Identificabilità indiretta del lavoratore configura l’obbligo di informativa sindacale e l’invio della DPIA in consultazione preventiva al Garante (Cass. Civile, Sez. I, 16/02/2026 n. 3462)
Abstract: La crescente diffusione dei sistemi di geolocalizzazione satellitare (GPS) nei contesti produttivi pone questioni rilevanti in materia di protezione dei dati personali e di controllo a distanza dell’attività lavorativa. La sentenza della Corte di Cassazione, Sezione I civile, 16 febbraio 2026, n. 3462 affronta il tema della qualificazione giuridica dei dati di localizzazione dei veicoli aziendali e degli obblighi di notificazione al Garante per la protezione dei dati personali previsti dal previgente art. 37 del Codice privacy. La decisione chiarisce che la tutela dei dati personali si applica anche quando l’identificazione del lavoratore non avvenga in modo immediato o automatico, ma sia comunque potenzialmente ricostruibile in via indiretta dal datore di lavoro attraverso altri elementi informativi. La pronuncia rafforza quindi il principio secondo cui la possibilità di identificazione dell’interessato, anche mediata, costituisce il presupposto decisivo per l’applicazione della disciplina sulla protezione dei dati personali.
Keywords: #Privacy #Geolocalizzazione #GPS #ControlloADistanza #DatiPersonali #SupremaCortediCassazione #Cassazione #DirittoDelLavoro #ProtezioneDati #Garante #GPDP #MassimilianoMancini #privacy #protezionedatipersonali #ethicasocietas #ethicasocietasupli #scienzeumane #scienzesociali
Il contesto giuridico della controversia
La decisione della Corte di Cassazione civile, Sezione I, 16 febbraio 2026, n. 3462 si inserisce nel complesso quadro normativo che disciplina l’utilizzo delle tecnologie di localizzazione dei veicoli aziendali e il trattamento dei dati personali dei lavoratori.
La controversia trae origine dall’opposizione proposta da una società destinataria di una ordinanza-ingiunzione del Garante per la protezione dei dati personali, relativa alla violazione degli articoli 37 e 38 del D.Lgs. 196/2003 (Codice della privacy) per mancata notificazione del trattamento dei dati derivanti da un sistema di geolocalizzazione installato sui mezzi aziendali destinati al trasporto di merci su strada.
Secondo l’Autorità garante, la società avrebbe dovuto notificare al Garante il trattamento dei dati di localizzazione derivanti dal sistema GPS utilizzato nella gestione dei veicoli aziendali. La società contestava tuttavia tale obbligo, sostenendo che il sistema non consentiva di identificare direttamente i lavoratori e che la tecnologia era stata sviluppata da un soggetto terzo.
Il giudizio si è sviluppato attraverso diversi gradi di merito fino a giungere alla decisione della Corte di Cassazione, che ha fornito importanti chiarimenti interpretativi in materia di identificabilità del lavoratore e responsabilità del titolare del trattamento.
Geolocalizzazione e dati personali nel rapporto di lavoro
La diffusione dei sistemi di localizzazione satellitare dei veicoli aziendali rappresenta oggi uno strumento sempre più utilizzato dalle imprese per finalità organizzative e gestionali. Tali tecnologie consentono infatti di migliorare la sicurezza dei mezzi, ottimizzare i percorsi di trasporto e ridurre i costi operativi.
Tuttavia, l’impiego di tali strumenti può comportare anche una forma di controllo a distanza dell’attività lavorativa, con conseguenti implicazioni sotto il profilo della tutela dei diritti fondamentali dei lavoratori.
La disciplina italiana ha affrontato questa problematica attraverso un sistema normativo che integra le disposizioni in materia di protezione dei dati personali con quelle relative alla tutela della dignità e della libertà dei lavoratori.
In particolare, l’utilizzo di sistemi tecnologici che consentano il controllo a distanza dell’attività lavorativa deve essere valutato alla luce dell’articolo 4 della legge 20 maggio 1970, n. 300 (Statuto dei lavoratori), il quale impone specifiche garanzie procedurali per l’installazione di strumenti dai quali possa derivare anche indirettamente un controllo sull’attività dei dipendenti e in particolare l’obbligo di accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro.
Parallelamente, il trattamento dei dati di localizzazione deve rispettare le norme norme sulla protezione dei dati personali, che considerano tali informazioni come dati personali quando possono essere ricondotte, anche indirettamente, a una persona identificata o identificabile.
La questione dell’identificabilità indiretta del lavoratore
Il punto centrale della decisione riguarda la nozione di identificabilità dell’interessato, elemento fondamentale per stabilire se un determinato trattamento rientri nell’ambito di applicazione della normativa sulla protezione dei dati personali.
Il Tribunale di merito aveva ritenuto che il sistema GPS utilizzato dalla società non consentisse di identificare automaticamente i lavoratori e che, pertanto, non sussistesse l’obbligo di notificazione previsto dall’articolo 37 del Codice privacy.
La Corte di Cassazione ha invece adottato una interpretazione più ampia del concetto di identificabilità. Secondo la Suprema Corte, ciò che rileva non è la presenza di un sistema automatico di associazione tra dato di localizzazione e nominativo del lavoratore, bensì la possibilità concreta per il datore di lavoro di risalire all’identità del dipendente, anche attraverso informazioni ulteriori.
Nel caso concreto, la società aveva accesso ai dati di geolocalizzazione dei veicoli e disponeva di ulteriori elementi informativi – quali l’assegnazione stabile dei mezzi ai singoli autisti o i dati contenuti nel cronotachigrafo – che rendevano possibile identificare indirettamente il conducente del veicolo.
Per la Corte, questa identificabilità mediata o indiretta è sufficiente a qualificare il trattamento come trattamento di dati personali.
Il ruolo del titolare del trattamento dei dati
Un ulteriore profilo affrontato dalla sentenza riguarda l’individuazione del titolare del trattamento dei dati personali.
La società sosteneva di non poter essere considerata titolare del trattamento in quanto il sistema GPS era stato progettato e gestito da una società terza. La Corte ha respinto tale argomentazione, chiarendo che la titolarità del trattamento non dipende esclusivamente dalla progettazione tecnica del sistema, ma dalla capacità decisionale sulle finalità e sulle modalità del trattamento dei dati.
Nel caso esaminato, la società utilizzava i dati di geolocalizzazione nell’ambito della propria attività imprenditoriale e disponeva delle credenziali di accesso al sistema informativo. Tali elementi sono stati ritenuti sufficienti per attribuire alla società la qualifica di titolare del trattamento dei dati personali.
La responsabilità per il rispetto della normativa sulla privacy non può quindi essere esclusa semplicemente in ragione del coinvolgimento di fornitori esterni o di sistemi tecnologici sviluppati da terzi.
L’obbligo di notificazione al Garante
La Corte ha inoltre chiarito la portata dell’obbligo di notificazione al Garante per la protezione dei dati personali, previsto dall’articolo 37 del Codice privacy nella formulazione vigente all’epoca dei fatti.
Tale disposizione stabiliva l’obbligo di notificare al Garante i trattamenti relativi a dati che indicano la posizione geografica di persone o oggetti mediante reti di comunicazione elettronica.
Secondo la Corte, tale obbligo sussiste anche quando i dati di localizzazione non siano immediatamente associati ai lavoratori, purché sia possibile ricondurli a questi ultimi attraverso ulteriori informazioni disponibili al datore di lavoro.
Di conseguenza, la mancata notificazione del trattamento è stata ritenuta una violazione della normativa sulla protezione dei dati personali, con conseguente legittimità della sanzione amministrativa irrogata dall’Autorità garante.
Il principio di diritto affermato dalla Corte
La pronuncia rafforza un principio interpretativo di particolare rilevanza nel diritto della protezione dei dati personali: la qualificazione di un dato come dato personale non dipende esclusivamente dalla sua capacità di identificare immediatamente un individuo, ma anche dalla possibilità ragionevole di identificazione indiretta.
In questa prospettiva, la Corte sottolinea che il trattamento dei dati di localizzazione dei veicoli aziendali deve essere considerato trattamento di dati personali quando il datore di lavoro è in grado di collegare tali informazioni ai singoli lavoratori attraverso altri elementi informativi disponibili.
Si tratta di un orientamento coerente con l’impostazione sostanziale della normativa europea sulla protezione dei dati, che attribuisce rilevanza alla potenziale identificabilità dell’interessato.
Implicazioni per le imprese e per la tutela dei lavoratori
La sentenza in esame evidenzia come l’utilizzo di tecnologie di monitoraggio e geolocalizzazione richieda un attento bilanciamento tra esigenze organizzative delle imprese e tutela dei diritti fondamentali dei lavoratori.
Le imprese che utilizzano sistemi di localizzazione satellitare devono infatti valutare attentamente:
-
la qualificazione dei dati trattati come dati personali;
-
la corretta individuazione del titolare del trattamento;
-
il rispetto degli obblighi informativi e delle misure di garanzia previste dalla normativa;
-
il rispetto delle disposizioni in materia di controllo a distanza dei lavoratori.
La decisione della Corte di Cassazione rappresenta quindi un importante richiamo alla necessità di adottare un approccio responsabile e conforme alla normativa nell’utilizzo delle tecnologie digitali nei contesti produttivi.
Conclusioni
La sentenza n. 3462 del 2026 conferma un orientamento giurisprudenziale volto a garantire una tutela effettiva dei dati personali dei lavoratori nell’era delle tecnologie digitali.
La Corte di Cassazione chiarisce che la disciplina sulla protezione dei dati personali trova applicazione anche quando l’identificazione del lavoratore non sia immediata o automatica, purché sia ragionevolmente possibile ricondurre i dati a una persona determinata.
In un contesto caratterizzato dalla crescente diffusione di strumenti di monitoraggio tecnologico delle attività lavorative, tale interpretazione assume particolare rilevanza per assicurare che l’innovazione tecnologica si sviluppi nel rispetto dei principi di proporzionalità, trasparenza e tutela della dignità della persona.
SCARICA IL PROVVEDIMENTO: Cassazione Civile, Sez. I, ordinanza 16 febbraio 2026, n. 3462
LE ULTIME SANZIONI DEL GARANTE:
6.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI PORTICI (NA)
50.000 EURO DI SANZIONE DAL GARANTE AL PANOPTICON DEL COMUNE DI TRENTO
12.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI SALENTO (SA)
6.000 EURO DI SANZIONE DAL GARANTE AL COMUNE DI VILLABATE (PA)
100.000 EURO DI SANZIONE DAL GARANTE ALLA REGIONE LAZIO
GLI ULTIMI 5 ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE
UTILIZZO ECCESSIVO DELLE BARRIERE OCR E DELLE FOTOTRAPPOLE
ILLEGALI LE FOTOTRAPPOLE PRIVE DI OMOLOGAZIONE CE DELL’INTERO APPARATO
ILLECITE LE FOTOTRAPPOLE CHE REGISTRANO LOCALMENTE ANCHE IN MANIERA CRIPTATA
DRONI E POLIZIA LOCALE: TRA PRECLUSIONE APPARENTE E SPAZI DI LEGITTIMITÀ OPERATIVA
ULTIMI 5 VIDEO E INTERVISTE SULLA PRIVACY
LE CONCLUSIONI DEL G7 SULLA PRIVACY [CON VIDEO INTEGRALE]
LA PRIVACY SPIEGATA DA UN RAGAZZO NON SOLO AI RAGAZZI [CON VIDEO]
PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI CON AGOSTINO GHIGLIA [CON VIDEO]
PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI-Parte 6 [CON VIDEO]
PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI-Parte 5 [CON VIDEO]
GLI ULTIMI 5 ARTICOLI PUBBLICATI
PREVENIRE L’ALZHEIMER PRIMA DEI SINTOMI
LO STRETTO DI HORMUZ E LA GUERRA SISTEMICA
L’INTELLIGENZA ARTIFICIALE AL SERVIZIO DELL’UOMO
INTELLIGENZA ARTIFICIALE E PROVA NEL PROCESSO
LA DONNA, LA SENSIBILITÀ MASCHILE E LA MISERICORDIA DIVINA
Ethica Societas è una testata giornalistica gratuita e non profit edita da una cooperativa sociale onlus
Copyright Ethica Societas, Human&Social Science Review © 2026 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0