Tracciamento veicoli aziendali tra Codice privacy e GDPR

La geolocalizzazione dei veicoli aziendali integra Trattamento di Dati Personali quando consente di risalire, anche indirettamente, all’identità del lavoratore. Non è richiesta un’associazione automatica o una certezza assoluta dell’identificazione: è sufficiente la concreta possibilità organizzativa di collegare il mezzo al dipendente.

Geolocalizzazione e tracciamento dei veicoli aziendali

La Corte di Cassazione, con ordinanza n.3462 del 16/02/26, esamina il tema dell’obbligo di notificazione al Garante per la Protezione dei Dati Personali previsto dall’art. 37 del d.lgs. n. 196 del 2003 (Codice della privacy), nel testo vigente prima della riforma introdotta nel 2018, con riferimento ai sistemi di geolocalizzazione GPS sui veicoli aziendali.

La decisione chiarisce quando la geolocalizzazione integra un trattamento di dati personali riferibile ai lavoratori e individua le condizioni che, nel regime previgente, rendevano obbligatoria la notificazione preventiva.

Nel regime precedente al 25 maggio 2018, il quadro normativo era disciplinato dall’art. 37 del Codice della privacy, il quale prevedeva un obbligo di notificazione preventiva al Garante per la Protezione dei Dati Personali in presenza di specifiche tipologie di trattamento. In particolare, il comma 1, lettera a), imponeva la notificazione quando il trattamento riguardava dati genetici, dati biometrici oppure dati idonei a indicare la posizione geografica di persone od oggetti mediante rete di comunicazione elettronica.

In tale ambito rientravano anche i sistemi di geolocalizzazione GPS utilizzati in ambito aziendale, qualora consentissero di risalire all’identità del lavoratore, anche indirettamente. La notificazione assolveva a una funzione di controllo preventivo da parte dell’Autorità garante e la sua omissione esponeva il Titolare del Trattamento all’applicazione di sanzioni amministrative.

L’esonero previsto dal provvedimento del Garante del 31 marzo 2004

Con delibera n. 1 del 31 marzo 2004, il Garante aveva escluso dall’obbligo di notificazione i trattamenti relativi alla posizione geografica dei mezzi di trasporto effettuati esclusivamente a fini di sicurezza del trasporto.

L’esonero dall’obbligo di notificazione non trovava applicazione quando il sistema di geolocalizzazione GPS era impiegato anche per finalità ulteriori rispetto alla sicurezza del trasporto, quali l’ottimizzazione dei percorsi, la riduzione dei costi aziendali, il monitoraggio dell’attività lavorativa o il controllo del patrimonio aziendale.

La condizione dell’utilizzo esclusivo per finalità di sicurezza costituiva, pertanto, un presupposto determinante per beneficiare dell’esenzione prevista dal provvedimento del Garante.

Il caso esaminato dalla Cassazione n. 3462/2026

La vicenda trae origine dall’utilizzo, da parte di una società operante nel trasporto di merci su strada, di un sistema di tracciamento GPS installato su quattro veicoli aziendali, ciascuno stabilmente assegnato a un conducente.

Il Garante contestava alla società l’omessa notificazione del trattamento ai sensi dell’art. 37 del Codice della Privacy, ritenendo che il sistema di geolocalizzazione fosse idoneo a trattare dati personali riferibili ai lavoratori.

La società proponeva opposizione sostenendo che il sistema non consentisse l’identificazione automatica dei conducenti e che, pertanto, non ricorressero i presupposti per l’obbligo di notificazione.

L’iter processuale

In un primo momento, il Tribunale accoglieva l’opposizione della società. Successivamente, in sede di legittimità, veniva disposto il rinvio per un nuovo esame della controversia.

Il giudice di merito, in sede di rinvio, accoglieva nuovamente l’opposizione, ritenendo che l’identificazione dei lavoratori non fosse né automatica né caratterizzata da certezza assoluta.

A seguito di ciò veniva proposto un nuovo ricorso per cassazione.

Con ordinanza n. 3462/2026, il ricorso è stato accolto, la sentenza impugnata cassata e, decidendo nel merito, l’opposizione originariamente proposta dalla società veniva rigettata.

La Corte ha infatti chiarito che, nel regime previgente, l’obbligo di notificazione previsto dall’art. 37 del Codice della Privacy sussisteva ogni qualvolta il sistema di geolocalizzazione fosse idoneo a rendere identificabile il lavoratore, anche in via indiretta.

Nel caso concreto, la possibilità di identificazione discendeva da elementi organizzativi oggettivi: ciascun veicolo era stabilmente assegnato a uno specifico autista, il numero dei mezzi e dei conducenti era limitato e la società poteva consultare il cronotachigrafo, contenente i dati identificativi del conducente. Tali circostanze consentivano di collegare il dato di posizione al singolo lavoratore.

Non è richiesto che l’associazione tra veicolo e nominativo avvenga in modo automatico, né che l’identificazione sia effettuata mediante codici o strumenti informatici dedicati. È sufficiente la concreta possibilità, sul piano organizzativo e funzionale, di ricondurre il dato di geolocalizzazione al lavoratore interessato.

Geolocalizzazione e principi del GDPR

L’eliminazione dell’obbligo di notificazione non comporta una riduzione del livello di tutela previsto dall’ordinamento.

Al contrario, il trattamento dei dati personali mediante sistemi di geolocalizzazione GPS deve oggi essere valutato alla luce dei principi generali stabiliti dall’art. 5 del GDPR.

In particolare, il trattamento deve essere improntato a:

- liceità, correttezza e trasparenza nei confronti degli interessati;

- limitazione della finalità, con individuazione preventiva di scopi determinati, espliciti e legittimi;

- minimizzazione dei dati, evitando la raccolta di informazioni eccedenti rispetto alle finalità perseguite;

- limitazione della conservazione, con definizione di tempi proporzionati;

- integrità e riservatezza, mediante adeguate misure tecniche e organizzative.

Il Titolare del Trattamento è tenuto a individuare una base giuridica ai sensi dell’art. 6 GDPR, che nel contesto lavorativo è generalmente rappresentata dall’esecuzione del contratto, dall’adempimento di obblighi legali o dal legittimo interesse, previa valutazione di bilanciamento.

Obbligo di valutazione d’impatto (DPIA)

L’utilizzo di sistemi di geolocalizzazione dei veicoli aziendali può integrare un monitoraggio sistematico dell’attività lavorativa, con possibili effetti sui diritti e sulle libertà dei dipendenti.

In tali casi può rendersi necessaria una Valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR.

La DPIA è richiesta quando il Trattamento presenta un rischio elevato, in particolare in presenza di controllo sistematico dei lavoratori o di trattamenti su larga scala.

La valutazione deve analizzare i rischi, individuare misure tecniche e organizzative adeguate e documentare le scelte effettuate dal titolare. Qualora permanga un rischio elevato non mitigabile, è prevista la consultazione preventiva del Garante ai sensi dell’art. 36 del GDPR.

L'adeguamento alle normative della Privacy e dei principi del regolamento europeo sui dati personali (GDPR) è sempre materia molto attuale e in continua evoluzione, pensare che i controlli o le segnalazioni non avvengano più è controproducente e può farci correre sempre di più il rischio di incorrere in notevoli sanzioni e procedimenti.

(Fonte: FederPrivacy)

Vorresti maggiori informazioni o una consulenza gratuita per adeguare la tua attività alla normativa europea sul GDPR? Contattaci oggi stesso per ricevere assistenza e dormire sonni tranquilli!

Enterprise Solutions

Tel. 0584 17 16 857 (4 linee r.a.)

Email: info@enterprise-solutions.net

Seguici anche su Facebook