei comportamenti di guida dei dipendenti)”.

Con successiva comunicazione del 23/05/2025, la Società informava che:

- “In una fase avanzata del confronto con Arval, la Società ha appreso che il chilometraggio totale di ciascun veicolo includerà necessariamente una percentuale aggregata di chilometri percorsi sia per viaggi di lavoro e per viaggi privati”;

- “Tali informazioni saranno visibili esclusivamente agli amministratori della Società all’interno della dashboard di Arval, che ha confermato che le informazioni relative ai viaggi privati non possono essere eliminate, nascoste o mascherate per la Società, senza che ciò incida anche su tutti gli altri clienti di Arval”. “In ogni caso, i dati relativi ai viaggi privati sono disponibili, nel portale Arval, esclusivamente come percentuale totale, in forma completamente aggregata (nel senso che non vengono calcolati per singolo viaggio)”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese all’Autorità nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), risulta accertato sulla base della documentazione acquisita, delle risultanza degli accertamenti ispettivi svolti nonché delle dichiarazioni rese dalla parte stessa, che Pioneer Hi-Bred Italia Sementi s.r.l. è titolare del trattamento dei dati personali ai sensi dell’art. 4, n. 7, del Regolamento.

La Società, in qualità di titolare del trattamento, ha effettuato un trattamento di dati personali riferiti ai propri dipendenti in violazione della disciplina in materia di protezione dei dati personali, come di seguito specificato.

3.1. Violazione degli artt. 5, par. 1, lett. a), b) e c), e 13 del Regolamento.

Occorre, in primo luogo, evidenziare che, a fronte del trattamento dei dati personali posto in essere dalla Società mediante il programma di telematica satellitare, la documentazione acquisita nel corso dell’accertamento ispettivo ha presentato evidenti criticità relative, soprattutto, all’indicazione del titolare del trattamento, dei responsabili e dei destinatari dei dati raccolti tramite i dispositivi.

Ciò, in quanto la documentazione era stata predisposta a livello di gruppo e rivolta a tutte le società affiliate, alcune delle quali con sede fuori del territorio dell’Unione. Ne risulta che l’informativa, letta anche in combinato con le FAQ, non era idonea a rappresentare, in maniera trasparente e corretta, le caratteristiche essenziali del trattamento, quali le finalità e i presupposti di liceità, e a fornire agli interessati indicazioni sufficientemente chiare sui soggetti che rivestono la qualifica di titolare e di responsabile del trattamento.

La Società, nei propri scritti difensivi, ha sostenuto di aver optato per un approccio “stratificato” nelle modalità con cui fornire agli interessati le informazioni sul trattamento posto in essere, agendo in linea con le indicazioni fornite dal Gruppo Art. 29 nelle Linee Guida sulla trasparenza adottate il 29/11/2017.

A tal proposito, occorre precisare che nelle citate Linee Guida, il Gruppo pur raccomandando l’uso di dichiarazioni/informative sulla privacy stratificate (soprattutto nell’ambiente digitale) precisa anche che “Tutte le informazioni rivolte agli interessati dovrebbero comunque essere disponibili in un unico luogo o in un documento completo (in formato digitale o cartaceo), al quale essi possano accedere facilmente qualora intendano consultare nella loro interezza le informazioni di cui sono destinatari” (punto 17).

In tal modo, viene introdotto il criterio della “facile accessibilità”, che implica come l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili (punto 11, Linee guida cit.). Nel caso in esame, ad esempio, nell’informativa si sarebbe potuto inserire un richiamo o un link alle FAQ in modo da informare gli interessati dell’esistenza degli altri documenti predisposti.

In ogni caso, la lettura congiunta di entrambi i testi (Informativa e FAQ) non consente di comprendere chi riveste il ruolo di titolare o di contitolari del trattamento, circostanza particolarmente rilevante, in considerazione dei complessi flussi di dati tra le diverse società facenti parte del medesimo gruppo imprenditoriale.

Infatti, l’informativa risulta predisposta da XX, senza specificare se si tratta di XX capogruppo in Italia o di XX, capofila in Europa del progetto telematico o di altro ancora.

Solo nel corso dell’accertamento ispettivo, è stato infatti chiarito che in generale il titolare del trattamento è da individuarsi nella società che tratta i dati personali relativi ai propri dipendenti. Tale informazione, che no resa disponibile agli interessati, è stata aggiornata solo a seguito delle modifiche introdotte a seguito della notifica dell’atto di avvio del procedimento sanzionatorio. 
Un altro elemento non adeguatamente espresso nei documenti informativi è quello relativo ai destinatari dei dati raccolti dai dispositivi. Come è emerso dall’istruttoria, infatti, il supervisore e l’amministratore, ciascuno dei quali può essere anche dipendente di un’altra società del gruppo, possono accedere (direttamente tramite piattaforma oppure tramite la ricezione di un file) a diverse tipologie di dati.

Nell’informativa, si dava atto dell’”accesso” ai dati dei conducenti da parte di “coloro che hanno la necessità di conoscerli”, “che può includere il manager, l'EH&S, le Risorse Umane, l'Ufficio Legale, l'Internal Audit e le autorità preposte all'applicazione della legge”.

Trattasi di un linguaggio molto vago e generico che, di fatto, non consente di conoscere con esattezza i soggetti autorizzati ad accedere ai dati e le modalità con cui le informazioni sui conducenti sono rese disponibili e, soprattutto, quali siano le “necessità” (ovvero i presupposti di legittimità) che rendono legittima la conoscenza dei dati.

Nelle FAQ, invece, si dava atto che “I dati sul comportamento di guida dei conducenti saranno disponibili per i supervisori dei conducenti (solo per i membri del loro team) e per l'amministratore del programma tramite un file Excel condiviso da Arval”.

Oltre all’inesattezza di quest’ultima informazione, deve osservarsi che la lettura congiunta dei documenti non fornisce un quadro chiaro e trasparente riguardo ai soggetti effettivamente autorizzati ad accedere ai dati sullo stile di guida dei conducenti e con quale grado di dettaglio (se cioè informazioni relative ai viaggi professionali o anche ai viaggi cd. privati), alle modalità con cui avviene il trattamento (se cioè tramite accesso diretto alla piattaforma o tramite comunicazione) e ai relativi presupposti di liceità.    

In ultimo, si fa presente che nell’informativa che è stata fornita agli interessati all’inizio del trattamento mancano chiare indicazioni circa le finalità del trattamento, come invece richiesto dall’art. 13, lett. c), del Regolamento, in combinato disposto con l’art. 5, par. 1, lett. b).

La finalità indicata di “mantenere pratiche sicure e difensive e (…) zero collisioni automobilistiche in tutto il mondo” non rileva, sotto il profilo del trattamento dei dati personali, in quanto costituisce la finalità generale del progetto del gruppo XX che non è stato declinato sulla base delle caratteristiche del trattamento.

Data quindi l’assenza di una chiara e determinata finalità del trattamento, non risultano individuati quindi neanche i dati pertinenti e necessari al perseguimento della finalità (art. 5, par. 1, lett. c) del Regolamento, principio di minimizzazione dei dati).

Tali aspetti sono stati affrontati nel nuovo modello di informativa, in cui, allo stato attuale, risultano indicate in maniera analitica i dati (relativi ai viaggi di lavoro) necessari e pertinenti rispetto a ciascuna finalità perseguita.

Resta, in ogni caso, accertata la violazione dei principi di trasparenza e correttezza, di limitazione delle finalità e di minimizzazione dei dati in relazione all’informativa inizialmente predisposta dalla Società (art. 5, par. 1, lett. a), b) e c), e 13 del Regolamento).

3.2. Violazione dell’art. 6, par. 1, lett. f), del Regolamento.

Sulla base dell’informativa inizialmente predisposta, è risultato che il presupposto di liceità alla base del trattamento dei dati effettuato mediante il programma di telematica satellitare è stato individuato nel legittimo interesse di XX a “migliorare le prestazioni di guida sicura, a salvare vite umane e a gestire in modo efficiente ed efficace la propria flotta globale di veicoli” (Informativa punto 2.1).

Al riguardo si osserva che, ai sensi dall’art. 6, par. 1, lett. f) del Regolamento, il legittimo interesse può costituire un idoneo presupposto di liceità dei trattamenti solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato”, “tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alle sue relazioni con il titolare del trattamento” (cons. 47).

Tale condizione implica, quindi, che venga effettuato un bilanciamento dei diritti e degli interessi contrapposti in gioco, attraverso l’identificazione e la descrizione non solo dell’interesse del titolare, ma anche dei diritti e delle libertà fondamentali degli interessati.

Posto che l’art. 35 del Regolamento dispone che la valutazione d’impatto sia effettuata dal titolare del trattamento, occorre considerare che, nel caso di specie, nel corso dell’accertamento ispettivo è stato prodotto un file excel comprensivo di una “DPIA questionnaire provided by Germany DPO in February 2023” e di un’altra “DPIA template from CNIL/France used by XX as EU DPIA template” (all. 1 al verbale del 28/02/2024).

In entrambi i casi, il documento non può essere utilmente valutato ai fini del corretto adempimento dell’obbligo di cui all’art. 35 del Regolamento.

Analogamente per quanto riguarda la LIA, compresa nel medesimo documento, che risulta essere stata predisposta sul modello ICO, vengono individuati solo l’interesse del gruppo XX consistente, come detto in “an improved driving safety behaviour and optimization cars cost”, senza però considerare gli ulteriori elementi utili al bilanciamento, quali (oltre alle libertà, agli interessi e ai diritti dell’interessato), l’impatto del trattamento sugli interessati tenuto conto della tipologia dei dati trattati, del contesto e delle conseguenze sugli interessati, le ragionevoli aspettative di riservatezza degli interessati.

Sebbene questi aspetti siano stati affrontati all’interno della LIA predisposta a seguito dell’avvio del procedimento sanzionatorio (allegato alle memorie difensive del 02/09/2024), deve sottolinearsi che, nel documento, non sono presi in considerazione i trattamenti effettuati dalla Società in riferimento ai dati afferenti ai viaggi cd. privati i quali, come precisato nel corso dell’istruttoria (v. nota del 23/05/2025), continuano ad essere raccolti dai dispositivi telematici e utilizzati ai fini della valutazione del comportamento di guida del conducente.

Posto che rispetto a questa tipologia di informazioni, il legittimo interesse del titolare non può essere invocato quale presupposto di liceità, resta in ogni caso accertata la violazione dell’art. 6, par. 1, lett. f), del Regolamento in relazione al trattamento dei dati dei dipendenti posto in essere dalla Società.

3.3. Violazione degli artt. 28 e 6 del Regolamento e 2-quaterdecies del Codice.

Con riferimento ai soggetti autorizzati a prendere visione delle informazioni sullo stile di guida dei conducenti, si fa presente che, nel corso dell’accertamento ispettivo, è emerso come gli amministratori accedono direttamente ai dati sui viaggi dei dipendenti della Società attraverso il portale Arval, diversamente da quanto era indicato nell’informativa; invece i supervisori ricevono mensilmente un report con le informazioni sul numero complessivo degli eventi registrati nel mese di riferimento e sul punteggio conseguito, riferite a ciascun componente assegnato alla propria flotta.

Inoltre, dagli accessi effettuati sul sistema, è risultato che i supervisori accedono ad ulteriori informazioni relative ai conducenti assegnati alla propria flotta, consistenti, in particolare, nel numero dei viaggi effettuati e dei km percorsi nel mese di riferimento, nella media dei punteggi conseguiti sia in termini di ecosostenibilità che di sicurezza fino a tre mesi precedenti (v. allegato 5 al verbale del 29/02/2024).

Con la successiva comunicazione del 21/03/2024 (resa a scioglimento delle riserve formulate nel corso dell’ispezione), la Società dichiarava di aver uniformato le modalità di accesso ai dati sullo stile di guida dei propri dipendenti, prevedendo che anche l’amministratore ricevesse mensilmente lo stesso documento inviato al supervisore.

Aldilà della modalità con cui le informazioni sono rese disponibili ai terzi e del loro grado di dettaglio, assume particolare importanza, nel caso di specie, la circostanza che sia i supervisori che gli amministratori sono dipendenti di altre società facenti parte del gruppo XX (si veda nel dettaglio il par. 1.1) e che non sia stato disciplinato, con un idoneo atto giuridico, il flusso dei dati personali tra le società.

Infatti, nella citata comunicazione del 21/03/2024, la Società si è limitata a dichiarare che le società a cui appartengono gli amministratori sono responsabili del trattamento e che è in progetto un accordo di servizio, senza produrre documentazione a supporto e null’altro specificare.

Analogamente, per quanto riguarda la posizione dei supervisori, non risulta che la Società abbia fornito idonee istruzioni in merito ai trattamenti posti in essere, tenendo conto del numero delle informazioni loro rese disponibili.

Tale condotta si pone dunque in contrasto con la disciplina in materia di protezione dei dati personali che, nel disciplinare i flussi di dati tra società di un medesimo gruppo imprenditoriale, ha previsto che ciascuna società collegata o controllata dispone di un’autonoma titolarità in relazione ai dati personali dei propri dipendenti e collaboratori (v. Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, provv. 23 novembre 2006, n. 53; par. 3.2).

In linea con quanto sopra, si osserva anche che, in base a quanto stabilito dal Regolamento, il titolare del trattamento, nell’ambito della predisposizione delle misure tecniche e organizzative che gli competono, anche sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. cons. 81 del Regolamento).  

In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1, del Regolamento).  

Ai sensi del richiamato art. 28 del Regolamento il titolare può affidare un trattamento anche a soggetti esterni, disciplinandone però adeguatamente il rapporto con un contratto (o un altro atto giuridico) e impartendo le istruzioni in merito alle caratteristiche principali del trattamento.  

Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) ed entro gli specifici limiti definiti dal titolare del trattamento.

Nel caso di specie, dunque, la Società ha reso disponibili a soggetti terzi i dati riferiti ai propri dipendenti, senza aver provveduto alla designazione di responsabili del trattamento e, dunque, in assenza di una delle condizioni di liceità previste dall’ordinamento (artt. 6 e 28 del Regolamento), nonché in assenza di specifiche istruzioni (art. 2-quaterdecies del Codice).

Si prende comunque atto del fatto che la Società ha provveduto a stipulare, in data 23/08/2024, un “Accordo sul trattamento dei dati ai sensi dell’articolo 28 del GDPR” con le altre società che possono accedere e trattare i dati telematici dei propri dipendenti.  

Resta fermo che la comunicazione a terzi dei dati relativi ai dipendenti della Società è avvenuta in violazione degli artt. 6 e 28 del Regolamento e 2-quaterdecies del Codice.

3.4. Violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice.

Dagli accertamenti svolti presso la sede della Società, è quindi emerso che la stessa, attraverso l’installazione dei dispositivi telematici satellitari, raccoglie informazioni relative ai viaggi svolti dai propri dipendenti, siano essi di lavoro che privati, conservandoli per un periodo di 13 mesi.

In particolare, sulla base di quanto stabilito nell’accordo commerciale con Arval (all. 3 al verbale del 28/02/2024), il sistema Arval Connect consente di rilevare “informazioni afferenti ai viaggi effettuati dal veicolo ed al relativo utilizzo, quali, ad esempio, la data e l’ora di partenza e di arrivo di ciascun viaggio qualificato come professionale, la percorrenza chilometrica giornaliera con la distinzione del chilometraggio ad uso privato, la percorrenza chilometrica di ogni viaggio con l’indicazione della tipologia di percorso, il consumo di carburante, alcuni indicatori sullo stile di guida del veicolo in termini di sicurezza ed eco-sostenibilità”.

Come si è avuto modo di illustrare nel precedente paragrafo, le informazioni rese disponibili ai supervisori e agli amministratori sono particolarmente dettagliate e, infatti, esse attengono non soltanto al conteggio complessivo degli eventi rilevati dai dispositivi e del relativo score (come dichiarato nel corso dell’istruttoria), ma anche al numero di viaggi professionali effettuati e dei km percorsi riferiti a ciascun membro dell’equipaggio. Inoltre, come dichiarato dalla Società a seguito delle interlocuzioni con il fornitore del servizio Arval, il punteggio assegnato a ciascun dipendente tiene conto del numero complessivo degli eventi rilevati dal dispositivo (ovvero sia dei viaggi privati che di quelli professionali).

Tale circostanza rileva sotto un duplice profilo.

In primo luogo, occorre considerare che, sebbene la telematica satellitare predisposta dalla Società sui propri veicoli sia sprovvista del sistema di geolocalizzazione (determinando un impatto meno invasivo sul controllo dell’attività lavorativa), ciò non di meno il dettaglio delle informazioni rilevate, la loro memorizzazione e la conseguente consultazione per 13 mesi dalla loro rilevazione, la valutazione effettuata sui dati afferenti sia ai viaggi professionali che a quelli privati mediante l’assegnazione di un punteggio, concorrono, nel loro complesso, all’effettuazione di un’attività di controllo sull’attività del lavoratore che, effettuata in assenza delle procedure di garanzia di cui all’art. 4 della legge n. 300/1970 (richiamato dall’art. 114 del Codice come condizione di liceità del trattamento), costituisce violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento..

Infatti, in base all’art. 114 del Codice, il rispetto della disposizione di cui all’art. 4 della citata legge n. 300/1970 costituisce condizione di liceità dei trattamenti di dati personali effettuati in ambito lavorativo, in quanto è una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento (v. artt. 5, par. 1, lett. a) e 88 del Regolamento).

Sotto altro profilo, si ritiene che l’acquisizione e la valutazione dello stile di guida effettuato anche in occasione dei viaggi privati fa sì che il trattamento posto in essere riguardi anche dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, considerato soprattutto che è ammesso l’uso privato del veicolo anche ai familiari del dipendente interessato.

Tale attività si pone così in contrasto con la disposizione di cui all’art. 8 della legge n. 300/1970 (richiamato dall’art. 113 del Codice come condizione di liceità del trattamento) che vieta al datore di lavoro di effettuare indagini, anche tramite terzi, sulle opinioni politiche, religiose o sindacali del lavoratore o “su fatti non rilevanti per l'attitudine professionale”, sia al momento dell'assunzione che durante il rapporto di lavoro.  

Sul punto, è utile richiamare la sentenza n. 18302 della Cassazione civ., sez. I, in cui è stabilito che “acquisire e conservare dati che contengono (o possono contenere) simili informazioni importa già l’integrazione della condotta vietata, perché si risolve in una indagine non consentita sulle opinioni e condotte del lavoratore, anche se i dati non sono successivamente utilizzati”.

Sebbene la Società, sin dai primi mesi successivi all’avvio del programma di telematica satellitare, abbia chiesto alla società fornitrice del sistema di apportare le necessarie modifiche al sistema tali da escludere dalla visibilità dei supervisori/amministratori i dettagli sui comportamenti di guida relativi ai viaggi privati svolti dagli interessati, bisogna comunque tener conto delle successive valutazioni che vengono svolte sui dati complessivamente raccolti.

Tra l’altro, nel corso dell’istruttoria, la Società ha precisato che, a seguito delle interlocuzioni avute con il fornitore del servizio Arval, “il chilometraggio totale di ciascun veicolo includerà necessariamente una percentuale aggregata di chilometri percorsi sia per viaggi di lavoro e per viaggi privati” e che “le informazioni relative ai viaggi privati non possono essere eliminate, nascoste o mascherate per la Società, senza che ciò non incida anche su tutti gli altri clienti di Arval” (nota del 23/05/2025). Pertanto, alla luce di queste ulteriori precisazioni, risulta confermato che il sistema non è configurato in modo da eliminare informazioni sui viaggi privati.

Resta, quindi, accertata la violazione degli artt. 5, par. 1, lett. a), e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società mediante il programma di telematica satellitare, consistente nella raccolta delle informazioni sui comportamenti e lo stile di guida dei dipendenti e nella successiva valutazione ai fini dell’assegnazione di uno score, risulta avvenuto in violazione delle disposizioni di cui all’art. 5, par. 1, lett. a), b) e c) in relazione all’art. 13 del Regolamento, in violazione dell’art. 6, par. 1, lett. f), degli artt. 28 e 6 del Regolamento e 2-quaterdecies del Codice e infine degli artt. 5, par. 1, lett. a) e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice.

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura delle plurime violazioni accertate, che hanno riguardato i principi generali del trattamento e le disposizioni più specifiche in materia di raccolta di dati e pertinenza.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, alla luce delle circostanze del caso concreto:

- ordina la cancellazione dei dati e delle informazioni raccolte dai suddetti dispositivi, inerenti ai viaggi complessivamente svolti dagli interessati, sulla base dei quali vengono assegnati gli score (art. 58, par. 2, lett. g) del Regolamento);

- dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento (art. 58, par. 2, lett. i), del Regolamento).
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie.

All’esito del procedimento risulta accertato che la società ha violato gli artt. 5, par. 1, lett. a), b) e c) in relazione all’art. 13 del Regolamento, l’art. 6, par. 1, lett. f), gli artt. 28 e 6 del Regolamento e 2-quaterdecies del Codice e infine gli artt. 5, par. 1, lett. a) e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice.

La violazione delle disposizioni richiamate comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) e d), del Regolamento, mediante l’adozione di un’ordinanza ingiunzione (art. 18 della legge n. 689/1981).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento che prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- con riferimento alla natura, gravità e durata della violazione, devono considerarsi rilevanti le violazioni accertate, le quali attengono principalmente ai principi generali del trattamento e alle disposizioni più specifiche a tutela dei diritti dei lavoratori;

- si è tenuto conto altresì della circostanza che il trattamento ha riguardato dati non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore, ovvero dati raccolti al di fuori del rapporto di lavoro, nonché della circostanza che tali dati sono stati comunicati a terzi in assenza di condizioni di liceità;

- con riferimento alla durata, si è tenuto conto che il trattamento ha avuto inizio a luglio 2023 e che, all’indomani della notifica delle violazioni (luglio 2024) quindi per circa 12 mesi, è stato sospeso per individuare le azioni correttive; si tiene conto anche del numero limitato di interessati coinvolti (relativi a 5 dipendenti);  

- si è inoltre considerata l’assenza di precedenti violazioni pertinenti commesse dal titolare nonché il grado di cooperazione fornito nel corso dell’istruttoria nonché la circostanza che la Società si è attivata, presso la società fornitrice del sistema, per avviare le necessarie modifiche al programma.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base all volume d’affari relativo al bilancio 2024.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Pioneer Hi-Bred Italia Sementi s.r.l. la sanzione amministrativa del pagamento di una somma pari a euro 120.000,00 (centoventimila).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione in considerazione della tipologia delle violazioni accertate che hanno riguardato i dati raccolti attraverso dispositivi telematici satellitari.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Pioneer Hi-Bred Italia Sementi s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Sissa Trecasali (PR), via 6 ottobre 2013 n. 52/54,  P.I. 13349060155, per la violazione degli artt. 5, par. 1, lett. a), b) e c) in relazione all’art. 13 del Regolamento, dell’art. 6, par. 1, lett. f), degli artt. 28 e 6 del Regolamento e 2-quaterdecies del Codice e infine degli artt. 5, par. 1, lett. a) e 88 del Regolamento in relazione agli artt. 113 e 114 del Codice;

ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ordina la cancellazione dei dati raccolti attraverso il programma di telematica satellitare, inerenti ai viaggi cd. privati effettuati dagli interessati sulla base dei quali viene assegnato il punteggio sul comportamento di guida, fornendo riscontro a questa Autorità entro il termine di 30 giorni dalla notifica del presente provvedimento, ai sensi dell’art. 157 del Codice;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al medesimo di pagare la somma complessiva di euro 120.000,00 (centoventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

alla medesima Società di pagare la predetta somma di euro 120.000,00 (centoventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si rappresenta che, ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019 la pubblicazione del presente provvedimento sul sito internet del Garante;

- ai sensi dell’art. 17 del regolamento del Garante n. 1/2019, ricorrendone i presupposti, l’annotazione nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del medesimo Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 18 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori