GPS e Telemetria Aziendale: come Installarla Rispettando Statuto e GDPR
GPS e telemetria sui dipendenti: procedura RSA/RSU, autorizzazione INL, limiti GDPR e caso Garante 120.000 euro gennaio 2026. Guida operativa per aziende italiane.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
È legale installare GPS o sistemi di telemetria sulle auto aziendali dei dipendenti?
Sì, ma soltanto a condizioni precise. L'Art. 4 dello Statuto dei Lavoratori impone che qualsiasi sistema di localizzazione o telemetria che consenta il controllo a distanza dei dipendenti sia preceduto da un accordo con le Rappresentanze Sindacali Aziendali (RSA/RSU) o, in loro assenza, da un'autorizzazione dell'Ispettorato Nazionale del Lavoro (INL). Il GDPR aggiunge requisiti di informativa, proporzionalità e minimizzazione. Installare senza questi passaggi espone a sanzioni penali, amministrative e del Garante Privacy.
Fonti: Art. 4 Legge 300/1970 (Statuto dei Lavoratori) · Garante Privacy — Provvedimento telemetria IoT, gennaio 2026 · Circolare INL n. 2/2016 — Geolocalizzazione · Reg. UE 2016/679 (GDPR) Artt. 5, 13, 35
Il caso sanzionatorio del gennaio 2026, in cui il Garante Privacy italiano ha comminato 120.000 euro a una società multinazionale del settore agricolo per l'installazione illecita di dispositivi di telemetria IoT sulle auto aziendali di cinque dipendenti, ha riportato al centro dell'attenzione manageriale una questione che molte aziende credevano di aver già risolto. La realtà è che le violazioni in questo ambito sono sistematiche e derivano quasi sempre dallo stesso errore: installare la tecnologia prima di completare la procedura legale. Per il quadro normativo integrato, si veda la guida alle architetture di compliance GDPR e AI Act.
Il quadro normativo: Art. 4 Statuto e GDPR
L'Art. 4 della Legge 300/1970, modificato dal D.Lgs. 151/2015, stabilisce che gli strumenti dai quali derivi anche solo la potenzialità tecnica di controllare a distanza l'attività dei lavoratori possono essere installati ed utilizzati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
La norma non vieta il GPS o la telemetria: li condiziona a una procedura obbligatoria. Il datore di lavoro non può decidere autonomamente di installare questi sistemi, anche se ne possiede la legittimità tecnica e le risorse economiche.
Il GDPR affianca lo Statuto con tre requisiti aggiuntivi:
- Base giuridica documentata: l'interesse legittimo del datore deve essere bilanciato rispetto ai diritti dei lavoratori
- Informativa specifica: i lavoratori devono ricevere un'informativa che descriva esattamente il sistema, i dati raccolti, i periodi di retention e i soggetti con accesso ai dati
- DPIA obbligatoria: il monitoraggio sistematico dei lavoratori tramite tecnologie di localizzazione rientra tra i trattamenti che richiedono una valutazione d'impatto ai sensi dell'Art. 35 GDPR
La procedura corretta: RSA/RSU o INL
Passo 1: Verificare le finalità legittime
Prima di avviare qualsiasi procedura, l'azienda deve identificare e documentare la finalità specifica del sistema di geolocalizzazione: sicurezza dei veicoli, ottimizzazione logistica, rendicontazione delle trasferte, tutela del patrimonio. La finalità deve essere reale, documentata e non configurarsi principalmente come controllo dell'attività del lavoratore.
Passo 2: Accordo con le RSA/RSU
Se l'azienda ha rappresentanze sindacali aziendali (RSA o RSU), deve avviare una trattativa e raggiungere un accordo scritto prima dell'installazione. L'accordo deve specificare: le finalità del sistema, le caratteristiche tecniche del dispositivo, i dati raccolti, i periodi di retention, chi ha accesso ai dati, le modalità di utilizzo dei dati eventualmente raccolti.
L'accordo sindacale non è negoziabile: il consenso individuale dei singoli lavoratori non sostituisce l'accordo collettivo, come confermato dalla Circolare INL n. 2/2016 e dalla consolidata giurisprudenza del Garante.
Passo 3: Istanza all'INL (in assenza di RSA/RSU)
Se l'azienda non dispone di rappresentanze sindacali interne, deve presentare istanza alla sede territorialmente competente dell'Ispettorato Nazionale del Lavoro. L'istanza deve descrivere il sistema, le finalità, le garanzie previste per i lavoratori e i motivi per cui l'accordo sindacale non è stato possibile.
L'INL ha facoltà di autorizzare, autorizzare con prescrizioni o negare l'installazione. Il provvedimento di autorizzazione deve precedere l'installazione: installare in attesa dell'autorizzazione è già una violazione.
Passo 4: Informativa ai lavoratori
Prima dell'attivazione del sistema, ogni lavoratore interessato deve ricevere un'informativa scritta conforme all'Art. 13 GDPR che descriva: i dati raccolti dal sistema, le finalità del trattamento e la base giuridica, i periodi di conservazione, l'identità e i contatti del titolare del trattamento, i soggetti con accesso ai dati (compresi eventuali gruppi multinazionali), i diritti dell'interessato e come esercitarli.
Il caso Garante gennaio 2026: 120.000 euro per la telemetria IoT
Il provvedimento del Garante Privacy italiano del gennaio 2026 è un caso di studio che chiarisce con precisione i confini del lecito.
Una società multinazionale del settore agricolo aveva installato dispositivi di telemetria IoT sulle autovetture aziendali di cinque dipendenti, su istruzione della capogruppo svizzera. I dispositivi raccoglievano in modo continuativo: posizione GPS, velocità, distanze percorse, consumi di carburante e parametri che il sistema elaborava per calcolare uno "stile di guida" individuale di ciascun conducente. Questi dati alimentavano un algoritmo che generava un punteggio mensile per ciascun dipendente, utilizzato per valutazioni disciplinari.
Il Garante ha contestato:
Monitoraggio eccessivamente penetrante. La raccolta continua di parametri comportamentali e la generazione di un punteggio individuale superava la soglia di proporzionalità rispetto alle finalità dichiarate di sicurezza e ottimizzazione logistica.
Retention di 13 mesi. I dati venivano conservati per tredici mesi, un periodo privo di giustificazione rispetto alle finalità dichiarate e incompatibile con il principio di minimizzazione della conservazione.
Informativa carente. L'informativa fornita ai lavoratori non indicava la base giuridica del trattamento e ometteva di comunicare che i dati erano accessibili al personale delle altre società del gruppo, configurando trasferimenti illeciti di dati.
Assenza di procedura sindacale documentata. Non era stato raggiunto l'accordo con le rappresentanze sindacali né ottenuta l'autorizzazione INL nei termini prescritti.
Cosa puoi e non puoi fare con il GPS aziendale
| Uso | Lecito? | Condizioni |
|---|---|---|
| Localizzazione in tempo reale durante l'orario di lavoro per logistica | Sì | Con accordo RSA/INL e informativa |
| Registrazione del percorso per rendicontazione trasferte | Sì | Con accordo RSA/INL; retention limitata al necessario |
| Localizzazione fuori dall'orario di lavoro | No | Salvo consenso individuale per uso personale del veicolo |
| Calcolo di "punteggi" comportamentali da dati di guida | No | Sproporzionato; viola Art. 4 Statuto e GDPR |
| Accesso ai dati da parte di altre società del gruppo | No | Senza specifico mandato contrattuale e informativa |
| Retention dei dati per più di 30-60 giorni (salvo esigenze specifiche) | No | In assenza di giustificazione documentata |
| Utilizzo dei dati GPS per procedimenti disciplinari | Condizionato | Solo se raccolti in conformità all'Art. 4; prove ottenute illecitamente non utilizzabili |
Checklist per l'installazione legale di GPS aziendale
- Finalità documentate (sicurezza, logistica, tutela patrimonio)
- Accordo scritto con RSA/RSU, oppure
- Autorizzazione INL territoriale con provvedimento
- DPIA condotta e documentata (Art. 35 GDPR)
- Informativa Art. 13 GDPR predisposta e consegnata prima dell'attivazione
- Configurazione del sistema: disattivazione fuori dall'orario di lavoro
- Retention massima definita e configurata nel sistema
- Accesso ai dati limitato al personale strettamente necessario
- Nessuna funzione di scoring comportamentale abilitata
Per approfondire il tema del monitoraggio digitale dei dipendenti e i software di produttività, si veda l'articolo dedicato al software di monitoraggio dipendenti in Italia.
Stai pianificando l'installazione di GPS o sistemi di telemetria nella tua azienda?
Studio Legale Ingoglia assiste aziende nella gestione dell'iter sindacale o ispettivo, nella redazione delle informative e nella conduzione della DPIA per i sistemi di monitoraggio dei dipendenti. Prenota una consulenza strategica prima di avviare l'installazione, non dopo aver ricevuto il provvedimento del Garante.
Articolo aggiornato al 26 maggio 2026. Il provvedimento del Garante citato (sanzione di 120.000 euro, gennaio 2026) fa riferimento a un'impresa del settore agricolo ed è pubblicamente disponibile nel registro dei provvedimenti del Garante Privacy italiano. Per supporto specifico, contatta lo studio.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze