L’adozione di smart glass in azienda attiva obblighi precisi in capo al datore di lavoro come titolare del trattamento ai sensi del GDPR: valutazione d’impatto (DPIA), base giuridica idonea e, in molti casi, accordo sindacale preventivo ex art. 4 St. Lav. Se il dispositivo acquisisce dati biometrici o consente la sorveglianza continua dei lavoratori, l’assenza di questi adempimenti espone l’azienda a sanzioni fino al 4% del fatturato globale annuo. Lo studio che assiste imprese manifatturiere, logistiche o sanitarie deve già presidiare questi profili prima che il cliente acquisti il primo visore.
Punti chiave
- Punto 1 — Gli smart glass che registrano audio/video sul luogo di lavoro richiedono accordo sindacale ex art. 4 St. Lav. o autorizzazione dell’Ispettorato.
- Punto 2 — Il trattamento di dati biometrici tramite visori è vietato senza una delle condizioni ex art. 9 GDPR, incluso il consenso esplicito.
- Punto 3 — La DPIA è obbligatoria per sorveglianza sistematica dei lavoratori ai sensi dell’art. 35 GDPR e delle Linee guida WP248 dell’EDPB.
Se un cliente manifatturiero o logistico ti chiede di introdurre smart glass in produzione o magazzino, hai un problema di compliance da gestire prima dell’acquisto del primo dispositivo. I visori intelligenti registrano video, audio e — a seconda del modello — parametri biometrici: ogni dato acquisito su un lavoratore è trattamento ai sensi del GDPR, con tutte le conseguenze che ne derivano per il titolare.
Il tema è arrivato all’attenzione degli operatori attraverso un’analisi pubblicata da Agenda Digitale, che mappa i rischi privacy degli smart glass nei luoghi di lavoro: registrazioni continue, trasmissione su cloud, riconoscimento facciale, sorveglianza di fatto e responsabilità del titolare del trattamento.
Il contesto normativo
Il quadro si costruisce su tre assi. Il primo è l’art. 4, commi 1 e 2, della L. 300/1970 (Statuto dei Lavoratori): qualsiasi strumento di controllo a distanza dell’attività dei lavoratori richiede accordo con le RSA/RSU o, in mancanza, autorizzazione dell’Ispettorato del Lavoro. Il Garante per la protezione dei dati personali ha già chiarito — nel provvedimento del 13 luglio 2016 sulle videosorveglianze aziendali — che la norma si applica a qualsiasi tecnologia con capacità di monitoraggio continuativo.
Il secondo asse è il GDPR: l’art. 35 Reg. UE 2016/679 impone la DPIA ogni volta che il trattamento comporta sorveglianza sistematica di persone su larga scala o in aree accessibili al pubblico. Le Linee guida EDPB WP248 rev.01 inseriscono espressamente il monitoraggio dei dipendenti tra i casi ad alto rischio. Se il visore acquisisce dati biometrici — ad esempio tramite riconoscimento dell’iride o della voce — scatta il divieto dell’art. 9 GDPR, superabile solo con una delle condizioni tassative del paragrafo 2, tra cui il consenso esplicito o la necessità per obblighi di diritto del lavoro ex art. 9, par. 2, lett. b).
Il terzo asse riguarda la sicurezza informatica: la trasmissione dei flussi su cloud espone l’azienda agli obblighi di cui agli artt. 24 e 32 GDPR in materia di misure tecniche e organizzative adeguate, con potenziale data breach notificabile al Garante entro 72 ore ex art. 33 GDPR.
Cosa cambia per lo studio
- Prima dell’adozione dei dispositivi, verifica se il cliente ha già un accordo sindacale che copra strumenti di controllo a distanza o se serve aprire una trattativa con le RSA/RSU — in assenza, l’uso è illecito e i dati raccolti inutilizzabili anche in sede disciplinare.
- Redigi o aggiorna il Registro dei trattamenti ex art. 30 GDPR includendo il trattamento via smart glass, specificando finalità, base giuridica, categorie di dati (compresi eventuali dati biometrici), trasferimenti verso fornitori cloud e tempi di conservazione.
- Se il dispositivo comporta sorveglianza sistematica o tratta dati biometrici, avvia la DPIA prima del deployment: senza di essa il trattamento è già in violazione e le sanzioni partono da 10 milioni di euro o il 2% del fatturato globale annuo (art. 83, par. 4, GDPR), con soglia raddoppiata per le violazioni più gravi.
- Aggiorna l’informativa ex art. 13 GDPR da consegnare ai lavoratori prima dell’attivazione del dispositivo, con indicazione specifica delle modalità di registrazione, dei destinatari dei dati e dei diritti esercitabili.
- Inserisci nel contratto con il fornitore del visore e del servizio cloud una clausola di nomina a responsabile del trattamento ex art. 28 GDPR, con garanzie esplicite sulle misure di sicurezza e sul luogo di conservazione dei dati — rilevante se il server è extra-UE.
Attenzione a
Il rischio più sottovalutato è l’uso dei dati raccolti tramite smart glass in procedimenti disciplinari. La Cassazione, con orientamento consolidato (tra cui Cass. Civ., Sez. Lav., n. 25732/2021), esclude la utilizzabilità di prove raccolte in violazione dell’art. 4 St. Lav. Il licenziamento fondato su registrazioni non autorizzate rischia l’annullamento con reintegra o indennità elevata, a seconda del regime applicabile.
Attenzione anche alla frammentazione della responsabilità quando i dati vengono condivisi in tempo reale con soggetti terzi — ad esempio un centro operativo remoto o un cliente dell’azienda utilizzatrice. In quel caso si apre la questione della contitolarità del trattamento ex art. 26 GDPR, con obbligo di accordo scritto che definisca ruoli e responsabilità: un passaggio che quasi nessun cliente gestisce spontaneamente.
Domande frequenti
Gli smart glass in azienda richiedono accordo sindacale?
Sì. Se il visore consente il monitoraggio dell’attività del lavoratore — anche come funzione accessoria — si applica l’art. 4, comma 1, L. 300/1970. Serve accordo con RSA/RSU o, in alternativa, autorizzazione dell’Ispettorato del Lavoro. L’uso senza questi atti rende illecita la raccolta e inutilizzabili i dati in sede disciplinare o giudiziaria.
Quando è obbligatoria la DPIA per i dispositivi smart glass?
La DPIA è obbligatoria ai sensi dell’art. 35 GDPR quando il trattamento comporta sorveglianza sistematica dei lavoratori o acquisizione di dati biometrici. Le Linee guida EDPB WP248 rev.01 includono espressamente il monitoraggio dei dipendenti tra i trattamenti ad alto rischio che impongono la valutazione preventiva, prima dell’avvio del trattamento.
I dati biometrici raccolti dagli smart glass si possono trattare con il consenso del lavoratore?
Il consenso è una delle basi giuridiche ammesse dall’art. 9, par. 2, lett. a), GDPR, ma il Garante italiano e l’EDPB ritengono che in contesti lavorativi il consenso raramente sia libero e quindi valido. Meglio verificare se esiste una base alternativa ex art. 9, par. 2, lett. b) — obbligo di diritto del lavoro — e documentarla nel Registro dei trattamenti.
Fonte di riferimento: AgendaDigitale