Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il quadro

L’IoT nei processi aziendali, sfide e opportunità per il business

I dispositivi IoT rappresentano una nuova chance per le aziende, per aumentare la produttività, l’efficienza e migliorare la sicurezza. Ma sono anche molte le problematiche connesse, soprattutto riguardo la privacy dei lavoratori e il trattamento dei dati. Vediamo i limiti e le possibili soluzioni

14 Giu 2018

Jacopo Ierussi

avvocato, Studio legale Salonia Associati

Arianna Moretti

Consulente specializzata in materia di privacy


L’Internet of Things (o IoT, abbreviato) si è insinuato silenziosamente in tutti gli aspetti del nostro quotidiano, ed ha raggiunto nel 2017 un valore sul mercato italiano che supera i tre miliardi e mezzo di euro, registrando un incremento del 32% rispetto all’anno precedente[1].

Sino a qualche anno fa appariva avveniristica l’idea di una rete di dispositivi costantemente connessi, in grado di interagire tra di loro nonché con l’ambiente circostante. Il rapido progresso tecnologico cui abbiamo assistito negli ultimi anni, tale da aver aumentato il credito delle tesi di Raymond Kurzweil sulla singolarità tecnologica[2], ha trasformato quest’idea in realtà, aprendo a nuovi settori quali la domotica[3]. Al contempo, questi dispositivi sono stati dotati di sistemi d’intelligenza artificiale in grado di raccogliere dati e informazioni che, una volta analizzati, permettono di rispondere agli input ricevuti dall’esterno, spesso senza neanche bisogno di intervento umano.

IoT, una chance per aumentare efficienza e produttività

Nell’attuale clima di fermento tecnologico e di costante proiezione verso tutto ciò che è digitale e interattivo, i dispositivi IoT si stanno prepotentemente insinuando anche nel mondo del lavoro, per il quale rappresentano una nuova chance per consentire alle aziende di stare al passo con i tempi o, persino, di anticiparli.

L’impiego di questo genere di dispositivi, considerata anche la loro varietà in termini di ambiti di utilizzo e di funzionalità, può comportare un aumento dell’efficienza e della produttività dei processi aziendali, nonché migliorare le misure di sicurezza sul luogo di lavoro, soprattutto negli ambiti lavorativi più esposti al rischio, rendendo più agevole l’assolvimento degli obblighi di cui al D.lgs. n. 81/2008.

Come ti miglioro la sicurezza con i wearable

A tal ultimo riguardo, basti pensare come aziende straniere quali Autodesk e British Petroeleum, al fine di accrescere i livelli di sicurezza, abbiano sviluppato appositamente dei dispositivi wearable, ovvero dei braccialetti in grado di monitorare la frequenza cardiaca dei dipendenti al fine di tutelarne la salute (riducendo sensibilmente i rischi connessi a possibili casi d’infarto durante i turni lavorativi). Parimenti la Hangzhou Zhongheng Electric ha realizzato dei berretti e caschi da lavoro che tengono sotto costante controllo le onde cerebrali dei lavoratori, interpretando il loro stato emotivo, e determinando l’adeguatezza della frequenza e della durata dei periodi di pausa a ridurre, o quantomeno contenere entro i limiti di guardia l’eventuale stress psico-fisico connesso alle prestazioni di lavoro.

GDPR e implementazione dell’IoT in ambito aziendale

Potenzialmente, le applicazioni dell’IoT sono illimitate, e non di certo riassumibili in questa sola pubblicazione, pertanto, l’obbiettivo che ci si pone precipuamente in questa sede è quello di portare all’attenzione di chi legge le implicazioni della sua implementazione in ambito aziendale sotto il profilo giuridico, anche alla luce della recente applicazione del Regolamento (UE) 2016/679 (cd. “GDPR”).

Come è noto, il comma 1 dell’art. 4 della L. n. 300/1970 (cd. “Statuto dei Lavoratori”), come modificato dal D.lgs. n. 151/2015 (ovvero uno decreti facenti parte della riforma cd. “Jobs Act”), consente l’installazione di strumenti aventi finalità di controllo a distanza soltanto qualora giustificata da esigenze di carattere organizzativo, produttivo, oppure di sicurezza del lavoro o di tutela del patrimonio aziendale, ferma restando l’esigenza di un preventivo accordo che il datore di lavoro dovrà siglare con le rappresentanze sindacali.

Non si rende necessario l’iter sindacale di cui sopra, invece, laddove gli strumenti potenzialmente in grado di effettuare un controllo a distanza nei confronti del singolo lavoratore servano a quest’ultimo per rendere la propria prestazione, oppure alla registrazione degli accessi e delle presenze (art. 4, comma 2, S.L.).

Le problematiche

Una prima problematica sorge con riguardo al significato specifico che il legislatore ha voluto attribuire all’inciso “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, in quanto sinora è stata oggetto di un’interpretazione restrittiva, la quale ha inteso che detta norma si riferisca esclusivamente agli strumenti indispensabili allo svolgimento delle mansioni di riferimento del singolo lavoratore. A titolo esemplificativo, di recente il Garante della Privacy, con il provvedimento del 16 novembre 2017 n. 479, ha ritenuto che Poste Italiane avesse messo in atto una forma illegittima di controllo a distanza nonché di trattamento dei dati personali relativamente ai propri dipendenti – in particolare, con riguardo alle performance giornaliere rese dagli sportellisti delle singole filiali – tramite il sistema informatico cosiddetto “gestione delle attese”[4], e ciò nonostante fosse impossibile eseguire qualsiasi operazione di cassa senza ricorrere a quest’ultimo dai terminali.

Nella fattispecie appena descritta, l’Autority ha statuito la sussistenza di una violazione finanche in termini di mancato assolvimento dell’obbligo di comunicazione agli interessati della privacy policy adottata da Poste Italiane, poiché il comma 3 dell’art 4, S.L. prevede espressamente “che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”; da notare come ivi il richiamo alla normativa in materia di privacy, ad oggi, risulti incompleto, poiché privo di qualsiasi riferimento al GDPR, oltre che alla futura norma interna di adeguamento rispetto a quella comunitaria.

IoT e controllo a distanza dei lavoratori, il nodo privacy

Questo significa che il datore di lavoro, fuori dalle ipotesi sopra indicate, per poter disporre l’utilizzo di uno specifico IoT device nella propria azienda, dovrebbe preliminarmente appurare l’impossibilità di un suo impiego per finalità di controllo a distanza e, in ogni caso, rendere accessibile un’esaustiva informativa sulla privacy a tutto il personale in forza; tenendo in considerazione che la maggior parte dei dispositivi IoT, per poter funzionare correttamente, devono acquisire i dati personali (se non addirittura sensibili, si pensi a quelli biometrici negli esempi inizialmente citati) degli utilizzatori, qui può essere individuato il vero “nodo gordiano” della questione in esame.

Informativa chiara e DPIA

E’ di solare evidenza che il datore di lavoro, rispetto al trattamento dei dati personali dei suoi dipendenti, assume la veste di titolare del trattamento, dunque, dovrà rispondere di tutta una serie di obblighi introdotti dal GDPR, tra cui, come anzidetto, quello di predisporre un’informativa chiara ed esaustiva, che consenta al lavoratore-interessato di comprendere quali siano i dati trattati, con che modalità e per che finalità, nonché quello di provvedere ad una valutazione d’impatto (DPIA) che, a norma dell’art. 35 del Regolamento citato, miri ad individuare l’origine, la natura, la probabilità e la gravità del rischio, il contesto e le finalità del trattamento stesso, nonché ad indicare l’eventuale predisposizione di tecniche di pseudonimizzazione[5] e anonimizzazione volte alla minimizzazione del rischio.

Privacy by design e privacy by default

Infatti, è innegabile che, con l’irrompere sulla scena di tecnologie sempre più innovative, le minacce alla cyber security si prospettano all’ordine del giorno, soprattutto nei confronti degli oggetti dell’IoT, spesso più vulnerabili in quanto connessi a server più facilmente attaccabili. Questo rischio, però, potrebbe essere abbattuto, o, comunque, circoscritto adottando dei dispositivi che siano rispondenti al cosiddetto principio di privacy by design e privacy by default (art. 25 GDPR), e che, quindi, siano compliant rispetto alla normativa privacy sin dalle prime fasi della loro progettazione, essendo strutturati sulla base di una valutazione del rischio compiuta ab origine, nonché di default, poiché preimpostati in modo tale da ricorrere unicamente ai dati strettamente necessari rispetto alle finalità esplicitate nell’informativa.

Il divieto di profilazione reputazionale del lavoratore

Ad ogni modo, sinora, il vero timore è che i dati raccolti per il tramite dei diversi dispositivi possano essere aggregati con modalità automatizzate per finalità di profilazione, ed essere sfruttati, ad esempio, per valutare le performance lavorative individuali, e, quindi, per comminare eventuali licenziamenti per scarso rendimento. Proprio di recente, a tal proposito, il Garante per la protezione dei dati personali ha stabilito il divieto di profilazione reputazionale del lavoratore, che si sostanzia nell’impedire la raccolta e l’utilizzo di dati che siano espressione delle sue opinioni personali (politiche, religiose o sindacali), in conformità al divieto sancito dall’art. 8 dello Statuto dei Lavoratori[6].

Di talché, è vero che un trattamento dei dati effettuato da un dispositivo IoT, teoricamente atto a favorire o quantomeno facilitare il lavoratore, potrebbe declinarsi in uno svilimento del diritto di quest’ultimo alla riservatezza, nonché della tutela della sua dignità, ma appare ancora un’ipotesi molto remota in un sistema garantista qual è quello nostrano.

I rischi connessi all’uso frequente di wearable

Sotto un diverso ed ulteriore profilo, si deve prendere in considerazione come un dispositivo IoT, con specifico riguardo alla tipologia wearable, potrebbe avere delle ripercussioni sullo stato psico-fisico di chi lo indossa a causa degli impulsi trasmessigli di continuo dal dispositivo medesimo durante il suo funzionamento (notifiche, avvisi automatici, comunicazioni di servizio, vibrazioni, etc.)[7].

Si assisterebbe così ad una situazione “pirandelliana”, laddove uno strumento volto a migliorare le prestazioni del singolo dipendente o garantirne la salute, potrebbe finire, invece, con il pregiudicare entrambe. Ad avviso di chi scrive, pertanto, si rende quantomeno opportuna una valutazione dei rischi connessi all’utilizzo frequente di questi devices in conformità a quanto stabilito dall’articolo 2087 c.c., che impone al datore di lavoro l’obbligo di adottare le misure atte a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro. A tal proposito, si ricorda come la Corte di Cassazione, con la sentenza 12 ottobre 2012 n. 17438, abbia riconosciuto il diritto di un dirigente di ottenere dall’INAIL il pagamento di una rendita per malattia professionale in ragione dell’insorgenza di una patologia tumorale, causata dall’utilizzo prolungato del telefono cellulare per ragioni aziendali.

IoT e lavoro, un rapporto ambivalente

In conclusione, l’Internet of Things può essere considerato in modo ambivalente: da un lato, come il possibile volto del futuro dei processi organizzativi e delle dotazioni aziendali, che, in prospettiva, li gremirà di dispositivi intelligenti ed assistenti virtuali integrati, dall’altro, come un ulteriore campo di applicazione della normativa in materia di privacy e della tutela della salute e della sicurezza sul lavoro. Ciò di cui si discute, perciò, non è tanto se l’IoT entrerà nel mondo del lavoro, ma quanto in profondità, in ragione della valutazione costi-benefici che sarà effettuata da ogni azienda italiana.

Note e bibliografia

______________________________

  1. Questi dati sono stati presentati nel corso del convegno “Internet of Things: connessi o estinti!”, tenutosi il 13 aprile 2018, e organizzato dall’Osservatorio IoT del Politecnico di Milano.
  2. Raymond Kurzweil, “The Singularity Is Near” (trad. la Singolarità è vicina), Apogeo, Milano, 2008. In questo saggio Kurzweil, scienziato ed informatico di Google, identifica “la singolarità tecnologica” come il momento in cui l’intelligenza artificiale supererà irrimediabilmente l’intelligenza umana, o, in ogni caso, in cui il progresso tecnologico non sarà più controllabile dall’uomo, con la radicale modificazione del mondo per come lo si conosce oggi.
  3. La domotica consiste in quella disciplina che si occupa dello studio e dello sviluppo di tecnologie atte a facilitare e migliorare la vita dell’uomo all’interno di abitazioni o, più in generale, di edifici.
  4. J. Ierussi e S. Gazzella, “Poste: il caso “eliminacode” data pubblicazione”, Diritto & Pratica del Lavoro, IPSOA, Milano, n. 9/2018. Ancor più di recente, si segnala il provvedimento dell’8 marzo 2018 n. 139, “Trattamento dei dati personali dei dipendenti di un call center”, emesso dall’Autority in senso conforme a quello citato e oggetto di pubblicazione.
  5. A tal proposito, D. Benedetti, “Intelligenza artificiale, protezione dei dati personali e regolazione”, a cura di Franco Pizzetti, Giappichelli Editore, 2018, p. 248.
  6. Garante della Privacy, “Provvedimento web per l’elaborazione di profili reputazionali”, 24 novembre 2016, n. 488.
  7. J. Ierussi, “Controlli e nuove tecnologie: dal caso “Amazon” indizi sulla logistica del futuro”, Il Giuslavorista, Giuffrè, Milano, 2018.

Articolo 1 di 4