NEWSLETTER N. 542 del 29 gennaio 2026

• Garante privacy: no al controllo dello stile di guida dei lavoratori
• Garante: l’accesso alla email del lavoratore licenziato vìola la privacy
• Monopattini, Garante privacy: sì alla piattaforma per il rilascio delle targhe
• Attivo un nuovo strumento contro il telemarketing selvaggio
• Casi transfrontalieri, al via Regolamento UE su reclami e istruttorie

Garante privacy: no al controllo dello stile di guida dei lavoratori 
Sanzione di 120mila euro a società che monitorava 5 dipendenti con auto aziendale 

Il Garante privacy ha inflitto una sanzione di 120mila euro ad una società del settore della selezione e produzione di sementi agricole per aver trattato in modo illecito i dati personali di cinque dipendenti.

La società, parte di un gruppo multinazionale, su disposizione della capogruppo svizzera, aveva fatto installare sui propri veicoli aziendali un dispositivo - associato al nominativo del conducente - che raccoglieva, in modo illecito, i dati sui viaggi di lavoro e privati (tempi, km, consumi e stile di guida) dei lavoratori, per l’assegnazione di un punteggio mensile. I dati così raccolti, venivano conservati per un periodo di 13 mesi e utilizzati ai fini delle valutazioni del comportamento alla guida dei dipendenti, nonché per l’adozione di eventuali interventi correttivi.

L’iniziativa, avviata in via sperimentale, era destinata a essere estesa a tutte le società europee del gruppo. Nel corso dell’attività ispettiva e delle successive verifiche, l’Autorità – intervenuta a seguito della ricezione di un reclamo – ha rilevato numerose violazioni della normativa privacy.

In particolare, è emerso che il dispositivo installato sui veicoli aziendali raccoglieva informazioni molto dettagliate sui viaggi effettuati, tali da consentire un controllo sull’attività dei lavoratori, svolto in assenza delle garanzie previste dallo Statuto dei lavoratori. Inoltre, l’informativa resa ai lavoratori era rivolta a tutte le società affiliate del gruppo, incluse quelle con sede extra-Ue, senza indicare in modo chiaro le finalità, le basi giuridiche né i soggetti qualificabili come titolari, responsabili e destinatari del trattamento dei dati.

Gli accertamenti condotti dal Garante hanno inoltre evidenziato che l’accesso alle informazioni raccolte tramite i dispositivi installati sulle auto aziendali era consentito anche al personale di altre società del gruppo, in assenza di un’idonea autorizzazione.

Nel determinare l’importo della sanzione, l’Autorità ha tenuto conto sia del numero limitato di dipendenti coinvolti sia della sospensione immediata del trattamento dei dati ritenuto illecito, disposta dalla società subito dopo la contestazione. Il Garante ha inoltre ordinato la cancellazione dei dati relativi ai viaggi dei lavoratori, raccolti e utilizzati per l’attribuzione dei punteggi di comportamento alla guida.

Garante: l’accesso alla email del lavoratore licenziato vìola la privacy

Il contenuto delle email, i dati di contatto delle comunicazioni e gli eventuali allegati, rientrano nella nozione di corrispondenza e sono quindi tutelati dal diritto alla segretezza. Tale garanzia, riconosciuta anche dalla Costituzione, salvaguarda la dignità della persona e il suo pieno sviluppo nelle relazioni sociali.

Lo ha ribadito il Garante per la protezione dei dati personali, che ha inflitto una sanzione di 40mila euro a una società per violazione della segretezza dell’account email di un amministratore delegato dopo la cessazione del rapporto di lavoro.

Nel reclamo presentato al Garante l’amministratore lamentava che, dopo aver ricevuto una lettera di contestazione disciplinare cui è seguito il licenziamento, l’azienda gli aveva negato l’accesso alla propria casella di posta elettronica aziendale, rimasta attiva. Esercitando i propri diritti, aveva chiesto alla società di disabilitare l’account di posta elettronica, di inoltrare i messaggi ricevuti nel frattempo al suo indirizzo email personale e di attivare una risposta automatica che informasse eventuali mittenti del nuovo indirizzo email. Richiesta tuttavia rimasta inevasa sebbene formulata correttamente ai sensi del GDPR.

Nel corso dell’istruttoria, il Garante ha accertato che l’azienda non solo continuava a ricevere le email indirizzate al lavoratore, ma addirittura le inoltrava ad un altro account di posta elettronica aziendale. Una pratica scorretta che si era protratta per circa due mesi, superando il limite di 30 giorni previsto dalle regole interne dell’azienda.

Tale modalità prolungata nel tempo ha determinato l’accesso e la conservazione di email personali, in violazione della normativa privacy. L’Autorità ha pertanto ordinato alla società di consentire al lavoratore l’accesso al proprio account aziendale di posta elettronica e ne ha disposto la successiva cancellazione, fatta salva la conservazione di quanto necessario per la tutela dei diritti in sede giudiziaria.

Nel definire l’ammontare della sanzione, il Garante ha considerato la tipologia e la durata delle violazioni, il mancato riscontro all’istanza di esercizio dei diritti del lavoratore e l’assenza di precedenti violazioni della normativa privacy da parte della società.

Monopattini, Garante privacy: sì alla piattaforma per rilascio delle targhe 
Chieste al MIT ulteriori misure a protezione dei dati 

Via libera del Garante privacy allo schema di decreto del Ministro delle Infrastrutture e dei Trasporti (MIT) che disciplina le modalità di funzionamento della piattaforma telematica per la richiesta e il rilascio delle targhe dei monopattini, nonché il trattamento dei dati personali dei proprietari dei veicoli.

Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia posto al MIT alcune condizioni per garantire una maggiore tutela dei dati degli interessati.

In particolare, l’Autorità ha chiesto di eliminare il riferimento alla verifica automatica dei dati dei richiedenti il contrassegno tramite “collegamento” con l’Anagrafe nazionale della popolazione residente. Tale interrogazione sarebbe infatti non necessaria ed eccessiva, dal momento che l’identificazione digitale avviene già mediante l’autenticazione con SPID o CIE.

Il Garante ha inoltre chiesto al MIT di specificare le banche dati individuate per le verifiche relative alle imprese e ai poteri di rappresentanza del richiedente, per rendere così conformi i trattamenti alla normativa in materia di protezione dei dati.

Infine, l’Autorità ha prescritto che gli adempimenti connessi ai trattamenti posti in essere nell’ambito della piattaforma dal MIT in qualità di titolare, inclusi il rilascio dell’informativa e la gestione dell’esercizio dei diritti riconosciuti agli interessati, siano di competenza del solo Ministero.

Attivo un nuovo strumento contro il telemarketing selvaggio 
SegnalaODM la piattaforma dell’Organismo di monitoraggio del Codice di condotta 

Da gennaio 2026 è attiva SegnalaODM, la piattaforma dell’Organismo di Monitoraggio del Codice di Condotta in materia di telemarketing e teleselling che consente agli utenti di segnalare eventuali violazioni da parte degli operatori aderenti.

L’attivazione della piattaforma rappresenta un ulteriore passaggio nell’attuazione del Codice di condotta in materia di telemarketing e teleselling approvato dal Garante privacy nel 2024 (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb n. 9993890).

Prima di inviare una segnalazione all’Organismo di Monitoraggio, l’utente deve contattare l’operatore interessato. In caso di mancata o inadeguata risposta, e qualora il comportamento risulti riconducibile a una violazione del Codice di Condotta, sarà possibile procedere con la segnalazione tramite la piattaforma.

Per effettuare una segnalazione è necessario registrarsi al seguente link:
https://segnalaodmtelemarketing.it/homepage

Ulteriori informazioni sono disponibili sul sito dell’Organismo di Monitoraggio:
https://www.odmtelemarketing.it/

Casi transfrontalieri, al via Regolamento UE su reclami e istruttorie

Il 1° gennaio 2026 è entrato in vigore il Regolamento 2025/2518 che stabilisce norme procedurali aggiuntive relative all’applicazione del Regolamento generale sulla protezione dei dati personali (GDPR): si applicherà a partire dal 2 aprile 2027. L’obiettivo è quello di armonizzare la trattazione dei reclami e la conduzione delle istruttorie nei procedimenti transfrontalieri.

Il nuovo regolamento integra infatti il GDPR, senza modificarne il quadro di cooperazione previsto dal Capo VII, e introduce norme relative allo svolgimento dei procedimenti, sia da parte delle Autorità privacy nazionali, nei casi riguardanti un trattamento transfrontaliero, sia da parte del Comitato europeo per la protezione dei dati (EBDP) durante la composizione delle controversie.

Il Regolamento 2025/2518 stabilisce anche norme relative all'esercizio del diritto di essere ascoltati prima dell'adozione delle decisioni da parte delle Autorità di protezione dati e, a seconda dei casi, dell’EDPB, a favore di reclamanti e parti sottoposte alle indagini.

Tra le novità, inoltre, sono previste disposizioni sui criteri formali di ammissibilità dei reclami relativi a trattamenti transfrontalieri, una procedura di risoluzione rapida dei reclami (early resolution), termini stringenti per la conclusione delle procedure di “sportello unico” (One-Stop-Shop), e l’introduzione di un fascicolo amministrativo e di un fascicolo di cooperazione con specifiche regole di creazione e accesso.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Giornata europea della protezione dati, Garante: educare alla cultura della privacy a partire dai più giovani – 28 gennaio 2026

- Sentenza Report, Garante privacy si riserva impugnazione – Comunicato del 26 gennaio 2026

- Garante privacy: dimissioni di Guido Scorza componente del Collegio - Comunicato del 17 gennaio 2026

- Garante privacy: piena fiducia nella magistratura – Comunicato del 16 gennaio 2026

- Deepfake, il Garante avverte: a rischio diritti e libertà fondamentali. Dopo il blocco di Clothoff, l’Autorità richiama l’attenzione sull’uso di Grok e altri servizi analoghi – Comunicato dell’8 gennaio 2026

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002)
Direttore responsabile: Stefano Sabella
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it