Un imprenditore veneto installa un sistema GPS sui furgoni della sua flotta: lo fa per ottimizzare i percorsi, ridurre i costi carburante e tutelarsi dai furti. Tutto ragionevole, tutto comprensibile. Eppure, senza saperlo, sta trattando dati personali dei propri dipendenti senza aver adempiuto agli obblighi del Regolamento (UE) 2016/679 — il GDPR — e rischia una sanzione amministrativa. Questa situazione non è un caso isolato: è la quotidianità di migliaia di piccole e medie imprese italiane, venete in particolare, in un territorio dove manifattura, logistica e artigianato di qualità convivono con un livello medio di adeguamento privacy ancora insufficiente.
Il punto critico, spesso sottovalutato, è che il GDPR nel rapporto di lavoro non riguarda solo i clienti o i fornitori. Riguarda in modo diretto e penetrante i lavoratori dipendenti: i loro spostamenti, le loro comunicazioni elettroniche, le loro prestazioni monitorate. Ed è proprio su questo fronte che si concentrano oggi le ispezioni del Garante e la giurisprudenza più recente.
Geolocalizzazione dei veicoli: titolare del trattamento sei tu, anche se il GPS lo ha installato un terzo
Vigilantibus iura subveniunt: il diritto tutela chi vigila, non chi ignora. È un principio antico che la giurisprudenza recente ha reso bruciante per le PMI che utilizzano sistemi di localizzazione satellitare.
Con l'ordinanza del 16 febbraio 2026, n. 3462, la Corte di Cassazione, Sez. I civile, è intervenuta sull'obbligo di notifica al Garante previsto dall'art. 37, comma 1, lett. a), D.Lgs. 196/2003 (nel testo previgente), definendo con precisione la responsabilità del titolare del trattamento in materia di geolocalizzazione dei veicoli aziendali.
Il cuore della pronuncia è di portata pratica immediata: la tutela dei dati personali si applica anche quando l'identificazione del lavoratore non avvenga in modo immediato o automatico, ma sia comunque potenzialmente ricostruibile in via indiretta dal datore di lavoro attraverso altri elementi informativi. In parole concrete: se il furgone è assegnato stabilmente a un autista, o se i dati del cronotachigrafo permettono di risalire al conducente, i dati di localizzazione del veicolo costituiscono dati personali. Non è necessario che l'identificazione avvenga automaticamente tramite codici o sistemi informatici, né che vi sia certezza assoluta dell'identità: è sufficiente la concreta possibilità per il datore di lavoro di individuare il conducente, ad esempio mediante l'assegnazione del veicolo o attraverso strumenti come il cronotachigrafo.
Ma c'è un secondo profilo ancora più insidioso: titolare del trattamento dei dati personali è l'entità che esercita un potere decisionale autonomo sulle finalità e modalità del trattamento, quand'anche il sistema tecnologico sia gestito da soggetti terzi. Questo significa che il fatto di aver "comprato" il sistema GPS da un fornitore esterno, o di averlo ricevuto in dotazione da una società capogruppo, non trasferisce altrove la responsabilità. Il titolare del trattamento rimane il datore di lavoro. Punto.
Gli adempimenti concreti che ne derivano, alla luce del GDPR vigente, sono precisi: aggiornamento del registro delle attività di trattamento ex art. 30 GDPR, adeguata informativa ai lavoratori ex art. 13 GDPR, eventuale valutazione d'impatto (DPIA) se il sistema di monitoraggio presenta rischi elevati per i diritti degli interessati, e — quando il sistema consente un controllo a distanza dell'attività lavorativa — accordo con le rappresentanze sindacali o autorizzazione dell'Ispettorato del Lavoro ai sensi dell'art. 4 dello Statuto dei Lavoratori. Le imprese che utilizzano sistemi di localizzazione satellitare devono valutare attentamente: la qualificazione dei dati trattati come dati personali, la corretta individuazione del titolare del trattamento, il rispetto degli obblighi informativi e delle misure di garanzia previste dalla normativa, il rispetto delle disposizioni in materia di controllo a distanza dei lavoratori.
Email aziendale e fine del rapporto di lavoro: un terreno ancora scivoloso
L'altro fronte caldo per le PMI riguarda la gestione delle caselle email dei dipendenti, soprattutto dopo la cessazione del rapporto di lavoro. Il tema è stato affrontato di recente dal Garante con il provvedimento del 12 marzo 2026, n. 164, che conferma un orientamento già noto ma che le imprese continuano a violare sistematicamente.
Come ribadito dall'Autorità in quel provvedimento, la legittima necessità di assicurare la conservazione di documentazione necessaria per il normale svolgimento dell'attività aziendale è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali — attraverso l'adozione di appropriate misure organizzative e tecnologiche — individuare i documenti da archiviare con modalità idonee a garantire autenticità, integrità, affidabilità, leggibilità e reperibilità.
Il punto cruciale: i sistemi di posta elettronica non sono strumenti di archiviazione documentale conformi. Conservare indefinitamente la casella email di un ex dipendente — magari mantenendola attiva per "ricevere i messaggi in arrivo" — senza aver provveduto a oscurare o disattivare l'account entro un termine ragionevole configura un trattamento illecito. La PMI che lo fa, anche in buona fede, risponde come titolare del trattamento. Le misure corrette comprendono: disattivazione dell'account entro un termine massimo (di norma 30-90 giorni), messaggio automatico di risposta che informa i mittenti della nuova modalità di contatto, e divieto assoluto di accesso retroattivo ai messaggi già ricevuti, salvo casi eccezionali e documentati.
Il principio giuridico sotteso è quello di minimizzazione dei dati ex art. 5, par. 1, lett. c), GDPR: i dati personali devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati". Trattenersi casella email e relativi contenuti oltre il necessario viola strutturalmente questo principio.
Il quadro è ulteriormente complicato da un orientamento giurisprudenziale che ridefinisce i tempi entro cui il Garante può sanzionare. La Corte di Cassazione, Sez. I civile, con la sentenza del 17 gennaio 2026, n. 984 (Pres. Tricomi, Rel. Pazzi), ha sancito il carattere perentorio del termine di 120 giorni per l'esercizio del potere sanzionatorio del Garante Privacy. In concreto: il procedimento amministrativo dinnanzi al Garante si articola in una fase investigativa e una sanzionatoria in senso stretto; quest'ultima gode di un termine di 120 giorni per l'irrogazione della sanzione, così come previsto dal Regolamento del Garante n. 2/2019, termine decorrente non dall'avvio del procedimento bensì dall'effettivo accertamento della violazione e dalla notificazione della contestazione al titolare.
La Corte motiva questa conclusione richiamando principi fondamentali dell'ordinamento, come la certezza del diritto e il pieno esercizio del diritto di difesa. Un sistema sanzionatorio efficace richiede che tra l'accertamento dell'illecito e l'eventuale punizione vi sia una ragionevole vicinanza temporale. L'assenza di un limite temporale vincolante finirebbe per attribuire alla pubblica amministrazione un vantaggio eccessivo rispetto ai soggetti sottoposti al procedimento.
Questo orientamento non significa che le PMI possano sentirsi al riparo da controlli pregressi: il tempo non mette al sicuro. Anche se una violazione non viene contestata subito, non significa che non lo sarà mai. Servono regole chiare, ma serve anche prevenzione reale. Quello che la sentenza garantisce è che, una volta avviato il procedimento, l'Autorità debba agire nei termini. Ma il potere ispettivo rimane pieno e attivo.
Il piano delle ispezioni del primo semestre del Garante ne è la prova. Le ispezioni del Garante consistono nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati da un'azienda, e non si tratta di controlli puramente formali o documentali, ma sono volte ad accertare che i trattamenti di dati personali avvengano in conformità al GDPR e alla normativa correlata. Le ispezioni saranno effettuate anche in collaborazione con il Nucleo Speciale Tutela privacy e frodi informatiche della Guardia di Finanza, e oltre alle attività programmate il Garante ed il Nucleo potranno condurre ulteriori attività ispettive a seguito di segnalazioni o di reclami da parte degli interessati.
Cosa deve fare concretamente una PMI veneta oggi
Luigi Pirandello scrisse che "la vita o si vive o si scrive": nel diritto della protezione dei dati, parafrasando, o ci si adegua o si viene sanzionati. La compliance GDPR nel rapporto di lavoro non è un esercizio burocratico, ma un presidio concreto di legalità dell'organizzazione.
Le priorità operative per una PMI con dipendenti sono chiare. In primo luogo, mappare tutti gli strumenti di monitoraggio in uso — GPS, badge elettronici, software di produttività, sistemi di videosorveglianza — e verificare se il registro delle attività di trattamento li contempli con le corrette basi giuridiche. In secondo luogo, verificare le informative consegnate ai dipendenti: devono essere aggiornate, comprensibili e complete di tutti i riferimenti ex artt. 13-14 GDPR, incluse le finalità del monitoraggio e i tempi di conservazione dei dati. In terzo luogo, aggiornare le policy sull'uso degli strumenti aziendali, disciplinando esplicitamente email, dispositivi mobili e sistemi di geolocalizzazione. In quarto luogo, presidiare il momento della cessazione del rapporto di lavoro: la disattivazione degli account, la restituzione dei dati e la gestione delle credenziali sono fasi ad alto rischio di violazione.
Il vero problema per le piccole aziende non è solo la sanzione economica. Molte PMI usano modelli standard, copiano informative, non aggiornano procedure, non documentano le attività di trattamento: questo le espone a rischi inutili, spesso evitabili con strumenti adeguati.
Un aspetto che gli articoli di settore raramente evidenziano è quello della colpa organizzativa: il Garante, nel valutare la sanzione, tiene conto non solo della violazione in sé ma del sistema complessivo di presidio. Un'impresa che può dimostrare di avere un registro aggiornato, procedure scritte e formazione documentata al personale ottiene trattamenti sanzionatori significativamente più favorevoli rispetto a chi non ha nulla. Il GDPR, del resto, è fondato sul principio di accountability: non basta essere conformi, bisogna poterlo dimostrare.
Per le imprese del Nord-Est, con strutture organizzative spesso snelle e risorse legali interne limitate, il rischio non è l'impresa da mille dipendenti: è il trasportatore con sei furgoni, l'artigiano con otto operai, la società di servizi con dodici tecnici itineranti. Sono loro il bersaglio statistico più probabile — non perché il Garante li cerchi, ma perché sono i più esposti, i meno strutturati e i più difficilmente raggiungibili dalle campagne di sensibilizzazione.
Il principio vigilantibus iura subveniunt non è solo un monito: è una mappa. Il diritto protegge chi si attiva. E nell'era della protezione dei dati, attivarsi significa costruire una compliance reale, documentata e viva — non un file polveroso mai aggiornato.
Redazione - Staff Studio Legale MP
