La Cassazione chiarisce che basta la possibilità di risalire indirettamente all’identità del lavoratore per far scattare gli obblighi di legge in materia di protezione dei dati personali
La geolocalizzazione dei veicoli aziendali è uno strumento sempre più diffuso nel settore del trasporto merci su strada. Ottimizzare i percorsi, ridurre i costi, proteggere il patrimonio aziendale: le ragioni che spingono le imprese ad adottare sistemi GPS sono molteplici e comprensibili. Ma quando a bordo di quei veicoli siedono i dipendenti, il discorso si complica.
Entra in gioco il diritto alla privacy dei lavoratori, e con esso una serie di obblighi normativi che l’imprenditore non può ignorare. Con l’ordinanza n. 3462/2026, la Prima Sezione Civile della Corte di Cassazione ha fissato un principio di grande rilievo pratico: l’obbligo di notificazione al Garante per la protezione dei dati personali sussiste anche quando il sistema GPS non consenta di identificare il lavoratore in modo automatico, purché vi sia la concreta possibilità di risalire alla sua identità anche per via indiretta.
Il caso: una società di trasporti e il sistema GPS “fornito da terzi”
La vicenda trae origine da un’ordinanza-ingiunzione emessa dal Garante della Privacy nei confronti di una società esercente attività di trasporto merci su strada per conto terzi, sanzionata per non aver provveduto alla notificazione prevista dall’art. 37, comma 1, lett. a), del d.lgs. n. 196/2003 — il cosiddetto Codice della Privacy nel testo vigente prima delle modifiche apportate dal d.lgs. n. 101 del 10 agosto 2018 — in relazione all’utilizzo di un sistema di geolocalizzazione installato sui propri automezzi. La società aveva opposto la sanzione sostenendo, tra l’altro, che il sistema GPS era stato sviluppato e fornito da una società terza, e che essa si era limitata a mettere a disposizione i veicoli con i rispettivi autisti. Il Tribunale di Sondrio, in prima battuta, aveva accolto questa prospettazione. La Cassazione, tuttavia, già con l’ordinanza n. 26987/2023, aveva cassato quella pronuncia stabilendo che la messa a disposizione delle credenziali di accesso ai dati di geolocalizzazione è condizione sufficiente per attribuire alla società di trasporti la qualifica di titolare del trattamento, a prescindere da chi abbia materialmente sviluppato il sistema. Nel giudizio di rinvio, il Tribunale di Sondrio aveva nuovamente accolto l’opposizione — stavolta su un diverso presupposto — ritenendo che il sistema in questione non fosse idoneo a consentire l’identificazione delle persone in modo automatico. È su questo punto che la Cassazione è tornata a pronunciarsi con l’ordinanza n. 3462/2026, demolendo definitivamente l’argomentazione del giudice di merito.
Il quadro normativo: cosa prevede il vecchio Codice Privacy sull’obbligo di notificazione
Prima di esaminare la soluzione della Corte, è utile inquadrare la normativa applicabile. L’art. 37, comma 1, lett. a), del d.lgs. n. 196/2003 (nel testo anteriore alla riforma del 2018) imponeva al titolare del trattamento di notificare al Garante il trattamento di dati personali quando riguardasse, tra l’altro, “dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica”. In sostanza, chiunque intendesse trattare dati di localizzazione tramite reti elettroniche — come appunto il GPS — era tenuto a darne preventiva comunicazione all’Autorità garante. La norma prevedeva alcune eccezioni: con propria delibera n. 1 del 31 marzo 2004, il Garante aveva sottratto all’obbligo di notificazione i trattamenti di dati geografici di mezzi di trasporto effettuati “esclusivamente a fini di sicurezza del trasporto”. Nel caso in esame, però, il sistema GPS era stato installato per scopi del tutto diversi — sicurezza del patrimonio aziendale, riduzione dei costi, localizzazione delle merci — e dunque l’esonero non era invocabile.
Sul versante del diritto del lavoro, occorre poi tenere presente che la localizzazione dei veicoli mediante sistemi elettronici costituisce potenzialmente una forma di controllo a distanza dell’attività dei lavoratori, con tutto ciò che ne consegue ai sensi dell’art. 4 della l. n. 300/1970 (Statuto dei Lavoratori). Questo articolo — richiamato anche dagli artt. 11, 114 e 171 del d.lgs. n. 196/2003 — subordina la legittimità di tali controlli alla previa stipula di un accordo con le rappresentanze sindacali aziendali oppure, in mancanza, all’autorizzazione dell’Ispettorato del Lavoro. Il Garante per la Privacy aveva già chiarito tutto ciò con il provvedimento n. 370 del 4 ottobre 2011, dedicato specificamente ai sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro, sottolineando che i dati relativi all’ubicazione dei mezzi, in quanto riconducibili — anche solo indirettamente — ai lavoratori assegnatari, costituiscono dati personali e come tali devono essere trattati nel rispetto del Codice della Privacy.
La questione centrale: è necessaria l’identificazione “automatica” mediante codici?
Il nucleo della controversia, nel secondo giro di giudizio, si era spostato su una questione tecnica: a quali condizioni un sistema GPS è soggetto all’obbligo di notificazione al Garante? Il Tribunale di Sondrio aveva abbracciato una tesi restrittiva, sostenendo che per far scattare l’obbligo occorresse non soltanto che il sistema permettesse in astratto di risalire all’identità del lavoratore, ma che tale identificazione avvenisse in modo automatico attraverso codici, e che fosse caratterizzata dalla certezza assoluta. Poiché nel caso concreto l’eventuale riconoscimento dell’autista avrebbe richiesto un’ulteriore attività deduttiva — incrociare i dati GPS con i registri di assegnazione dei veicoli o con il cronotachigrafo — il Tribunale aveva escluso la rilevanza privacy del trattamento.
La Cassazione, con l’ordinanza n. 3462/2026, ha nettamente smentito questa impostazione, definendola frutto di un’aggiunta normativa — un quid pluris — che la legge non richiede. Il ragionamento della Corte è lineare e condivisibile: ciò che determina la soggezione all’obbligo di notificazione non è la modalità con cui l’identificazione del lavoratore può avvenire, ma la mera possibilità che essa avvenga, anche per via indiretta. La circostanza che il sistema identifichi il lavoratore tramite codici automatici oppure attraverso un’attività di incrocio manuale dei dati è irrilevante: in entrambi i casi il dato di localizzazione del veicolo è potenzialmente un dato personale riferibile al dipendente, e come tale deve essere trattato.
La soluzione della Corte: conta la possibilità di identificazione indiretta
La Prima Sezione Civile ha chiarito che il criterio dirimente è quello già individuato dal Garante nel provvedimento del 2011: il datore di lavoro, in quanto titolare del trattamento, è normalmente in grado di risalire in ogni momento al lavoratore assegnatario di ciascun veicolo. Nel caso specifico, gli elementi idonei a consentire tale identificazione erano inequivocabili: gli automezzi erano quattro e quattro erano gli autisti, ciascun mezzo era assegnato a un determinato conducente, e il cronotachigrafo — che la legge impone a bordo dei veicoli adibiti al trasporto merci — contiene per definizione i dati identificativi del guidatore. Erano, dunque, presenti tutti gli elementi per risalire all’identità del lavoratore: il fatto che il sistema GPS non lo facesse in modo automatico non escludeva affatto la configurabilità del trattamento di dati personali.
La Corte ha inoltre sottolineato come il Tribunale avesse in realtà dato conto nella propria sentenza delle circostanze fattuali che rendevano possibile l’identificazione indiretta, ma avesse poi errato nel non trarne le dovute conseguenze giuridiche, ancorandosi a un requisito dell’automatismo che l’ordinamento non prevede. Cassata definitivamente la sentenza di rinvio, la Cassazione ha deciso nel merito rigettando l’opposizione originariamente proposta dalla società avverso l’ordinanza-ingiunzione del Garante.
Implicazioni pratiche: cosa devono fare le imprese
La pronuncia in commento — pur riferita alla normativa previgente, oggi sostituita dal Regolamento europeo n. 2016/679 (GDPR) e dal d.lgs. n. 101/2018 che ha adeguato il Codice della Privacy — conserva una piena attualità sotto il profilo dei principi interpretativi. Sotto la vigenza del GDPR l’obbligo formale di notificazione al Garante è stato abolito, ma le imprese che utilizzano sistemi di geolocalizzazione sui veicoli dei propri dipendenti devono comunque rispettare una serie di adempimenti la cui sostanza non è mutata: la base giuridica del trattamento deve essere individuata correttamente (di regola, il legittimo interesse datoriale bilanciato con le garanzie dello Statuto dei Lavoratori), l’informativa agli interessati deve essere fornita in modo chiaro e completo, il trattamento deve essere registrato nel Registro delle attività di trattamento ex art. 30 GDPR, e laddove il sistema presenti caratteristiche tali da comportare un rischio elevato per i diritti degli interessati può essere necessaria una valutazione d’impatto sulla protezione dei dati (DPIA).
Il principio affermato dalla Cassazione con l’ordinanza n. 3462/2026 è, in definitiva, un monito chiaro per tutte le imprese che impiegano sistemi GPS sui propri automezzi: non è sufficiente che il software non associ automaticamente la posizione del veicolo al nome del conducente per escludere la rilevanza privacy del trattamento. Se il datore di lavoro ha la concreta possibilità di risalire all’identità del lavoratore — e di regola questa possibilità esiste — il trattamento di dati personali c’è, ed occorre gestirlo nel rispetto delle norme di legge. Sottovalutare questo profilo espone l’impresa a sanzioni amministrative che, sotto il regime del GDPR, possono raggiungere importi ben superiori rispetto a quelli del vecchio Codice della Privacy.
Conclusioni
La sentenza della Cassazione n. 3462/2026 offre un contributo interpretativo importante su un tema di grande attualità: l’utilizzo dei sistemi di localizzazione GPS nell’ambito del rapporto di lavoro. Il principio secondo cui l’obbligo di protezione dei dati personali scatta al verificarsi della mera possibilità di identificazione indiretta del lavoratore — senza che sia richiesta l’automaticità del processo — è pienamente coerente con la ratio della normativa in materia di privacy, che mira a tutelare la dignità e la riservatezza della persona in tutti i contesti in cui i suoi dati possano essere trattati, indipendentemente dalla complessità tecnica del procedimento di riconoscimento.
Se la tua impresa utilizza sistemi GPS sui veicoli aziendali, è il momento giusto per verificare che gli adempimenti in materia di protezione dei dati personali siano stati correttamente assolti. Il nostro studio è a disposizione per una consulenza personalizzata e per supportarti nella corretta gestione dei trattamenti dei dati dei tuoi dipendenti.
