Le aziende di produzione ricorrono sempre più spesso alla cosiddetta wearable technology, vale a dire dispositivi indossabili o accessori in grado di controllare in modo preciso e costante eventuali criticità connesse alla sicurezza ed allo stato di salute dei dipendenti. Tuttavia, per poter procedere all’adozione di simili strumenti è necessario tener presente alcune specifiche previste dalla vigente normativa in materia di privacy ed in particolare dal Regolamento europeo per la protezione dei dati personali, in vigore in tutta Europa dal maggio del 2018.

Nella fattispecie, l’azienda che intenda adottare dispositivi da far indossare ai propri dipendenti deve, innanzitutto, motivare attraverso un apposito documento – da esibire in caso di controllo effettuato dall’Autorità preposta – le finalità sulle basi delle quali adotta queste soluzioni tecnologiche ed i ragionamenti che hanno motivato tale scelta, nell’ottica di dimostrare l’avvenuto bilanciamento tra l’interesse tutelato tramite l’adozione del dispositivo e la riservatezza dei soggetti destinati ad indossarlo.

In gran parte dei casi, i suddetti devices vengono utilizzati per consentire un monitoraggio del rispetto delle regole connesse alla sicurezza sui luoghi di lavoro piuttosto che per rilevare anomalie relative allo stato di salute dei dipendenti, in modo da poter preventivamente intervenire e scongiurare conseguenze negative per i lavoratori stessi. Ciò non toglie, tuttavia, che i dati che vengono trattati devono essere raccolti e gestiti secondo il cosiddetto principio di privacy by design, ovvero andando a valutare tutte quelle misure necessarie al fine di poter garantire che i dati stessi siano idoneamente tutelati sia nella fase di trasmissione ed elaborazione, sia successivamente nell’ipotesi della loro conservazione secondo i termini di ritenzione (data retention) stabiliti dal Titolare del trattamento.

Un aspetto molto importante da disciplinare riguarda la garanzia che questi dati non vengano utilizzati per finalità diverse rispetto a quelle dichiarate originariamente: è infatti proibito dallo Statuto dei lavoratori vigente a livello nazionale, raccogliere dei dati e utilizzarli per controllare il lavoratore. Non dimentichiamo che il comma 1 dell’art. 4 della L. n. 300/1970 (cd. “Statuto dei Lavoratori”), come modificato dal D.lgs. n. 151/2015 (cd. “Jobs Act”), permette di poter effettuare l’installazione di strumenti aventi finalità di controllo a distanza soltanto qualora tale installazione sia giustificata da esigenze di carattere organizzativo, produttivo, oppure di sicurezza del lavoro o di tutela del patrimonio aziendale, fermo restando l’obbligo di un preventivo accordo che il datore di lavoro dovrà sottoscrivere con le rappresentanze sindacali.

Ulteriore tema da valutare fin dall’adozione ed ancor prima – durante la preselezione dei fornitori di tali dispositivi – è quello relativo all’eventuale trasferimento dei dati raccolti in Paesi extra UE tramite sistemi in cloud o comunque con l’interazione di terze parti localizzate fuori dal perimetro europeo. Ricordiamo la recente sentenza europea intervenuta sul tema del trasferimento verso gli Stati Uniti che ha dichiarato illegittimo il Privacy Shield: in sintesi, tale pronuncia ha ribadito come sia obbligatorio per il Titolare del trattamento assumere ogni garanzia affinché un eventuale trasferimento fuori dai confini europei dei dati sia tutelato da misure di sicurezza specifiche e da procedure organizzative tali da poter scongiurare un accesso non autorizzato da parte di soggetti non designati.

In riferimento alla scelta di adottare dispositivi “smart” indossabili, teniamo infine presente che resta fermo l’obbligo di informare il dipendente sul flusso dei dati, in particolare rispetto ai seguenti aspetti: finalità, chi avrà accesso, quali diritti saranno esercitabili o quanto tempo saranno conservati. La trasparenza rappresenta sempre un principio fondamentale da rispettare, specialmente laddove il trattamento dei dati appare particolarmente delicato.

Avv. Valentina Frediani

Colin & Partners

Articolo fornito da COLIN – Consulente Legale Informatico