Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

L’uso dei dispositivi wearable nell’attività lavorativa: ecco lo scenario normativo

Non è possibile regolare l’uso dei dispositivi wearable nell’attività lavorativa con norme specifiche e settoriali soggette alla medesima obsolescenza della tecnologia stessa, ma piuttosto tramite il rispetto dei principi generali in ambito privacy indicati dal GDPR e seguendo il solco delle norme giuslavoristiche a tutela della libertà e dignità dei lavoratori. Ecco lo scenario normativo

24 Dic 2019
O
Francesca Orfanelli

Funzionario presso Autorità Garante per la protezione dei dati personali


È di questo novembre la notizia dell’acquisizione da parte di Google di Fitbit, leader nel campo delle tecnologie indossabili.

Il “Fitbit” è l’esempio per antonomasia di “wearable”, un segmento di prodotti diffusi nel mercato della c.d. “Internet of Things”. Trattasi, come noto, di piccoli apparati indossabili, incorporati nel vestiario o potenzialmente passibili di essere impiantati nel corpo, dotati di sensori e localizzatori, caratterizzati da connettività e utilizzati di regola tramite applicazioni software abbinate ad un device.

Dispositivi wearable nell’attività lavorativa: le norme

All’allarme espresso dal Garante Privacy rispetto alla concentrazione di informazioni e quindi di potere in capo a Google con riguardo all’acquisizione di Fitbit, si aggiunge un diverso profilo di delicatezza qualora dispositivi wearable siano utilizzati in ambito lavorativo, contesto caratterizzato tradizionalmente da un’asimmetria di potere tra datore di lavoro e lavoratore.

Erano i primi mesi del 2018 quando Amazon annunciava l’intenzione di introdurre braccialetti elettronici nei magazzini italiani. Il caso sollevò un’onda mediatica considerevole, proprio poco prima dell’entrata in diretta applicazione del Regolamento europeo Generale sulla protezione dati (c.d. GDPR).

Ma cosa prescrivono e come rispondono le norme europee e quelle italiane alle questioni inerenti alla protezione dei dati poste dai dispositivi indossabili nel particolare contesto del rapporto di lavoro?

Il GDPR dispone che gli Stati membri possono prevedere norme specifiche (anche tramite contratti collettivi) per assicurare la protezione dei diritti e delle libertà dei dipendenti, per finalità di esecuzione del contratto di lavoro, di adempimento degli obblighi di legge, di gestione ed organizzazione del lavoro, di salute e sicurezza sul lavoro, di protezione della proprietà dell’imprenditore e via dicendo.

Il GDPR rinvia pertanto alla normativa degli Stati membri, vista la specificità giuridica nazionale intrinseca del rapporto di lavoro.

Con riferimento al tema che qui ci interessa, il Codice Privacy (così come riformato dal D.lgs. n. 101/2018) al Titolo VIII richiama l’art. 4 della legge n. 300 del 1970 (c.d. “Statuto dei lavoratori”), ossia la regolamentazione inerente agli impianti audiovisivi e altri strumenti di controllo, il cui testo a seguito delle riforme del c.d. Jobs Act, è stato rimaneggiato ed è oggi costituito da tre commi.

Il primo comma disciplina gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori che possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo sindacale o previa autorizzazione dell’ispettorato del lavoro.

Il comma 2 prevede una deroga per gli strumenti utilizzati per rendere la prestazione lavorativa e per gli strumenti di registrazione degli accessi e delle presenze.

In base al comma 3, infine, le informazioni raccolte ai sensi dei commi precedenti sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Codice Privacy (e si legga oggi anche del GDPR).

WEBINAR
Ecco come la Simulazione 3D e il Virtual Manufacturing può aiutare la tua impresa.
IoT
IoT

Impossibile, quindi, non fare i conti con la disciplina giuslavoristica richiamata a monte dalla normativa privacy quando un datore di lavoro intenda fornire wearable ai propri dipendenti.

Occorrerà individuare la procedura necessaria secondo le norme di diritto del lavoro, tenendo presente che, nella maggior parte dei casi, si rientrerà nell’ambito di applicazione del comma 1 in quanto strumenti non riconducibili (salvo casi eccezionali) a strumenti di lavoro (nell’accezione adottata dalla giurisprudenza, prassi e dottrina, ossia strumenti che siano indispensabili e funzionali alla prestazione lavorativa).

Dispositivi wearable nell’attività lavorativa: la compliance al GDPR

Allo stato (tenendo tuttavia presente un’evoluzione incessante dell’organizzazione del lavoro, si prenda quale esempio uno per tutti il settore della gig economy) si ipotizza infatti più verosimilmente la fornitura da parte dell’imprenditore di wearable proprio come strumenti, introdotti per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale dai quali può derivare, per loro intrinseca caratteristica, non solo la possibilità di controllo a distanza dell’attività lavorativa, ma anche la raccolta di informazioni e dati fortemente invasivi della privacy dei dipendenti.

Superato pertanto lo scoglio della normativa di riferimento nazionale e le resistenze e diffidenze connaturate all’introduzione di sistemi innovativi di cui spesso non si ha contezza del potenziale inespresso, l’imprenditore dovrà innanzitutto in base all’art. 24 del GDPR, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà dei lavoratori, mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.

Il che significa rispettare i principi dell’art. 5 del GDPR (tra gli altri liceità e trasparenza; limitazione della finalità; minimizzazione e limitazione della conservazione; integrità e riservatezza) e essere in grado di dimostrarlo (c.d. accountability).

Ma ancor prima adottare soluzioni rispettose dei principi di cui all’art. 25 del GDPR ossia della protezione dei dati fin dalla progettazione e per impostazione predefinita (c.d. privacy by design e default) tanto quindi nella scelta iniziale del dispositivo indossabile, quanto nella sua configurazione e fino al suo effettivo e concreto funzionamento.

Compito arduo, stante la complessità di sistemi che combinano di regola soluzioni hardware e software, che si appoggiano a sistemi operativi, applicazioni e DB forniti da OTT (di frequente localizzati fuori dal territorio europeo), spesso standard e talora caratterizzati da poca trasparenza e rispetto ai quali sussistono una molteplicità di attori che, lato privacy, devono essere inquadrati in figure determinate (ad es. responsabili ex art. 28 del GDPR).

Dirimente lato privacy è ovviamente l’indicazione della o delle diverse finalità del trattamento, e le relative basi giuridiche, rammentando che in ambito lavorativo la tentazione di basare trattamenti di dati del lavoratore sul consenso si scontra con la necessità della libertà della scelta, ritenuta difficilmente applicabile in un contesto quale quello lavorativo, relegando il consenso a base giuridica del tutto residuale.

Fondamentale anche la tipologia di dati raccolti dal dispositivo, che potrebbe comunque per natura stessa del wearable sconfinare facilmente in trattamento di categorie particolari di dati, di dati biometrici o comunque di dati che l’oggi abrogato art. 17 del Codice Privacy individuava come dati “quasi sensibili” ovverosia dati che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura, alle modalità del trattamento o agli effetti che può determinare.

Dispositivi wearable nell’attività lavorativa: la DPIA

Se prima del GDPR per queste categorie di dati era necessario sottoporre la questione a verifica preliminare del Garante Privacy, oggi non si può prescindere dall’effettuazione di una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del GDPR.

Ciò è confermato dall’elenco delle tipologie di trattamenti da sottoporre a tale valutazione in quanto soggette al meccanismo di coerenza tra i quali vengono indicati i trattamenti effettuati attraverso l’uso di tecnologie innovative.

Tra questi sono citati proprio i monitoraggi effettuati da dispositivi wearable, ogniqualvolta ricorra anche almeno un altro dei criteri individuati dall’EDPB (European Data Protection Board) nel WP 248, quali ad esempio il trattamento di dati relativi ad interessati vulnerabili (tra cui si possono annoverare i lavoratori), l’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, il monitoraggio sistematico, il trattamento di dati sensibili o aventi carattere altamente personale.

Tutti elementi che i dispositivi wearable presentano per loro stessa predisposizione e natura.

In materia all’inizio del 2019 si è espresso anche il Garante Privacy con un provvedimento di febbraio (docweb 9094427) a chiusura di un procedimento avviato nei confronti di una società di raccolta rifiuti che aveva consegnato ai dipendenti che svolgevano il servizio di spazzamento su strada dispositivi indossabili sul polso (tipo “braccialetto”) dotati anche di un gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo.

L’Autorità, pur giudicando tale configurazione non in contrasto con i principi di necessità e proporzionalità del GDPR rispetto alle finalità perseguite dalla società, e ponendo l’accento sul principio di responsabilizzazione, ha tuttavia ritenuto necessario individuare ulteriori misure maggiormente rispettose della dignità dei lavoratori.

Oltre a confermare la necessità di stipula di un accordo sindacale (costituente condizione di liceità del trattamento) e di una compiuta informativa ai soggetti interessati, il Garante ha prescritto alla società di individuare tempi di conservazione ristretti e pertinenti rispetto alla finalità perseguita e di indicare preventivamente e tassativamente i casi specifici nei quali si renderà necessario interconnettere le informazioni allo scopo di poter ricostruire fatti oggetto di contestazione, nonché la necessità di adottare misure organizzative e tecnologiche per mantenere distinte (segregate) le basi di dati.

Il Garante ha altresì raccomandato l’adozione di un dispositivo che per le sue caratteristiche esteriori non sia lesivo della dignità del lavoratore ed invitato all’effettuazione di una valutazione di impatto sulla protezione dei dati.

Conclusioni

Da questa breve panoramica sull’uso dei dispositivi wearable nell’attività lavorativa è evidente pertanto che a sistemi complessi e alle nuove sfide poste dalle tecnologie non si possa dare risposta con normative specifiche e settoriali soggette alla medesima obsolescenza della tecnologia stessa, ma piuttosto tramite il rispetto dei principi generali in ambito privacy quali quelli indicati all’art.5 del GDPR, mediante un processo di analisi e valutazione del rischio, rendicontando e rispondendo delle scelte adottate sulla base dell’accountability e seguendo il solco delle norme giuslavoristiche a tutela della libertà e dignità dei lavoratori.

In prospettiva uno strumento utile potrebbero essere le Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro che, ai sensi dell’articolo 2-quater del Codice Privacy, sono promosse dal Garante Privacy e che fungerebbero da ulteriore presidio per i dipendenti e da ausilio per le imprese.

WHITEPAPER
Industry 4.0: come sfruttare il potenziale dei dati per ottimizzare i processi?
IoT
Industria 4.0

Contributo a titolo personale: le opinioni espresse non vincolano in alcun modo l’Autorità

@RIPRODUZIONE RISERVATA

Articolo 1 di 5