L’identificabilità di un lavoratore da parte del datore di lavoro, ancorché indiretta e finanche ove svolta attraverso l’apporto di un terzo, sottende un trattamento di dati personali e implica, conseguentemente, l’adempimento di tutti gli oneri previsti dalla normativa in materia.
È quanto ha stabilito la Corte di Cassazione con l’ordinanza, della sezione Lavoro, n. 3462/2026 dell’8 gennaio 2026.
Secondo la Suprema Regolatrice, infatti, l’identificabilità del prestatore, anche se indiretta e non automatica (in ispecie, mediante sistemi di geolocalizzazione), è sufficiente a qualificare i dati così ottenuti alla stregua di dati personali, come tali soggetti alla disciplina della privacy.
Tale orientamento è pienamente in linea con la nozione di cui al disposto dell’art. 4, n. 1, del GDPR (Regolamento UE 679/2016), che definisce il “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”; donde, la possibilità di identificazione può sussistere “direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Non dissimile la giurisprudenza della stessa Authority. Col provvedimento n. 9039395/2018, ad esempio, essa ha chiarito che la localizzazione postula un dato personale allorché permetta di individuare in maniera continuativa l’ubicazione e di risalire all’identità degli interessati, anche indirettamente. Analogamente, col provvedimento n. 8990783/2018, ha specificato che la “continuità” della rilevazione della posizione ricorre ogniqualvolta il titolare del trattamento sia in grado di conoscere la posizione di un veicolo “in qualsiasi momento, automaticamente o meno” e di risalire all’identità del relativo conducente, pure se in modo indiretto e – come chiarito dal più risalente provv. 1531604/2008 – vieppiù alla luce di meri codici.
Secondo gli ermellini, altresì, il datore di lavoro che si avvalga di un sistema di geolocalizzazione dei propri dipendenti va considerato titolare del trattamento dati in considerazione dell’esercizio – ex art. 4, n. 7, del GDPR – di un potere decisionale autonomo circa finalità e modalità di esso; laddove, poi, il fornitore esterno di questo sistema è responsabile del trattamento in questione, svolgendolo appunto – ex art. 4, n. 8, del GDPR – per conto del titolare stesso (cfr. Garante della privacy, provv. 1531604/2008; come pure: European Data Protection Board, linee guida sul consenso, 07/2020).
Tant’è che, in tutte le ipotesi in questione, è tenuto il datore di lavoro – ex art. 28 del GDPR – alla designazione del fornitore del prefato servizio di geolocalizzazione quale responsabile del trattamento dati e alla stipulazione di apposito contratto all’uopo preordinato (cfr. Garante della privacy, provv. 9861249/2022).
Ciò, vertendosi di trattamento dati praticato mercé uso di nuove tecnologie atte a istituire un monitoraggio sistematico su larga scala nei confronti di interessati “vulnerabili” quali sono i lavoratori e quindi a comportare rischi elevati per i diritti e le libertà di codeste persone fisiche, implica, ulteriormente, l’obbligo a carico del datore di lavoro – ex art. 35 del GDPR – di effettuare una valutazione d’impatto sulla protezione dei dati (cfr. Garante della privacy, provv. 9861249/2022 e 9675440/2021 e 9685994/2021).
Senza tacer dell’imprescindibilità dell’enucleazione – ex art. 6 del GDPR – della base giuridica del trattamento dati, che ben potrebbe coincidere con l’adempimento degli obblighi legali di controllo di cui al disposto dell’art. 4 della L. 300/1970, purché sia stato previamente stipulato un accordo collettivo con le rappresentanze sindacali unitarie o aziendali ovvero, in mancanza, sia intervenuta esplicita autorizzazione dell’Ispettorato Nazionale del Lavoro (cfr. Cass. civ., 32835/2025; ma anche Garante della privacy, provv. 10139433/2025 e 10019506/2024 e 3534543/2014).
