Articolo pubblicato su QG, contenuto riservato agli abbonati
L’impiego di sistemi di geolocalizzazione nei contesti lavorativi costituisce uno dei temi più complessi nell’attuale disciplina della protezione dei dati personali, poiché pone in costante tensione le esigenze organizzative, produttive e di sicurezza del datore di lavoro con il diritto alla riservatezza e alla protezione dei dati dei lavoratori. La progressiva diffusione di dispositivi GPS installati sui veicoli aziendali, sugli strumenti di lavoro e, più in generale, sui dispositivi utilizzati dal personale nello svolgimento delle proprie mansioni, ha reso necessario un progressivo affinamento del quadro normativo e interpretativo, nel quale si intrecciano la disciplina europea contenuta nel Regolamento (UE) 2016/679 (GDPR), il Codice della privacy, le norme dello Statuto dei lavoratori e gli orientamenti elaborati dal Garante per la protezione dei dati personali e dalla giurisprudenza.
L’articolo analizza tale evoluzione prendendo le mosse dalla recente ordinanza della Corte di Cassazione, Sezione I civile, 14 aprile 2026, n. 9374, che rappresenta un importante punto di riferimento nella definizione dei presupposti di liceità del trattamento dei dati di geolocalizzazione e nella corretta individuazione del titolare del trattamento. La pronuncia conferma un orientamento ormai consolidato secondo cui il dato di localizzazione costituisce sempre un dato personale quando, anche indirettamente, consenta di identificare il lavoratore. Non assume pertanto rilievo decisivo il fatto che il sistema GPS non riporti espressamente il nominativo dell’interessato, essendo sufficiente la possibilità di ricondurre il veicolo al conducente mediante l’incrocio con altre informazioni nella disponibilità del datore di lavoro.
L’analisi evidenzia come tale interpretazione sia pienamente coerente con la nozione ampia di dato personale contenuta nell’art. 4 del GDPR, secondo cui rientra nella tutela qualsiasi informazione riferibile, direttamente o indirettamente, a una persona fisica identificata o identificabile. La possibilità di associare il tracciamento di un mezzo aziendale al lavoratore che lo utilizza rende quindi applicabili tutti gli obblighi previsti dalla normativa in materia di protezione dei dati personali, indipendentemente dalle modalità tecniche con cui il sistema di geolocalizzazione è stato progettato.
Particolare attenzione viene dedicata al tema della titolarità del trattamento. La Corte di Cassazione ribadisce infatti che assume la qualità di titolare il soggetto che determina le finalità e le modalità del trattamento, anche quando il sistema tecnologico sia materialmente realizzato o gestito da un fornitore esterno. L’elemento determinante è rappresentato dal potere decisionale esercitato sull’utilizzo dei dati e dalla concreta disponibilità delle informazioni raccolte. In tale prospettiva, la semplice disponibilità delle credenziali di accesso alla piattaforma GPS costituisce un indice significativo della possibilità di utilizzare i dati per finalità proprie dell’organizzazione aziendale e, conseguentemente, dell’assunzione delle responsabilità previste dal GDPR.
L’articolo richiama inoltre il precedente orientamento espresso dalla stessa Corte di Cassazione con la sentenza n. 3462 del 2026, evidenziando la continuità interpretativa tra le due pronunce. La Suprema Corte conferma infatti che la possibilità di identificare indirettamente il lavoratore rappresenta il criterio decisivo per l’applicazione della disciplina sulla protezione dei dati personali, indipendentemente dal fatto che l’identificazione derivi da elaborazioni automatizzate o dall’incrocio con ulteriori dati detenuti dal datore di lavoro.
Accanto all’analisi della giurisprudenza, il contributo approfondisce il ruolo svolto dal Garante per la protezione dei dati personali nella definizione delle regole applicabili ai sistemi GPS. Il provvedimento generale del 4 ottobre 2011 aveva già individuato i principali criteri di liceità del trattamento, anticipando molti dei principi successivamente codificati dal GDPR, quali la minimizzazione dei dati, la limitazione delle finalità, la sicurezza del trattamento e la necessità di configurare i sistemi in modo da evitare raccolte eccedenti rispetto agli scopi perseguiti.
Di particolare interesse risulta il recente provvedimento sanzionatorio del 16 gennaio 2025, con il quale il Garante ha irrogato una sanzione di 50.000 euro a una società di autotrasporto che monitorava costantemente i propri dipendenti attraverso sistemi GPS installati sui veicoli aziendali. L’Autorità ha accertato numerose violazioni della disciplina privacy, tra cui l’inadeguatezza dell’informativa resa ai lavoratori, la raccolta di dati eccedenti rispetto alle finalità dichiarate, il mancato rispetto delle prescrizioni contenute nell’autorizzazione rilasciata dall’Ispettorato territoriale del lavoro e la conservazione dei dati per un periodo significativamente superiore a quello necessario. Il caso dimostra come la conformità al GDPR non possa limitarsi alla mera installazione autorizzata del sistema di geolocalizzazione, ma richieda un costante rispetto dei principi di proporzionalità, trasparenza e limitazione della conservazione.
L’articolo evidenzia altresì lo stretto rapporto tra disciplina privacy e normativa giuslavoristica. L’utilizzo di strumenti dai quali possa derivare il controllo a distanza dell’attività dei lavoratori resta infatti subordinato al rispetto dell’art. 4 dello Statuto dei lavoratori, che consente tali strumenti esclusivamente per esigenze organizzative e produttive, di sicurezza del lavoro o di tutela del patrimonio aziendale, previo accordo sindacale o autorizzazione dell’Ispettorato Nazionale del Lavoro. Il rispetto degli adempimenti previsti dalla normativa lavoristica, tuttavia, non esaurisce gli obblighi del titolare del trattamento, il quale deve comunque assicurare la conformità dell’intero trattamento alle prescrizioni del GDPR.
Sotto il profilo operativo, il contributo pone in evidenza come il principio di accountability rappresenti il criterio guida nella gestione dei sistemi di geolocalizzazione. Il titolare è chiamato non solo a rispettare formalmente gli obblighi previsti dalla normativa, ma anche a dimostrare concretamente la liceità del trattamento attraverso l’adozione di misure tecniche e organizzative adeguate, la predisposizione di informative complete e trasparenti, la tenuta del registro dei trattamenti, la definizione di tempi di conservazione coerenti con le finalità perseguite e, ove necessario, lo svolgimento della valutazione d’impatto sulla protezione dei dati (DPIA).
Particolare rilievo assume inoltre il principio di proporzionalità, che impone di evitare forme di monitoraggio continuo e indiscriminato suscettibili di determinare una compressione eccessiva della sfera privata del lavoratore. La configurazione tecnica dei sistemi GPS deve essere orientata alla raccolta dei soli dati strettamente necessari, limitando la frequenza delle rilevazioni, evitando trattamenti eccedenti e predisponendo idonee misure di sicurezza per prevenire utilizzi impropri delle informazioni raccolte.
La recente ordinanza della Corte di Cassazione rafforza un approccio sostanziale alla nozione di dato personale e conferma che la possibilità di identificazione indiretta del lavoratore è sufficiente a far scattare l’applicazione della disciplina privacy. Parallelamente, i provvedimenti del Garante ribadiscono la necessità di un rigoroso rispetto dei principi del GDPR e delle garanzie previste dalla normativa lavoristica. Ne deriva che l’impiego di sistemi GPS nei contesti organizzativi richiede un approccio integrato, capace di coniugare esigenze imprenditoriali, accountability, trasparenza e tutela della dignità del lavoratore, evitando che strumenti concepiti per finalità organizzative si trasformino in meccanismi di controllo sproporzionati e incompatibili con il quadro costituzionale ed europeo di protezione dei diritti fondamentali.