L’Operation Technology è soggetta al GDPR?

Con il termine Operation Technology (OT) si intendono gli strumenti hardware e software, in gran parte oggi estensioni dell’Information Technology utilizzate nella produzione per il monitoraggio e controllo di macchine, apparati, impianti, singoli dispositivi e così via.

Il Regolamento UE 679/2016, meglio noto come General Data Protection Regulation (GDPR), è il nuovo regolamento europeo sulla protezione dei dati, che entrerà in vigore il 25 maggio 2018 e che stabilisce una serie di obblighi per trattamento e sicurezza di dati personali, intendendo nel suo articolo 4 con questo termine “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, indicata poi con il termine “interessato”.

In apparenza potrebbe sembrare che nei sistemi informatici interni all’OT non vi siano dati personali, ma è proprio così? Supponiamo, ad esempio, entro un’azienda manifatturiera, di avere un sistema di pianificazione della produzione, in cui siano inseriti anche i turni di lavorazione con i nominativi completi degli addetti alle catene di montaggio. Questi sono dati personali, in quanto conducono alla identificazione degli addetti.

Il GDPR stabilisce che per tali dati devono essere rispettate alcune qualità, in relazione con i potenziali effetti negativi per gli interessati. E che deve essere fatta un’analisi del rischio di tali effetti negativi. Proviamo quindi ad analizzare questo caso particolare.

1. Riservatezza

I dati devono essere accessibili solo alle persone che hanno diritto lecito di vederli, in questo caso particolare se i dati sui turni sono accessibili solo alle figure aziendali deputate alla gestione dei turni e della produzione (es. direttore di stabilimento, capo turno, responsabile qualità…) tutto bene. Se un dato dovesse uscire dall’azienda e dimostrare, ad esempio, che un certo operaio non era di turno quando aveva detto alla moglie di essere al lavoro, cosa potrebbe succedere?

2. Integrità

I dati devono essere salvaguardati rispetto a corruzioni accidentali. Cosa potrebbe succedere se i dati dei turni venissero persi, impedendo ad un operaio di dimostrare che era al lavoro in un certo momento in caso di contenzioso legale?

3. Esattezza

Secondo alcuni fa parte della integrità, viene qui distinta per chiarezza) i dati devono essere esatti e l’azienda deve dimostrare di avere fatto tutto il possibile perché siano esatti. In caso di errore sui dati, per cui un operaio risulta presente al posto di un altro, quindi?

4. Disponibilità

I dati devono essere disponibili quando necessario. Vale un discorso simile a quello del punto 2.

5. Conformità

L'eventuale conformità a formati particolari dei dati non si applica in questo caso.

Questo è un caso non frequente e volutamente sono state fatte ipotesi “provocatorie”: il danno per gli interessati è realmente difficile da dimostrare, però la novità della Legge e la presenza in essa di alcuni punti di non sempre facile interpretazione aprono lo spazio a “zone grigie” ove chi ne ha volontà potrebbe, almeno teoricamente, innescare dei contenziosi.

Pertanto, prima di escludere a priori che il GDPR abbia impatto sui propri sistemi OT, sarebbe bene applicare uno dei principi stabiliti dal GDPR stesso: conoscere tutti gli eventuali trattamenti di dati personali in corso, nell’ambito dell’OT, presso la propria organizzazione e valutare se essi possono o meno costituire un rischio per i diritti degli interessati.

Per sapere di più sul GDPR:

  1. Il testo del GDPR in Italiano
  2. Il portale Europrivacy
  3. Il portale del Garante Italiano della Privacy 
  4. Un white paper su Ict, sicurezza e GDPR

 

Pubblica i tuoi commenti