A ver, por partes.
1) Por un lado, "el wifi" puede ayudar a geolocalizarte por la IP con la que navegas. Pero ojo, es muy muy poco fiable. Esta práctica solo se usa si no queda otra alternativa. Imagina una web/servicio que quiere geolocalizarte pero no tiene acceso al GPS de tu dispositivo. Pues mejor eso que nada. Ahora bien, no todas las operadoras geolocalizan las IPs cerca del usuario (algunas geolocalizan todas las IPs de una provincia o CCAA en la capital o segunda ciudad y tira millas), no todas mantienen el listado súper actualizado al día y/o no todas las BBDD están actualizadas al minuto (a mí puntualmente me han llegado a tocar IPs que me ubicaban a 600KM) e incluso en algunas redes todas las IPs están centralizadas y no geolocalizadas en un ámbito particular (por ejemplo, es común en la red móvil que salgas con IP geolocalizada en Madrid)
2) Por otro, también puede haber BBDD que recojan qué SSIDs se ubican en cada calle. Esto es fácil de hacer (y de evitar) pero bastante caro y no merece la pena. Por ejemplo, se acusó a Google hace más de una década de utilizar los coches de Google Maps StreetView para recoger SSIDs. Lo puedes hacer hasta con tu móvil: camina por una calle, registra los nombres de los SSIDs y/o sus características (tipo de protocolo, seguridad, mac si suelta, etc.) y tu ubicación en ese momento.
Ahora bien, posteriormente, necesitarás conocer el nombre de la red wifi del domicilio del usuario, algo que es harto difícil o imposible según quién seas (si eres Google/Apple/Microsoft, puede que puedas obtenerlo por el SO de cada uno; sino, veo difícil que un tercero pueda averiguar los datos del wifi que estás usando sin pedirte permiso previo; y eso, si es que ese tercero dispone de una BBDD gigantesca de SSIDs y wifis, y actualizada.
El punto 1 ocurre a diario, aunque hay empresas que ni lo usan ya por lo poco fiable (mira los dramas con las IPs de Digi que geolocalizaban en Rumanía o en Irán); y el punto 2 es más paranoia que algo real.
La vigilancia real viene por otros ámbitos, y también dependiendo del actor en cuestión. Puedes tener un dispositivo vulnerable a Pegasus y que te vigilen por múltiples vías (lo más fácil, asistencia GPS intermitente en ráfagas, consumiendo mínima batería y datos para no alertar al usuario), pero también mediante el uso de redes alternativas (piensa redes de localización como AirTag, que en manos de un mal actor, permiten ubicar cualquier dispositivo independientemente de la configuración (Bluetooth apagado) e incluso estando apagado o sin cobertura).
Es un tema muy muy abierto. ¿Te vigila Google o Apple? NO. Invaden tu privacidad para sacarle provecho (hacer que la publi sea más efectiva y aumente la probabilidad de que clickes, generando más beneficio al que vende esos anuncios, Google; o para generar analíticas anónimas que mejoren sus productos) pero no te "vigilan".
¿Te puede vigilar un tercer actor? Sí, por poder, tu pareja, tu empresa o tu abuela, por poder. ¿Usarán el wifi para geolocalizarte? No creo, tienen mil y unas formas de vigilarte desde distintos puntos de ataque dependiendo de cuál sea el objetivo de la vigilancia y de cuál sea tu modelo de "seguridad".