GUIDA NORMATIVA

Sistemi MES e privacy: ecco quando è lecita la raccolta dei dati in produzione

L’uso dei sistemi MES per la raccolta dei dati di produzione nasconde non poche insidie relative alla privacy in quanto, se questi stessi dati non vengono aggregati possono essere riconducibili ai singoli operatori e utilizzati per controllare il lavoratore. Ecco alcune regole di corretta gestione

15 Feb 2022
G
Marco Gentilini

Consulente Privacy & DPO, marketing & software IT

I sistemi MES (Monitoring Execution System) utilizzati per la raccolta dei dati di produzione, hanno conosciuto una vera e propria esplosione negli ultimi anni con l’avvento dell’Industria 4.0. Conoscere in tempo reale lo stato di avanzamento della produzione e far fronte ad eventi come fermi macchina, ritardi di approvvigionamento o inserimento di ordini urgenti è ormai diventato un must per le aziende che devono stare al passo con i ritmi accelerati che impongono i nuovi mercati globali.

Questi sistemi, che sono spesso interfacciati oltre che con le macchine anche con i sistemi di gestione HR per il controllo degli accessi e le paghe, rilevano e producono un’enorme quantità di informazioni tra cui:

  1. tempi relativi alle fasi ed ai cicli di lavoro;
  2. quantità di pezzi prodotti, scarti;
  3. qualità dei semilavorati e dei prodotti finiti;
  4. fermi macchina e uomo;
  5. materiali impiegati;
  6. dati statistici sulle rese operative di macchine, centri di lavoro, risorse umane e reparti

Molti di questi dati provengono direttamente dalle macchine collegate tramite CNC, ma altri vengono direttamente inputati dagli operatori che lavorano a bordo macchina o nei reparti logistici, di assemblaggio e collaudo.

Ne consegue che la grande mole di dati che viene generata andrà ad alimentare in parte il sistema ERP per aggiornare i dati di produzione e la reportistica di consuntivazione.

Monitoraggio continuo in cyber security: un approccio metodologico

Sistemi MES e privacy: ecco le insidie

È proprio su questa reportistica che si possono nascondere le insidie relative alla privacy, in quanto, se i dati non vengono aggregati per reparto, commessa ecc., possono essere riconducibili ai singoli operatori, potendo quindi essere utilizzati per controllare il lavoratore mediante la rilevazione di dati come:

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
  • rese lavorative;
  • fermi improduttivi non giustificati;
  • durata delle pause.

Se questo, da un lato, potrebbe sembrare un diritto legittimo da parte del datore di lavoro, dall’altro si scontra con norme che non sono proprio dell’ultima ora come, ad esempio, l’art.4 della Legge 300 del 1970 meglio conosciuta come Statuto del lavoratore che disciplina la materia dei controlli a distanza sui lavoratori.

Tale normativa è stata, per così dire, “mitigata” dal più recente D.lgs. 151 del 2015 (o Jobs Act) che ha allentato un po’ le maglie riguardo a quei trattamenti che, anche solo potenzialmente possono essere usati per i controlli quali, ad esempio, videosorveglianza e geolocalizzazione, rendendoli ammissibili solo se ricorrono le seguenti tre condizioni:

  1. ragioni organizzative e produttive;
  2. sicurezza dei luoghi di lavoro;
  3. tutela del patrimonio aziendale.

Va anche precisato che non sono sufficienti le tre condizioni di cui sopra per porre in atto il trattamento dati che deve essere avvallato da un accordo sindacale o da una autorizzazione della ITL.

I sistemi MES sono mai stati oggetto di “attenzioni” da parte delle Autorità Competenti?

Diciamo che, proprio per la loro destinazione d’uso, più focalizzata sui controlli dei dati produttivi che non sui lavoratori, non sono mai stati particolarmente nel mirino forse perché i dati personali erano ritenuti marginali e poco impattanti sul lavoratore stesso.

Un recente provvedimento del Garante della Protezione Dati nei confronti di un’azienda molisana, ha aperto un caso che può fare da apripista a molti altri.

Sistemi MES e privacy: il provvedimento del Garante

In data 15 aprile 2021, il Garante Privacy ha emesso il Provvedimento nr. 9586936 nei confronti di un’azienda manifatturiera italiana che aveva installato un sistema MES utilizzato per il controllo della produzione.

Il provvedimento, a cui è seguita una sanzione importante di 40.000 euro, riguardava in particolare il fatto che la società, nonostante fosse in regola con l’autorizzazione dell’Ispettorato Territoriale del lavoro, non aveva adeguatamente informato i lavoratori sulle caratteristiche del sistema, il quale è stato utilizzato oltre i limiti stabiliti dall’autorizzazione stessa e in contrasto con le normative vigenti in materia di diritto del lavoratore (Art.4 Legge 300/1970).

Infatti, il sistema informatico installato in diverse sedi Italiane della società, operava mediante l’inserimento di una password individuale nei terminali industriali installati vicino ad ogni postazione lavorativa.

I dati raccolti venivano resi anche sottoforma di informazioni disaggregate, rendendo potenzialmente possibili controlli individuali che sono poi effettivamente stati utilizzati per avviare un procedimento disciplinare, derivato dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era assegnato.

È proprio da questo procedimento disciplinare, posto all’attenzione del Garante dal lavoratore stesso tramite il sindacato, che è scattato il controllo da parte dell’Autorità Garante.

L’accertamento ha rilevato anche che il sistema di controllo era in uso anche prima in modalità manuale (cartacea) e che i dati, che contenevano in chiaro il nominativo dei dipendenti, venivano poi conservati, sia in cartaceo che in digitale, senza un criterio di data retention, ovvero di cancellazione una volta raggiunte le finalità per cui era previsto il trattamento dati.

Ma, l’illecito maggiore, su cui è basato il provvedimento, riguarda l’uso del dato ai fini disciplinari, azione peraltro espressamente vietata dal documento di autorizzazione emesso dalla ITL.

Il Garante ha quindi ritenuto illecito il trattamento e, oltre a comminare la sanzione di ha anche ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema.

Conclusioni

Ultimamente, quando si parla di privacy, si tende a prendere come riferimento il solo GDPR, come se tutte le altre normative, già presenti ancor prima della sua applicazione nel 2018, fossero state di colpo cancellate.

In realtà non è così perché, per esempio, il D.lgs. 196/2003 o Legge Privacy non è mai stato abrogato del tutto ma, solo modificato in quelle parti che erano in netto contrasto col Regolamento UE 2016/679 tramite il suo novellato D.lgs. 101/2018.

Rimangono poi in gioco tutta una serie di normative, linee guida e FAQ che possiamo definire “di contorno” ma non per questo possano essere ignorate, come nel caso dell’Art. 4 Legge 300 del 1970 e che, soprattutto quando si interviene nella sfera giuslavoristica, sono ancora assolutamente da tenere presenti.

Inoltre, essendo il Regolamento UE 2016/679 o GDPR ancora giovane e non propriamente preciso nel definire come applicare le norme e i principi ivi contenuti, non c’è niente ci meglio che affidarsi a dei casi pratici di applicazione come sentenze e provvedimenti delle Autorità Giudiziarie e Competenti (Garante) e che, meglio di qualsiasi manuale teorico, possono fungere da guida interpretativa di una normativa così “sfuggente” come il GDPR.

INFOGRAFICA
Migliora la supervisione della produzione e rendi più efficienti le operazioni. Scopri come!
IoT
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4