Riporto qui sul blog una sintesi del mio articolo pubblicato sulla testata Cybersecurity360 il 15 Febbraio 2022. L’articolo cita il caso del primo provvedimento del Garante Privacy, nei confronti di un’azienda Italiana, che riguarda sistemi di RACCOLTA DATI in PRODUZIONE molto diffusi e meglio conosciuti con l’acronimo di MES.
Cosa fare quindi per essere sicuri che il nostro sistema MES sia in regola con le normative Privacy e il GDPR?
Quando si parla di sistemi gestionali che elaborano dati di produzione, in particolare i sistemi MES (Monitoring Execution System), pochi pensano che ci possano degli aspetti che riguardano anche i dati personali e che quindi debbano essere trattati in base alle normative sulla Privacy alias GDPR.
In effetti i sistemi MES, la cui adozione è letteralmente esplosa con l’avvento dell’Industry 4.0, hanno come obiettivi primari il controllo dello stato di avanzamento della produzione e delle commesse, la logistica dei materiali, il controllo delle macchine di produzione.
La quantità e varietà dei dati che viene raccolta è spesso molto elevata, come ad esempio i dati che provengono dalle macchine CNC collegate attraverso una rete informatica a tutto il sistema ERP, ma alcuni dati, come ad esempio le fasi di lavoro che comportano l’intervento umano, vengono imputati dagli operatori con sistemi più o meno automatizzati, normalmente tramite letture bar-code.
Quali dati personali raccoglie un software MES?
Anche se l’obiettivo di raccogliere dati dalla produzione non è quasi mai direttamente quello di controllare l’operatore, che andrebbe in contrasto con l’Art.4 Legge 300/1970 dello Statuto del Lavoratore, la tipologia di dati raccolta comprende quasi sempre dati riconducibili a persone fisiche.
Fra questi dati alcuni esempi possono essere:
- Dati di autenticazione: Nome, Cognome, ruolo, codice operatore e password;
- Log di registrazione: data e ora di entrata e uscita dal sistema;
- Dati relativi a clienti e fornitori: spesso vengono inseriti per identificare le commesse di lavorazione.
D’altronde non si può neanche lasciare libero accesso alle informazioni contenute nel database bypassando le procedure di autenticazione, in quanto si tratta sempre di “dati strategici” per l’azienda e, in quanto tali, passibili di furto per spionaggio industriale o di attacchi ransomware a scopo d riscatto.
É necessario quindi adottare tutte le misure di sicurezza, proteggendo i sistemi, partendo dall’autenticazione degli operatori.
CHE USO si può e non si può fare dei dati personali in produzione?
Assodato a questo punto che è difficile “dribblare” l’autenticazione degli operatori per motivi di sicurezza, a meno che non si usino tecniche di “pseudomizzazione“, è importante definire per quale uso o finalità la raccolta dei dati dei lavoratori è lecita oppure no.
Cosa É PERMESSO fare con i dati di produzione
É fondamentale definire a monte l’uso che si farà dei dati raccolti dopo la consuntivazione.
I dati che si ottengono possono essere diversi: dai dati relativi alle quantità prodotte, fermi macchine, rese operative dei macchinari, tempi di lavorazione, scarti, dati relativi alla qualità, dati di collaudo fino ai tempi che ogni singolo operatore impiega in una singola fase.
Alla fine si otterranno dei report statistici che serviranno alla direzione aziendale per prendere decisioni strategiche tra cui citiamo i più comuni:
- Analisi sullo stato di avanzamento della produzione;
- Analisi sul rispetto dei tempi di consegna;
- Analisi sul consumo dei materiali;
- Analisi su costi produttivi;
- indicatori di resa dei reparti produttivi e logistici;
- indicatori di resa delle varie macchine operatrici (OEE).
Queste finalità d’uso, aggiungendo che i report statistici devono essere sempre aggregati e non riconducibili al singolo operatore, possono essere considerate corrette e aderenti ai principi delle normative sulla Privacy in ambito lavorativo, in primis allo Statuto del Lavoratore.
Cosa NON É PERMESSO fare con i dati di produzione
Per capire cosa non possiamo fare con i dati che provengono dal MES riportiamo l’Art.4 comma 1 della Legge 300/1970 o Statuto del Lavoratore:
È vietato l’uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo
a distanza dell’attività dei lavoratori.Art.4 comma 1 Legge 300/1970
Pur essendo una Legge di di ben 50 anni fa è ancora pienamente in vigore ed applicata, in particolare ai sistemi di videosorveglianza, ma è estesa a qualsiasi altro sistema leggasi “…altre apparecchiature…”.
Ne consegue quindi che, se da questi sistemi, MES o MRP che siano, vengono prodotti dati che permettono, anche ipoteticamente, di analizzare il comportamento dei lavoratori, non intesi come reparto ma come singoli dipendenti, allora il trattamento di questi dati non è corretto.
Se poi da questi dati possono emergere comportamenti dei singoli lavoratori, che possono generare dei provvedimenti disciplinari, si può incorrere anche in sanzioni pesanti, come nel caso dell’azienda citata nell’articolo di Cybersecurity360 che invitiamo a leggere.
Attenzione all’informativa privacy
Ulteriore attenzione va anche posta all’informativa sul trattamento dei dati personali che deve sempre essere fornita ai dipendenti interessati prima di iniziare il trattamento.
L’informativa deve essere più chiara e trasparente possibile e indicare con precisione in che modo verranno utilizzati i dati e soprattutto con quali finalità.
Conclusioni
Non entro nel merito del quanto eticamente sia giusto o sbagliato impedire ad un imprenditore di controllare che i suoi lavoratori si comportino in maniera lineare ai ruoli ed alle mansioni per cui sono stati assunti perché, probabilmente non basterebbe un libro intero.
Ci sono delle leggi e come tutte le leggi vanno rispettate, per cui l’intento di questo articolo sarebbe quello di evitare quei comportamenti che, anche solo per mala informazione o inconsapevolezza, potrebbero comportare provvedimenti sanzionatori, in un ambito così delicato e già tartassato da balzelli e cavilli come quello in cui si muovono le aziende Italiane oggi.
Fonte: tratto dal mio articolo pubblicato su Cybersecurity360
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!